ADC
ご意見をお寄せいただきありがとうございました

この記事は機械翻訳されています.免責事項

ADC で暗号がサポートされていない場合にクライアントトラフィックを転送するように SSL アクションを設定します

クライアントのHelloメッセージで、ADCでサポートされていない暗号を受信した場合、クライアントトラフィックを別の仮想サーバーに転送するSSLアクションを構成できます。SSL オフロードを行いたくない場合は、この仮想サーバーを TCP または SSL_BRIDGE タイプに設定します。ADC には SSL オフロードがなく、そのトラフィックはバイパスされます。SSL オフロードの場合は、SSL 仮想サーバーを転送仮想サーバーとして構成します。

次の手順を実行します:

  1. SSL タイプの負荷分散仮想サーバーを追加します。クライアントトラフィックは、この仮想サーバーで受信されます。
  2. SSL サービスをこの仮想サーバーにバインドします。
  3. TCP タイプの負荷分散仮想サーバーを追加します。:トラフィックの転送先の仮想サーバーには、IP アドレスまたはポート番号は必須ではありません。
  4. ポート 443 の TCP サービスを追加します。
  5. このサービスを、以前に作成した TCP 仮想サーバーにバインドします。
  6. 「forward」パラメータに TCP 仮想サーバーを指定する SSL アクションを追加します。
  7. クライアントの hello メッセージで特定の暗号スイート (16 進コードで識別される) が受信された場合は、前述のアクションを指定する SSL ポリシーを追加します。
  8. このポリシーを SSL 仮想サーバーにバインドします。
  9. 構成を保存します。

CLI を使用した設定

add service ssl-service 10.102.113.155 SSL 443 add ssl certkey sv -cert complete/server/server_rsa_2048.pem -key complete/server/server_rsa_2048.ky add ssl certkey cacert -cert complete/CA/root_rsa_1024.pem -key complete/CA/root_rsa_1024.ky add lb vserver v1 SSL 10.102.57.186 443 bind ssl vserver v1 -certkeyName sv bind lb vserver v1 ssl-service add lb vserver v2 TCP add service tcp-service 10.102.113.150 TCP 443 bind lb vserver v2 tcp-service add ssl action act1 -forward v2 add ssl policy pol2 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1 bind ssl vserver v1 -policyName pol2 -type CLIENTHELLO_REQ -priority 1
sh ssl vserver v1 Advanced SSL configuration for VServer v1: DH: DISABLED DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 120 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SNI: ENABLED OCSP Stapling: DISABLED HSTS: DISABLED HSTS IncludeSubDomains: NO HSTS Max-Age: 0 SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Push Encryption Trigger: Always Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication Context: 1 ECC Curve: P_256, P_384, P_224, P_521 1) CertKey Name: sv Server Certificate Data policy 1) Policy Name: pol2 Priority: 1 1) Cipher Name: DEFAULT Description: Default cipher list with encryption strength >= 128bit Done sh ssl policy pol2 Name: pol2 Rule: client.ssl.client_hello.ciphers.has_hexcode(0x002f) Action: act1 UndefAction: Use Global Hits: 0 Undef Hits: 0 Policy is bound to following entities 1) Bound to: CLIENTHELLO_REQ VSERVER v1 Priority: 1 Done
sh ssl action act1 1) Name: act1 Type: Data Insertion Forward to: v2 Hits: 0 Undef Hits: 0 Action Reference Count: 1 Done
sh ssl vserver v2 Advanced SSL configuration for VServer v2: DH: DISABLED DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 120 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth: DISABLED SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS: DISABLED HSTS IncludeSubDomains: NO HSTS Max-Age: 0 SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Push Encryption Trigger: Always Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication Context: 1 ECC Curve: P_256, P_384, P_224, P_521 1) CertKey Name: sv Server Certificate 1) Cipher Name: DEFAULT Description: Default cipher list with encryption strength >= 128bit

GUI を使用した設定

TCP 仮想サーバーを作成します

  1. [ トラフィック管理 ] > [ 負荷分散 ] > [ 仮想サーバー] に移動します。
  2. TCP 仮想サーバーを作成します。
  3. 「 サービスとサービスグループ 」セクションをクリックして、TCP サービスを追加するか、既存のサービスをバインドします。
  4. [Bind] をクリックします。
  5. [続行] をクリックします。

SSL 仮想サーバーを作成します

  1. [ トラフィック管理 ] > [ 負荷分散 ] > [ 仮想サーバー] に移動します。
  2. 別の SSL 仮想サーバーを作成します。
  3. 「 サービスとサービスグループ 」セクションをクリックして、新しい SSL サービスを追加するか、既存のサービスをバインドします。
  4. [Bind] をクリックします。
  5. [続行] をクリックします。
  6. 証明書セクションをクリックし、サーバー証明書をバインドします
  7. [続行] をクリックします。
  8. [ 詳細設定] で、[ SSL ポリシー] をクリックします。
  9. SSL ポリシーセクションをクリックして 、既存のポリシーを追加または選択します。
  10. ポリシーバインディング」で、「 追加 」をクリックし、ポリシーの名前を指定します。
  11. [ アクション] で [ 追加] をクリックします。
  12. SSL アクションの名前を指定します。「 転送アクション仮想サーバー」で、以前に作成したTCP仮想サーバーを選択します。
  13. [作成] をクリックします。
  14. 式には CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE (サポートされていない暗号の 16 進コード) を指定します。
  15. [完了] をクリックします。
  16. ポリシーで、サポートされていない暗号についてトラフィックを評価する式を設定します。
  17. アクションをポリシーに、ポリシーを SSL 仮想サーバーにバインドします。バインドポイント CLIENTHELLO_REQを指定してください。
  18. [完了] をクリックします。
このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。
ADC で暗号がサポートされていない場合にクライアントトラフィックを転送するように SSL アクションを設定します