华三L1000负载均衡设备如何配置SSL卸载

一、SSL 卸载原理（先明确）
客户端 → HTTPS → L1000（SSL 卸载 / 解密）→ HTTP → 内网服务器
L1000 终结 SSL，服务器只处理 HTTP，减轻 CPU 压力
二、证书导入报错：先解决（90% 是这 5 个原因）
常见报错原因
格式不对：L1000 本地证书必须是 PFX/P12（含私钥），不能只传 CER/CRT
密码错误：PFX 导入时要填 私钥密码，空 / 错都报失败
证书链不全：只传了服务器证书，没传根 CA / 中间 CA 证书
时间不对：设备系统时间 不在证书有效期内
CRL 检查开启：默认开 CRL，没 CRL 文件就报错
正确导入步骤（CLI+Web）
1）上传文件到设备（FTP/TFTP，二进制）
bash
运行
# 上传 PFX（含私钥）和 CA 证书（CER）
tftp 192.168.1.10 put server.p12
tftp 192.168.1.10 put rootca.cer
2）创建 PKI 域（关闭 CRL，关键）
bash
运行
system-view
pki domain SSL-DOMAIN
undo crl check enable # 必须关，否则大概率报错
3）先导入 CA 证书，再导入本地证书（顺序不能反）
bash
运行
# 导入根CA证书（DER格式）
pki import domain SSL-DOMAIN der ca filename rootca.cer

# 导入本地证书（PFX/P12，含私钥）
pki import domain SSL-DOMAIN p12 local filename server.p12 password 123456
p12：格式；local：本地证书；password：PFX 私钥密码
Web 界面路径
资源管理 → 本地证书 → PKI 域 → 新建（SSL-DOMAIN，关闭 CRL）
→ 导入 CA 证书 → 导入本地证书（选 PFX，填密码）
三、SSL 卸载完整配置（CLI，可直接复制）
1. 基础网络（略，确保接口 IP 可达）
2. 创建 SSL 服务器策略（绑定证书）
bash
运行
# 创建SSL服务端策略（用于虚服务）
ssl server-policy SSL-OFFLOAD
pki-domain SSL-DOMAIN # 绑定刚才的PKI域
prefer-cipher aes256-sha256 # 加密套件（兼容主流浏览器）
3. 配置实服务组 + 实服务器（内网 HTTP）
bash
运行
# 实服务组（HTTP，80端口）
loadbalance real-server group WEB-GROUP
type http
real-server 192.168.2.10 80
real-server 192.168.2.11 80
health-check http # 健康检查
4. 配置虚服务（HTTPS 443，绑定 SSL 策略）
bash
运行
# 虚服务：对外443，对内HTTP 80
loadbalance virtual-server VS-WEB
ip 192.168.1.200 443
type http
real-server group WEB-GROUP
ssl server-policy SSL-OFFLOAD # 绑定SSL卸载策略
enable
5. （可选）HTTP 重定向到 HTTPS
bash
运行
# 新建HTTP虚服务（80），重定向到443
loadbalance virtual-server VS-WEB-80
ip 192.168.1.200 80
type http
redirect https://192.168.1.200 enable
enable
四、Web 界面配置路径（对照）
资源管理 → 本地证书 → PKI 域（SSL-DOMAIN，关闭 CRL）→ 导入 CA → 导入本地 PFX
负载均衡 → SSL → 服务器策略（SSL-OFFLOAD）→ 绑定 PKI 域
负载均衡 → 实服务 → 实服务组（WEB-GROUP）→ 添加 HTTP 服务器
负载均衡 → 虚服务 → 新建（VS-WEB，443）→ 绑定 SSL 策略 + 实服务组 → 启用
（可选）新建 80 端口虚服务，开启 HTTPS 重定向
五、验证与排错
验证
浏览器访问 https://虚服务IP，正常打开，锁标志安全
L1000 查看会话：display loadbalance session，协议显示 HTTPS→HTTP
常见业务报错
证书不匹配：检查 PFX 的 域名 / 公钥 与虚服务 IP 一致
握手失败：加密套件不兼容，调整 prefer-cipher
导入仍报错：用 OpenSSL 验证 PFX：
openssl pkcs12 -in server.p12 -info -nodes，能解密则文件正常

检查下证书是否规范哦，比如证书格式、证书类型等

您好。谢谢您的回答。我的证书是PEM格式的。能不能通过web方式直接导入证书。我使用文本文件打开PEM格式文件，可以看到三个证书（根证书-中间证书-服务器证书），这应该是一个完整的证书链吧。

一、 排查并解决 Local 证书导入报错

1. 核对证书文件格式与命名规范
   • 确保上传的证书文件格式符合设备要求。如果是单个证书文件，通常支持 .cer 或 .pem 格式；如果包含密钥，需确认是 P12/PFX 格式，或是分离格式的证书加 .key 文件。
   • 检查文件名是否合法，避免使用特殊字符或过长的名称。
2. 检查存储路径与文件是否存在
   • 确认您指定的 TFTP/FTP 服务器地址正确，且设备能够网络连通。
   • 检查证书文件的实际存放路径是否与您在命令或 Web 界面中输入的路径完全一致。
3. 处理证书冲突（最常见原因之一）
   • 检查设备上是否已经存在相同名称，或者具有相同 Issuer（颁发者）与 Subject（主题）的证书。如果存在重复证书，系统会拒绝导入。
   • 解决办法：进入设备的“本地证书”管理页面，找到已存在的同名或同属性证书并将其删除后，再重新尝试导入。
4. 补充缺失的私钥文件
   • 如果您只导入了 CA 证书而没有导入对应的加密密钥（Key），会导致 SSL 解密策略无法正常工作。
   • 解决办法：需要将 CA 证书里面的内容复制出来，粘贴到 Key 文件内容的最前面，组合成一个完整的本地证书后再进行导入。
5. 核对密码是否正确
   • 导入 PKCS#12 (P12) 等加密证书包时，务必准确输入生成证书时设置的密码，区分大小写。

二、 H3C L1000 标准 SSL 卸载配置流程

1. 导入并引用证书：在【对象管理】->【本地证书】中成功导入证书后，进入【SSL解密策略】（或类似的安全策略模块），在证书列表中选择刚刚导入成功的本地证书。
2. 配置实服务器组：创建后端真实的 Web 服务器组。由于开启了 SSL 卸载，LB 会将 HTTPS 流量还原为 HTTP 明文转发给后端，因此实服务器的端口通常配置为 HTTP 默认端口（如 80 或 8080）。
3. 配置虚服务与调度策略：创建虚拟服务（Virtual Server），监听前端用户的 HTTPS 端口（如 443），并绑定上述的 SSL 解密策略和实服务器组。
4. 开启健康检查：务必为实服务器组配置健康检查（如 ICMP 或 HTTP 探测），以确保 LB 能实时感知后端服务器的存活状态。