• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

负载均衡ssl配置

2022-07-18提问
  • 0关注
  • 1收藏,2109浏览
粉丝:0人 关注:0人

问题描述:

1.客户现场原本ssl证书部署在服务器上,现在想把ssl证书放在负载均衡设备上,那么需要做的是那个典配中的SSL 卸载吗,有无具体详细案例

2.客户想要业务机访问内网服务器,用的是http,但也能重定向为https,有无此功能呢?

组网及组网描述:

1.客户现场原本ssl证书部署在服务器上,现在想把ssl证书放在负载均衡设备上,那么需要做的是那个典配中的SSL 卸载吗,有无具体详细案例

2.客户想要业务机访问内网服务器,用的是http,但也能重定向为https,有无此功能呢?

最佳答案

粉丝:8人 关注:0人

某政府机构通过V7平台LB设备实现七层服务器负载的需求:

  1、为了提高业务的安全性,所有终端访问业务时全部使用HTTPS加密链接,如果终端使用HTTP协议请求业务LB将其重定向为HTTPS加密链接

  2、服务器处理大量的HTTPS协议加解密链接非常耗费性能,为了降低服务器的性能损耗和提高服务器的处理能力,需要实现HTTPS卸载功能,即终端和LB之间采用HTTPS加密链接,LB和服务器之间认为是可信区域采用HTTP不加密链接

  3、通过配置服务器负载均衡,让这三台服务器联合提供HTTP服务,并通过健康检测来监控这些服务器是否可用


组网拓扑如下(服务器网关全部为LB设备):


1、将申请的CA证书和设备证书通过FTP(建议采用二进制方式)TFTP上传到LB设备上,导入方法略

2、创建PKI域,并禁止CRL检查

   pki domain ca
         undo crl check enable

3、导入CA证书和设备证书到创建的PKIca

   pki import domain ca der ca filename certnew.cer

   pki import domain ca p12 local filename local.pfx

4、创建SSL服务器端策略,并且引用PKIca

   ssl server-policy ssl

     pki-domain ca

5、创建TCP类型的NQA模板8080

   nqa template tcp 8080
         destination port 8080

6、配置COOKIE插入方式的持续性算法【插入COOKIE的名字为h3c】

   sticky-group COOKIE type http-COOKIE
         COOKIE insert name h3c

7、配置实服务组

   server-farm http
         predictor hash address source
         probe 8080

8、配置实服务器

   real-server ServrA
         ip address 192.168.1.1
         port 8080
         server-farm http

       real-server ServerB
         ip address 192.168.1.2
         port 8080
         server-farm http
 
       real-server ServerC
         ip address 192.168.1.3
         port 8080
         server-farm http

9、配置负载均衡策略

   loadbalance class c_http type http match-any
         match 1 url /   【匹配所有URL】

       loadbalance class c_https type http match-any
         match 1 url /   【匹配所有URL】

       loadbalance action http_https type http
         redirect relocation https://%h%p   【重定向为HTTPS加密的链接】

       loadbalance action to_server type http
         server-farm http sticky COOKIE     【调用实服务组HTTP以及持续性算法COOKIE】

       loadbalance policy ip_http_https type http
         class c_http action http_https     【针对http的链接重定向为https的链接】
         class c_https action to_server     【针对https的请求进行调度负载】

10、配置虚服务器

    virtual-server vs1 type http
          virtual ip address 61.159.4.100
          lb-policy ip_http_https           【调用负载均衡策略把http的链接重定向为https并负载】
          default server-farm http sticky COOKIE
          service enable
 
        virtual-server vs1_https type http
          port 443
          virtual ip address 61.159.4.100
          default server-farm http sticky COOKIE
          ssl-server-policy ca              【调用SSL策略,实现https卸载的需求】
          service enable

 


1、CA证书和本地证书要匹配,导入时如果使用FTP方式请使用二进制方式传输

2、设备上import加载证书的时候根据证书实际情况包括格式、秘钥等信息配置

3、注意设备当前时间是否在证书的有效时长内

4、负载均衡策略配置中注意url格式匹配和重定向url格式配置

暂无评论

1 个回答
粉丝:336人 关注:0人

您好,参考

1.9  SSL服务器端策略典型配置举例

1.9.1  SSL服务器端策略基本功能配置举例

1. 组网需求

用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。

为了满足上述需求,需要进行如下配置:

·     配置Device作为HTTPS服务器,并为Device申请证书。

·     为HTTPS客户端Host申请证书,以便Device验证其身份。

其中,负责为Device和Host颁发证书的认证机构为CA server。

说明

·     本配置举例中,采用Windows Server作为CA,在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。

·     进行下面的配置之前,需要确保Device、Host、CA之间路由可达。

 

2. 组网图

图1-3 SSL服务器端策略基本功能组网图

3. 配置步骤

(1)     配置HTTPS服务器Device

# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。

<Device> system-view

[Device] pki entity en

[Device-pki-entity-en] common-name http-server1

[Device-pki-entity-en] fqdn ssl.security.com

[Device-pki-entity-en] quit

# 配置PKI域1,指定信任的CA名称为CA server、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en、CRL发布点的URL为http://10.1.2.2/CertEnroll/caserver.crl。

[Device] pki domain 1

[Device-pki-domain-1] ca identifier CA server

[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll

[Device-pki-domain-1] certificate request from ra

[Device-pki-domain-1] certificate request entity en

[Device-pki-domain-1] crl url http://10.1.2.2/CertEnroll/caserver.crl

# 指定证书申请使用的密钥对,用途为通用,名称为abc,密钥长度为1024比特。

[Device-pki-domain-1] public-key rsa general name abc length 1024

[Device-pki-domain-1] quit

# 生成本地的RSA密钥对。

[Device] public-key local create rsa name abc

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512,it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

..........................++++++

.....................................++++++

Create the key pair successfully.

# 获取CA的证书。

[Device] pki retrieve-certificate domain 1 ca

The trusted CA's finger print is:

    MD5  fingerprint:7682 5865 ACC2 7B16 6F52 D60F D998 4484

    SHA1 fingerprint:DF6B C53A E645 5C81 D6FC 09B0 3459 DFD1 94F6 3DDE

Is the finger print correct?(Y/N):y

Retrieved the certificates successfully.

# 为Device申请证书。

[Device] pki request-certificate domain 1

Start to request general certificate ...

Certificate requested successfully.

# 创建一个名为myssl的SSL服务器端策略。

[Device] ssl server-policy myssl

# 配置SSL服务器端策略使用的PKI域名为1。

[Device-ssl-server-policy-myssl] pki-domain 1

# 配置服务器端需要验证客户端身份。

[Device-ssl-server-policy-myssl] client-verify enable

[Device-ssl-server-policy-myssl] quit

# 配置HTTPS服务使用的SSL策略为myssl。

[Device] ip https ssl-server-policy myssl

# 开启HTTPS服务。

[Device] ip https enable

# 创建本地用户usera,密码为123,服务类型为https,用户角色为network-admin。

[Device] local-user usera

[Device-luser-usera] password simple 123

[Device-luser-usera] service-type https

[Device-luser-usera] authorization-attribute user-role network-admin

(2)     配置HTTPS客户端Host

在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。

4. 验证配置

在Host上打开IE浏览器,输入网址https://10.1.1.1,选择CA server为Host颁发的证书,即可打开Device的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制。

说明

·     PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”。

·     public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”。

·     HTTPS的详细介绍,请参见“基础配置指导”中的“配置通过Web登录设备”。

 

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明