Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF
Merci pour vos commentaires

Ce article a été traduit automatiquement. (Clause de non responsabilité)

  Lire en anglais

Configurer l’action SSL pour transférer le trafic client si un chiffrement n’est pas pris en charge sur l’ADC

January 11, 2024
Contributeur: 
C

Dans le message Hello du client, si vous recevez un chiffrement qui n’est pas pris en charge par l’ADC, vous pouvez configurer une action SSL pour transférer le trafic client vers un autre serveur virtuel. Si vous ne souhaitez pas décharger le protocole SSL, configurez ce serveur virtuel de type TCP ou SSL_BRIDGE. Il n’y a pas de délestage SSL sur l’ADC et ce trafic est contourné. Pour le déchargement SSL, configurez un serveur virtuel SSL en tant que serveur virtuel de transfert.

Procédez comme suit :

  1. Ajoutez un serveur virtuel d’équilibrage de charge de type SSL. Le trafic client est reçu sur ce serveur virtuel.
  2. Liez un service SSL à ce serveur virtuel.
  3. Ajoutez un serveur virtuel d’équilibrage de charge de type TCP. Remarque : L’adresse IP ou le numéro de port n’est pas obligatoire pour le serveur virtuel vers lequel le trafic est transféré.
  4. Ajoutez un service TCP avec le port 443.
  5. Liez ce service au serveur virtuel TCP créé précédemment.
  6. Ajoutez une action SSL spécifiant le serveur virtuel TCP dans le paramètre « forward ».
  7. Ajoutez une stratégie SSL spécifiant l’action précédente si la suite de chiffrement spécifique (identifiée par son code hexadécimal) est reçue dans le message d’accueil du client.
  8. Liez cette politique au serveur virtuel SSL.
  9. Enregistrez la configuration.

Configuration à l’aide de l’interface de ligne de commande

add service ssl-service 10.102.113.155 SSL 443
add ssl certkey sv -cert complete/server/server_rsa_2048.pem -key complete/server/server_rsa_2048.ky
add ssl certkey cacert -cert complete/CA/root_rsa_1024.pem -key complete/CA/root_rsa_1024.ky
add lb vserver v1 SSL 10.102.57.186 443
bind ssl vserver v1 -certkeyName sv
bind lb vserver v1 ssl-service
add lb vserver v2 TCP
add service tcp-service 10.102.113.150 TCP 443
bind lb vserver v2 tcp-service
add ssl action act1 -forward v2
add ssl policy pol2 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1
bind ssl vserver v1 -policyName pol2 -type CLIENTHELLO_REQ -priority 1
 
sh ssl vserver v1

    Advanced SSL configuration for VServer v1:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120 seconds
    Cipher Redirect: DISABLED
    SSLv2 Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: ENABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLv2: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate


    Data policy
1)  Policy Name: pol2   Priority: 1



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit
 Done
sh ssl policy pol2
    Name: pol2
    Rule: client.ssl.client_hello.ciphers.has_hexcode(0x002f)
    Action: act1
    UndefAction: Use Global
    Hits: 0
    Undef Hits: 0


    Policy is bound to following entities
1)  Bound to: CLIENTHELLO_REQ VSERVER v1
    Priority: 1

 Done
 
sh ssl action act1
1)  Name: act1
    Type: Data Insertion
    Forward to: v2
    Hits: 0
    Undef Hits: 0
    Action Reference Count: 1
 Done
 
sh ssl vserver v2

    Advanced SSL configuration for VServer v2:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120    seconds
    Cipher Redirect: DISABLED
    SSLv2 Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLv2: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit

Configuration à l’aide de l’interface graphique

Créez un serveur virtuel TCP :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels .
  2. Créez un serveur virtuel TCP.
  3. Cliquez dans la section Services et groupes de services et ajoutez un service TCP ou liez un service existant.
  4. Cliquez sur Bind.
  5. Cliquez sur Continuer.

Créez un serveur virtuel SSL :

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels .
  2. Créez un autre serveur virtuel SSL.
  3. Cliquez dans la section Services et groupes de services et ajoutez un nouveau service SSL ou liez un service existant.
  4. Cliquez sur Bind.
  5. Cliquez sur Continuer.
  6. Cliquez dans la section Certificat et liez un certificat de serveur.
  7. Cliquez sur Continuer.
  8. Dans Paramètres avancés, cliquez sur Stratégies SSL.
  9. Cliquez dans la section Stratégie SSL pour ajouter ou sélectionner une politique existante.
  10. Dans Policy Binding, cliquez sur Ajouter et attribuez un nom à la stratégie.
  11. Dans Action, cliquez sur Ajouter.
  12. Spécifiez un nom pour l’action SSL. Dans Forward Action Virtual Server, sélectionnez le serveur virtuel TCP créé précédemment.
  13. Cliquez sur Créer.
  14. Spécifiez CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE (code hexadécimal du chiffrement non pris en charge) dans l’expression .
  15. Cliquez sur Terminé.
  16. Dans la politique, configurez une expression pour évaluer le trafic pour le chiffrement non pris en charge.
  17. Liez l’action à la politique et la politique au serveur virtuel SSL. Spécifiez le point de liaison CLIENTHELLO_REQ.
  18. Cliquez sur Terminé.
La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.
Configurer l’action SSL pour transférer le trafic client si un chiffrement n’est pas pris en charge sur l’ADC
January 11, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.