证书只能导入一次吗?我把客户申请的证书导入到了负载均衡设备,是本地证书,又给删除了,重新再导入的时候怎么也到不进去了,请问怎么回事?
(0)
最佳答案
您好,参考
某政府机构通过V7平台LB设备实现七层服务器负载的需求:
1、为了提高业务的安全性,所有终端访问业务时全部使用HTTPS加密链接,如果终端使用HTTP协议请求业务LB将其重定向为HTTPS加密链接
2、服务器处理大量的HTTPS协议加解密链接非常耗费性能,为了降低服务器的性能损耗和提高服务器的处理能力,需要实现HTTPS卸载功能,即终端和LB之间采用HTTPS加密链接,LB和服务器之间认为是可信区域采用HTTP不加密链接
3、通过配置服务器负载均衡,让这三台服务器联合提供HTTP服务,并通过健康检测来监控这些服务器是否可用
组网拓扑如下(服务器网关全部为LB设备):
1、将申请的CA证书和设备证书通过FTP(建议采用二进制方式)或TFTP上传到LB设备上,导入方法略
2、创建PKI域,并禁止CRL检查
pki domain ca
undo crl check enable
3、导入CA证书和设备证书到创建的PKI域ca中
pki import domain ca der ca filename certnew.cer
pki import domain ca p12 local filename local.pfx
4、创建SSL服务器端策略,并且引用PKI域ca
ssl server-policy ssl
pki-domain ca
5、创建TCP类型的NQA模板8080
nqa template tcp 8080
destination port 8080
6、配置COOKIE插入方式的持续性算法【插入COOKIE的名字为h3c】
sticky-group COOKIE type http-COOKIE
COOKIE insert name h3c
7、配置实服务组
server-farm http
predictor hash address source
probe 8080
8、配置实服务器
real-server ServrA
ip address 192.168.1.1
port 8080
server-farm http
real-server ServerB
ip address 192.168.1.2
port 8080
server-farm http
real-server ServerC
ip address 192.168.1.3
port 8080
server-farm http
9、配置负载均衡策略
loadbalance class c_http type http match-any
match 1 url / 【匹配所有URL】
loadbalance class c_https type http match-any
match 1 url / 【匹配所有URL】
loadbalance action http_https type http
redirect relocation https://%h%p 【重定向为HTTPS加密的链接】
loadbalance action to_server type http
server-farm http sticky COOKIE 【调用实服务组HTTP以及持续性算法COOKIE】
loadbalance policy ip_http_https type http
class c_http action http_https 【针对http的链接重定向为https的链接】
class c_https action to_server 【针对https的请求进行调度负载】
10、配置虚服务器
virtual-server vs1 type http
virtual ip address 61.159.4.100
lb-policy ip_http_https 【调用负载均衡策略把http的链接重定向为https并负载】
default server-farm http sticky COOKIE
service enable
virtual-server vs1_https type http
port 443
virtual ip address 61.159.4.100
default server-farm http sticky COOKIE
ssl-server-policy ca 【调用SSL策略,实现https卸载的需求】
service enable
1、CA证书和本地证书要匹配,导入时如果使用FTP方式请使用二进制方式传输
2、设备上import加载证书的时候根据证书实际情况包括格式、秘钥等信息配置
3、注意设备当前时间是否在证书的有效时长内
4、负载均衡策略配置中注意url格式匹配和重定向url格式配置
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明