负载均衡ssl配置
- 0关注
- 1收藏,2002浏览
问题描述:
1.客户现场原本ssl证书部署在服务器上,现在想把ssl证书放在负载均衡设备上,那么需要做的是那个典配中的SSL 卸载吗,有无具体详细案例
2.客户想要业务机访问内网服务器,用的是http,但也能重定向为https,有无此功能呢?
组网及组网描述:
1.客户现场原本ssl证书部署在服务器上,现在想把ssl证书放在负载均衡设备上,那么需要做的是那个典配中的SSL 卸载吗,有无具体详细案例
2.客户想要业务机访问内网服务器,用的是http,但也能重定向为https,有无此功能呢?
- 2022-07-18提问
- 举报
-
(0)
最佳答案
某政府机构通过V7平台LB设备实现七层服务器负载的需求:
1、为了提高业务的安全性,所有终端访问业务时全部使用HTTPS加密链接,如果终端使用HTTP协议请求业务LB将其重定向为HTTPS加密链接
2、服务器处理大量的HTTPS协议加解密链接非常耗费性能,为了降低服务器的性能损耗和提高服务器的处理能力,需要实现HTTPS卸载功能,即终端和LB之间采用HTTPS加密链接,LB和服务器之间认为是可信区域采用HTTP不加密链接
3、通过配置服务器负载均衡,让这三台服务器联合提供HTTP服务,并通过健康检测来监控这些服务器是否可用
组网拓扑如下(服务器网关全部为LB设备):
1、将申请的CA证书和设备证书通过FTP(建议采用二进制方式)或TFTP上传到LB设备上,导入方法略
2、创建PKI域,并禁止CRL检查
pki domain ca
undo crl check enable
3、导入CA证书和设备证书到创建的PKI域ca中
pki import domain ca der ca filename certnew.cer
pki import domain ca p12 local filename local.pfx
4、创建SSL服务器端策略,并且引用PKI域ca
ssl server-policy ssl
pki-domain ca
5、创建TCP类型的NQA模板8080
nqa template tcp 8080
destination port 8080
6、配置COOKIE插入方式的持续性算法【插入COOKIE的名字为h3c】
sticky-group COOKIE type http-COOKIE
COOKIE insert name h3c
7、配置实服务组
server-farm http
predictor hash address source
probe 8080
8、配置实服务器
real-server ServrA
ip address 192.168.1.1
port 8080
server-farm http
real-server ServerB
ip address 192.168.1.2
port 8080
server-farm http
real-server ServerC
ip address 192.168.1.3
port 8080
server-farm http
9、配置负载均衡策略
loadbalance class c_http type http match-any
match 1 url / 【匹配所有URL】
loadbalance class c_https type http match-any
match 1 url / 【匹配所有URL】
loadbalance action http_https type http
redirect relocation https://%h%p 【重定向为HTTPS加密的链接】
loadbalance action to_server type http
server-farm http sticky COOKIE 【调用实服务组HTTP以及持续性算法COOKIE】
loadbalance policy ip_http_https type http
class c_http action http_https 【针对http的链接重定向为https的链接】
class c_https action to_server 【针对https的请求进行调度负载】
10、配置虚服务器
virtual-server vs1 type http
virtual ip address 61.159.4.100
lb-policy ip_http_https 【调用负载均衡策略把http的链接重定向为https并负载】
default server-farm http sticky COOKIE
service enable
virtual-server vs1_https type http
port 443
virtual ip address 61.159.4.100
default server-farm http sticky COOKIE
ssl-server-policy ca 【调用SSL策略,实现https卸载的需求】
service enable
1、CA证书和本地证书要匹配,导入时如果使用FTP方式请使用二进制方式传输
2、设备上import加载证书的时候根据证书实际情况包括格式、秘钥等信息配置
3、注意设备当前时间是否在证书的有效时长内
4、负载均衡策略配置中注意url格式匹配和重定向url格式配置
- 2022-07-18回答
- 评论(0)
- 举报
-
(0)
您好,参考
1.9 SSL服务器端策略典型配置举例
1.9.1 SSL服务器端策略基本功能配置举例
1. 组网需求
用户可以通过Web页面访问和控制设备。为了防止非法用户访问和控制设备,提高设备管理的安全性,设备要求用户以HTTPS的方式登录Web页面,利用SSL协议实现用户身份验证,并保证传输的数据不被窃听和篡改。
为了满足上述需求,需要进行如下配置:
· 配置Device作为HTTPS服务器,并为Device申请证书。
· 为HTTPS客户端Host申请证书,以便Device验证其身份。
其中,负责为Device和Host颁发证书的认证机构为CA server。
· 本配置举例中,采用Windows Server作为CA,在CA上需要安装SCEP(Simple Certificate Enrollment Protocol,简单证书注册协议)插件。
· 进行下面的配置之前,需要确保Device、Host、CA之间路由可达。
2. 组网图
图1-3 SSL服务器端策略基本功能组网图
3. 配置步骤
(1) 配置HTTPS服务器Device
# 配置PKI实体en,指定实体的通用名为http-server1、FQDN为ssl.security.com。
<Device> system-view
[Device] pki entity en
[Device-pki-entity-en] common-name http-server1
[Device-pki-entity-en] fqdn ssl.security.com
[Device-pki-entity-en] quit
# 配置PKI域1,指定信任的CA名称为CA server、注册服务器的URL为http://10.1.2.2/certsrv/mscep/mscep.dll、证书申请的注册受理机构为RA、实体名称为en、CRL发布点的URL为http://10.1.2.2/CertEnroll/caserver.crl。
[Device] pki domain 1
[Device-pki-domain-1] ca identifier CA server
[Device-pki-domain-1] certificate request url http://10.1.2.2/certsrv/mscep/mscep.dll
[Device-pki-domain-1] certificate request from ra
[Device-pki-domain-1] certificate request entity en
[Device-pki-domain-1] crl url http://10.1.2.2/CertEnroll/caserver.crl
# 指定证书申请使用的密钥对,用途为通用,名称为abc,密钥长度为1024比特。
[Device-pki-domain-1] public-key rsa general name abc length 1024
[Device-pki-domain-1] quit
# 生成本地的RSA密钥对。
[Device] public-key local create rsa name abc
The range of public key size is (512 ~ 2048).
If the key modulus is greater than 512,it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
..........................++++++
.....................................++++++
Create the key pair successfully.
# 获取CA的证书。
[Device] pki retrieve-certificate domain 1 ca
The trusted CA's finger print is:
MD5 fingerprint:7682 5865 ACC2 7B16 6F52 D60F D998 4484
SHA1 fingerprint:DF6B C53A E645 5C81 D6FC 09B0 3459 DFD1 94F6 3DDE
Is the finger print correct?(Y/N):y
Retrieved the certificates successfully.
# 为Device申请证书。
[Device] pki request-certificate domain 1
Start to request general certificate ...
Certificate requested successfully.
# 创建一个名为myssl的SSL服务器端策略。
[Device] ssl server-policy myssl
# 配置SSL服务器端策略使用的PKI域名为1。
[Device-ssl-server-policy-myssl] pki-domain 1
# 配置服务器端需要验证客户端身份。
[Device-ssl-server-policy-myssl] client-verify enable
[Device-ssl-server-policy-myssl] quit
# 配置HTTPS服务使用的SSL策略为myssl。
[Device] ip https ssl-server-policy myssl
# 开启HTTPS服务。
[Device] ip https enable
# 创建本地用户usera,密码为123,服务类型为https,用户角色为network-admin。
[Device] local-user usera
[Device-luser-usera] password simple 123
[Device-luser-usera] service-type https
[Device-luser-usera] authorization-attribute user-role network-admin
(2) 配置HTTPS客户端Host
在Host上打开IE浏览器,输入网址http://10.1.2.2/certsrv,根据提示为Host申请证书。
4. 验证配置
在Host上打开IE浏览器,输入网址https://10.1.1.1,选择CA server为Host颁发的证书,即可打开Device的Web登录页面。在登录页面,输入用户名usera,密码123,则可进入Device的Web配置页面,实现对Device的访问和控制。
· PKI配置命令的详细介绍请参见“安全命令参考”中的“PKI”。
· public-key local create rsa命令的详细介绍请参见“安全命令参考”中的“公钥管理”。
· HTTPS的详细介绍,请参见“基础配置指导”中的“配置通过Web登录设备”。
- 2022-07-18回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论