This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
SSL 压缩的工作原理
SSL 压缩可以访问连接的明文数据,因为服务器端设备充当端点服务器的 安全委托 。这种行为是可能的,因为服务器端设备配置了服务器安全凭证(私钥和证书)的副本,使其能够代表服务器执行操作。对于客户端,此行为等同于直接与端点服务器进行通信。
由于设备作为服务器的安全委托工作,因此大多数配置位于服务器端设备上。客户端设备(或插件)充当服务器端设备的卫星,不需要每个服务器配置。
服务器端和客户端设备通过 SSL 信令连接共享会话状态。无论原始连接是否加密,两台设备之间的所有加速连接都通过 SSL 数据连接发送。
注意:SSL 压缩不一定会加密所有链接流量。最初加密的流量保持加密,但未加密的流量并不总是加密。设备不会尝试加密未加速的流量。由于不能绝对保证任何给定的连接都会被加速(各种事件阻止加速),因此不能保证设备会加密给定的未加密连接。
SSL 压缩工作在以下两种模式之一:透明代理或拆分代理。这两种模式支持略有不同的 SSL 功能。您可以选择提供给定应用程序所需功能的模式。
使用哪种 SSL 代理模式- 仅当您需要真正的客户端身份验证(即正确标识单个端点节点客户端的身份验证) 并且您不需要 Diffie-Hellman、Temp RSA、TLS 会话票证时,才使用 SSL 透明代理模式,SSL 版本 2,或会话重新协商。对所有其他部署使用 SSL 拆分代理。
SSL 透明代理
在 SSL 透明代理模式下 (不要与 Citrix SD-WAN WANOP 插件上的透明模式混淆),服务器端设备伪装为服务器。服务器的凭据(证书密钥对)安装在服务器端设备上,以便它可以代表服务器执行操作。然后,服务器端设备将客户端设备配置为处理连接的客户端。服务器的凭据未安装在客户端设备上。
在此模式下支持真正的客户端身份验证,但临时 RSA 和 Diffie-Hellman 不支持。SSL 透明代理模式适用于需要客户端身份验证的应用程序,但前提是不需要以下功能:Diffie-Hellman、Temp RSA、TLS 会话票证、SSL 版本 2。此外,不得尝试重新协商会话,否则连接终止。
客户端设备无需进行任何配置(与服务器端设备配置安全对等关系除外),并且客户端不需要配置,客户端将连接与服务器直接通信一样处理。
SSL 拆分代理
SSL 拆分代理模式 在大多数情况下是首选的,因为它支持许多应用程序需要的临时 RSA 和 Diffie-Hellman。在 SSL 拆分代理模式下,服务器端设备伪装为客户端的服务器,伪装为服务器的客户端。您可以在服务器端设备上安装服务器凭据(证书密钥对),以允许其代表服务器执行操作。
如果您安装可选的客户端凭据,则拆分代理模式还支持代理客户端身份验证,如果端点服务器应用程序请求客户端身份验证,则会显示这些凭据。将显示这些客户端凭据,而不是实际的端点节点客户端的凭据。(如果应用程序需要端点客户端凭据,请使用透明代理。)
由于在此模式下不支持真正的客户端身份验证,因此服务器无法对实际的端点客户端进行身份验证。如果服务器端设备未配置客户端凭据,则服务器端应用程序在客户端身份验证时所做的所有尝试都将失败。如果服务器端设备配置了客户端凭据,则无论实际客户端的身份如何,都将使用这些凭据回复所有客户端身份验证请求。
客户端设备不需要配置(与服务器端设备配置安全对等关系除外),并且客户端不需要配置,客户端上将连接视为直接与服务器通信。服务器端设备上的服务器凭据未安装在客户端设备上。
要支持多个服务器,可以在设备上安装多个私有证书密钥对,每个 SSL 配置文件一个。服务类定义中的特殊 SSL 规则将服务器与 SSL 配置文件匹配,因此 SSL 配置文件与凭据匹配。
在 SSL 拆分代理模式下,CA 证书和证书密钥对以及 CA 证书实际上不必匹配服务器的证书,尽管它们可以。由于拆分代理的性质,服务器端设备可以使用客户端应用程序可以接受的凭据(由受信任的机构颁发的有效凭据)。请注意,在 HTTPS 连接的情况下,如果公用名与 URL 中的域名不匹配,Web 浏览器会发出警告。一般来说,使用服务器凭据的副本是更无故障的选项。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.