This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
配置透明 SSL 加速
注意: 根据部署情况,您可能需要在 Citrix ADC 设备上启用 L2 模式。
透明 SSL 加速对于在具有相同公有 IP 的安全服务器上运行多个应用程序非常有用。它对于 SSL 加速也很有用,而无需使用额外的公有 IP。
在透明的 SSL 加速设置中,Citrix ADC 设备对客户端是透明的。它是透明的,因为设备接收请求的 IP 地址与 Web 服务器的 IP 地址相同。
Citrix ADC 设备从 Web 服务器卸载 SSL 流量处理,并向 Web 服务器发送明文或加密流量(具体取决于配置)。所有其他流量对设备是透明的,并桥接到 Web 服务器。因此,服务器上运行的其他应用程序不受影响。
设备上有三种透明 SSL 加速模式:
- 基于服务的透明访问,其中服务类型可以是 SSL 或 SSL_TCP。
- 具有通配符 IP 地址的基于虚拟服务器的透明访问 (*:443)。
- 基于 SSL VIP 的透明访问,具有端到端加密功能。
注意:SSL_TCP 服务用于非 HTTPS 服务(例如,SMTPPS 和 IMAPS)。
基于服务的透明 SSL 加速
要使用 SSL 服务模式启用透明 SSL 加速,请使用实际后端 Web 服务器的 IP 地址配置 SSL 或 SSL_TCP 服务。现在,流量将直接传递给服务,而不是虚拟服务器拦截 SSL 流量并将其传递给服务。该服务解密 SSL 流量并将明文数据发送到后端服务器。
基于服务的模式允许您使用不同的证书或不同的明文端口配置单个服务。此外,您还可以选择单个服务进行 SSL 加速。
您可以对使用不同协议的数据应用基于服务的透明 SSL 加速。为此,请将 SSL 服务的明文端口设置为 SSL 服务和后端服务器之间进行数据传输的端口。
要配置基于服务的透明 SSL 加速,首先启用 SSL 和负载平衡功能。然后创建基于 SSL 的服务并配置其明文端口。创建服务后,创建证书密钥对并将其绑定到此服务。
示例:
启用 SSL 卸载和负载均衡。
使用端口 443 创建一个基于 SSL 的服务,服务 SSL-1,IP 地址 10.102.20.30,并配置其明文端口。
接下来,创建证书密钥对 CertKey 1,并将其绑定到 SSL 服务。
表 1. 基于服务的透明 SSL 加速中的实体
| 实体 | 名称 | 值 |
|---|---|---|
| SSL 服务 | Service-SSL-1 | 102.20.30 |
| 证书-密钥对 | Certkey-1 | - |
使用通配符 IP 地址的基于虚拟服务器的加速 (*:443)
如果要为托管网站安全内容的多台服务器启用 SSL 加速,请在通配符 IP 地址模式下使用 SSL 虚拟服务器。在此模式下,单数字证书足以使用整个安全网站,而不是每个虚拟服务器一个证书。因此,SSL 证书和续订可以大大节省成本。通配符 IP 地址模式还可实现集中式证书管理。
要在 Citrix ADC 设备上配置全局透明 SSL 加速,请创建一个 *:443 虚拟服务器。此虚拟服务器接受与端口 443 关联的任何 IP 地址。然后,将有效证书绑定到此虚拟服务器,并绑定虚拟服务器要传输到的所有服务。此类虚拟服务器可以对基于 HTTP 的数据使用 SSL 协议,也可以对非基于 HTTP 的数据使用 SSL_TCP 协议。
使用通配符 IP 地址配置基于虚拟服务器的加速
- 启用 SSL,如 启用 SSL中所述。
- 启用负载平衡,如 负载平衡中所述。
- 添加基于 SSL 的虚拟服务器并按照 SSL 卸载配置中所述设置ClearTextPort 参数。
- 添加证书密钥对,如 添加或更新证书密钥对中所述。
注意: 通配符服务器会自动学习设备上配置的服务器,因此您无需为通配符虚拟服务器配置服务。
示例:
启用 SSL 卸载和负载均衡。创建基于 SSL 的通配符虚拟服务器,IP 地址设置为 * 和端口号 443,并配置其明文端口(可选)。
如果指定明文端口,解密的数据将发送到该特定端口上的后端服务器。否则,加密数据将发送到端口 443。
接下来,创建 SSL 证书密钥对 CertKey 1,并将其绑定到 SSL 虚拟服务器。
表 2. 基于虚拟服务器的加速中的实体使用通配符 IP 地址示例
| 实体 | 名称 | IP 地址 | 端口 |
|---|---|---|---|
| 基于 SSL 的虚拟服务器 | Vserver-SSL-Wildcard |
* | 443 |
| 证书-密钥对 | Certkey-1 | - | - |
基于 SSL 虚拟服务器 IP 地址的透明访问和端到端加密
如果没有指定明文端口,则可以使用 SSL 虚拟服务器进行端到端加密的透明访问。在这种配置中,设备终止并卸载所有 SSL 处理的负载。然后,它启动一个安全的 SSL 会话,并将加密的数据(而不是明文数据)发送到 Web 服务器。它将此数据发送到通配符虚拟服务器上配置的端口上。
注意: 在这种情况下,SSL 加速功能使用默认配置在后端运行,所有 34 个密码都可用。
要使用端到端加密配置基于 SSL VIP 的透明访问,请按照使用通配符 IP 地址配置基于虚拟服务器的加速 (*: 443) 的说明进行操作。但是不要在虚拟服务器上配置明文端口。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.