配置透明 SSL 加速
注意: 根据您的部署,您可能需要在 NetScaler 设备上启用 L2 模式。
透明 SSL 加速对于在具有相同公有 IP 的安全服务器上运行多个应用程序很有用。它对于在不使用额外公共 IP 的情况下进行 SSL 加速也很有用。
在透明 SSL 加速设置中,NetScaler 设备对客户端是透明的。它是透明的,因为设备接收请求的 IP 地址与 Web 服务器的 IP 地址相同。
NetScaler 设备从 Web 服务器卸载 SSL 流量处理,并将明文或加密流量(取决于配置)发送到 Web 服务器。所有其他流量对设备都是透明的,并且桥接到 Web 服务器。因此,服务器上运行的其他应用程序不受影响。
设备上有三种透明 SSL 加速模式可用:
- 基于服务的透明访问,其中服务类型可以是 SSL 或 SSL_TCP。
- 基于虚拟服务器的透明访问,使用通配符 IP 地址 (*: 443)。
- 基于 SSL VIP 的透明访问和端到端加密。
注意:SSL_TCP 服务用于非 HTTPS 服务(例如 SMTPS 和 IMAPS)。
基于服务的透明 SSL 加速
要使用 SSL 服务模式启用透明 SSL 加速,请使用实际后端 Web 服务器的 IP 地址配置 SSL 或 SSL_TCP 服务。现在,虚拟服务器不会拦截 SSL 流量并将其传递给服务,而是将流量直接传递给服务。该服务解密 SSL 流量并将明文数据发送到后端服务器。
基于服务的模式允许您使用不同的证书或不同的明文端口配置单个服务。此外,您还可以选择单个服务进行 SSL 加速。
您可以对使用不同协议的数据应用基于服务的透明 SSL 加速。为此,请将 SSL 服务的明文端口设置为 SSL 服务和后端服务器之间进行数据传输的端口。
要配置基于服务的透明 SSL 加速,首先启用 SSL 和负载平衡功能。然后创建基于 SSL 的服务并配置其明文端口。创建服务后,创建证书密钥对并将其绑定到该服务。
示例:
启用 SSL 卸载和负载平衡。
使用端口 443 创建基于 SSL 的服务,即 IP 地址为 10.102.20.30 的 service-SSL-1,并配置其明文端口。
接下来,创建一个名为 certKey-1 的证书密钥对,并将其绑定到 SSL 服务。
表 1. 基于服务的透明 SSL 加速中的实体
实体 | 名称 | 值 |
---|---|---|
SSL 服务 | Service-SSL-1 | 102.20.30 |
证书-密钥对 | Certkey-1 | - |
使用通配符 IP 地址的基于虚拟服务器的加速 (*:443)
如果要为托管网站安全内容的多台服务器启用 SSL 加速,请在通配符 IP 地址模式下使用 SSL 虚拟服务器。在此模式下,单数字证书足以使用整个安全网站,而不是每个虚拟服务器一个证书。因此,SSL 证书和续订可以大大节省成本。通配符 IP 地址模式还可实现集中式证书管理。
要在 NetScaler 设备上配置全局透明 SSL 加速,请创建一个 *: 443 虚拟服务器。此虚拟服务器接受与端口 443 关联的任何 IP 地址。然后,将有效证书绑定到该虚拟服务器,并绑定虚拟服务器要传输的所有服务。这样的虚拟服务器可以对基于 HTTP 的数据使用 SSL 协议,或者对非基于 HTTP 的数据使用 SSL_TCP 协议。
使用通配符 IP 地址配置基于虚拟服务器的加速
- 启用 SSL,如 启用 SSL中所述。
- 启用负载平衡,如 负载平衡中所述。
- 添加基于 SSL 的虚拟服务器并按照 SSL 卸载配置中所述设置ClearTextPort 参数。
- 添加证书密钥对,如 添加或更新证书密钥对中所述。
注意: 通配符服务器会自动学习设备上配置的服务器,因此您无需为通配符虚拟服务器配置服务。
示例:
启用 SSL 卸载和负载平衡。创建基于 SSL 的通配符虚拟服务器,IP 地址设置为*,端口号为 443,并配置其明文端口(可选)。
如果您指定明文端口,则解密的数据将通过该特定端口发送到后端服务器。否则,加密数据将发送到端口 443。
接下来,创建 SSL 证书密钥对 certKey-1,并将其绑定到 SSL 虚拟服务器。
表 2. 使用通配符 IP 地址的基于虚拟服务器的加速中的实体示例
实体 | 名称 | IP 地址 | Port(端口) |
---|---|---|---|
基于 SSL 的虚拟服务器 | Vserver-SSL-Wildcard |
* | 443 |
证书-密钥对 | Certkey-1 | - | - |
基于端到端加密的 SSL 虚拟服务器 IP 地址透明访问
如果没有指定明文端口,则可以使用 SSL 虚拟服务器进行端到端加密的透明访问。在这种配置中,设备终止并卸载所有 SSL 处理的负载。然后,它启动一个安全的 SSL 会话,并将加密的数据(而不是明文数据)发送到 Web 服务器。它将此数据发送到通配符虚拟服务器上配置的端口上。
注意: 在这种情况下,SSL 加速功能使用默认配置在后端运行,所有 34 个密码都可用。
要使用端到端加密配置基于 SSL VIP 的透明访问,请按照使用通配符 IP 地址配置基于虚拟服务器的加速 (*: 443) 的说明进行操作。但是不要在虚拟服务器上配置明文端口。