为了成功地与使用SSL加密连接的服务器使用第7层负载平衡,ADC必须配备目标服务器上使用的SSL证书。这一要求是为了使数据流能够被解密、检查、管理,然后在发送至目标服务器之前重新加密。
SSL证书的范围可以从ADC可以生成的自签名证书到受信任的供应商提供的传统证书(包括通配符)。你还可以使用从活动目录生成的域签名证书。
ADC对SSL证书做什么?
ADC可以根据数据包含的内容,执行流量管理规则(flightPATH)。这种管理不能在SSL加密的数据上执行。当ADC必须检查数据时,它首先需要解密,为此,它需要有服务器使用的SSL证书。一旦解密,ADC将能够检查并执行flightPATH规则。在这之后,数据将使用SSL证书重新加密,并被发送到最终的Real服务器上。
创建证书
尽管ADC可以使用全球信任的SSL证书,但它可以生成一个自签名SSL证书。自签名SSL非常适合于内部负载平衡的要求。然而,你的IT政策可能需要一个受信任或域CA证书。
如何创建本地SSL证书
· 像上面的例子一样,填写所有细节
· 单击 "创建本地证书
· 一旦你点击了这一点,你就可以将证书应用于虚拟服务。
创建一个证书请求(CSR
当你需要从外部供应商那里获得全球信任的SSL时,你将需要生成CSR来生成SSL证书。
如上图所示,在表格中填写所有相关数据,然后点击证书申请按钮。你将会看到与你提供的数据相对应的弹出窗口。
你需要将内容剪切并粘贴到一个文本文件中,并以CSR文件的扩展名命名,例如,mycert.csr。这个CSR文件将需要提供给你的证书颁发机构以创建SSL证书。
管理证书
该子部分包含各种工具,允许管理你在ADC内拥有的SSL证书。
显示
有时,你可能希望查看已安装的SSL证书的细节。
· 从下拉菜单中选择证书
· 单击 "显示 "按钮
· 下面显示的弹出窗口将显示证书的详细信息。
安装证书
一旦你从受信任的证书颁发机构获得证书,你将需要将其与生成的CSR相匹配,并在ADC内安装它。
· 选择你在上述步骤中生成的证书。该行项目将有一个固定的(Pending)状态。在这个例子中,MyCompanyCertificate显示在上面的图片中。
· 在一个文本编辑器中打开证书文件
· 将文件的全部内容复制到剪贴板上
· 将你从受信任机构收到的已签署的SSL证书的内容粘贴到标有 "已签署 "的字段中。
· 你也可以在这下面粘贴中间人,注意遵循正确的顺序。
1. (TOP) 你签署的证书
2. (从头开始的第二项) 中级1
3. (从上到下第三位) 中级2
4. (底部) 中级3
5. 根证书机构 不需要添加这个,因为它们存在于客户机上。
(ADC也包含一个用于重新加密的根捆绑,在那里它充当Real服务器的一个客户端)
· 点击安装
· 一旦你安装了证书,你应该在你的证书旁边看到状态(受信任)。
如果你犯了一个错误或输入了错误的中间顺序,那么选择证书(受信任的)并按照正确的顺序再次添加证书(包括已签署的证书),然后点击安装。
添加中级
有时需要单独添加中间证书。例如,你可能已经导入了一个没有中间证书的证书。
· 突出显示一个证书(受信任的)或证书(已导入)。
· 一个一个地粘贴中间件,注意最接近证书授权的中间件要最后粘贴。
· 点击添加中级。
如果你犯了一个错误的顺序,你可以重复这个过程并再次添加中间物。这个动作将只覆盖之前的中间物。
删除一个证书
你可以使用删除按钮删除一个证书。一旦删除,该证书将完全从ADC中删除,并需要被替换,然后在需要时重新应用于虚拟服务。
注意:在删除证书之前,请确保该证书没有附加到一个正在运行的VIP上。
更新证书
更新按钮允许你获得一个新的证书签名请求。当证书过期需要更新时,就需要进行这一操作。
· 从下拉列表中选择一个证书;你可以选择任何具有(待定)、(可信)或(已导入)状态的证书
· 点击更新
· 复制新的CSR细节,以便你能获得新的证书
· 当你获得新的证书时,请按照 "显示 "中详述的步骤操作。
· 
· 有时,你可能希望查看已安装的SSL证书的细节。
· 从下拉菜单中选择证书
· 单击 "显示 "按钮
· 下面显示的弹出窗口将显示证书的详细信息。
· 安装证书。
· 新的和更新的证书现在将被安装到ADC中。
导入证书
在许多情况下,公司企业将需要使用他们的域名签名证书作为其内部安全制度的一部分。这些证书必须是PKCS#12格式,而密码必然会保护这些证书。
下面的图片显示了导入单个SSL证书的子部分。
· 给你的证书一个友好的名字。该名称可以在ADC中使用的下拉列表中识别它。它不需要与证书域名相同,但必须是没有空格的字母数字。除了 _ 和 - 之外,不允许使用其他特殊字符。
· 输入你用来创建PKCS#12证书的密码
· 浏览{证书名称}.pfx
· 点击导入。
· 你的证书现在将出现在ADC的相关SSL下拉菜单中。
导入多个证书
本节允许你导入一个包含多个证书的JNBK文件。当导出多个证书时,JNBK文件会被ADC加密并产生。
· 浏览你的JNBK文件 - 你可以通过导出多个证书来创建一个这样的文件
· 输入你用来创建JNBK文件的密码
· 点击导入。
· 你的证书现在将出现在ADC的相关SSL下拉菜单中。
导出证书
有时,你可能希望导出ADC中持有的一个证书。ADC已经具备了这样的能力。
· 点击你想安装的证书。你可以点击全部选项来选择所有列出的证书。
· 键入一个密码以保护导出的文件。密码必须至少有六个字符的长度。可以使用字母、数字和某些符号。以下字符是不能接受的: < > " ' ( ) ; \ | \A3 % &
· 点击出口
· 如果你要导出单个证书,生成的文件将被命名为sslcert_{certname}.pfx。例如,sslcert_Test1Cert.pfx
· 在多证书输出的情况下,产生的文件将是一个 JNBK 文件。文件名将是sslcert__pack.jnbk。
注意:JNBK文件是由ADC产生的加密容器文件,只对导入ADC有效。
小工具
库 > 小工具页面允许你配置显示在你的自定义仪表板中的各种轻量级视觉组件。
配置的小工具
配置的小工具部分允许你查看、编辑或删除从可用小工具部分创建的任何小工具。
可用的小工具
ADC内提供了五个不同的部件,你可以根据你的要求对它们进行配置。
活动小工具
· 要添加一个事件到 "事件 "小组件,点击 "添加 "按钮。
· 为你的事件提供一个名称。在我们的例子中,我们添加了Attention Events作为事件名称。
· 添加一个关键词过滤器。我们还添加了Attention的过滤值
· 点击保存,然后关闭
· 现在你会在配置的小工具下拉菜单中看到一个额外的小工具,名为 "关注事件"。
· 你可以看到我们现在已经在视图>仪表板部分添加了这个部件。
· 选择 "关注事件 "小组件,在仪表板内显示。见下文。
你也可以通过点击暂停实时数据按钮来暂停和重启实时数据传输。此外,你可以在任何时候通过点击 "默认仪表盘 "按钮恢复到默认仪表盘。
系统图表小工具
ADC有一个可配置的系统图表小组件。通过点击小组件上的添加按钮,你可以添加以下监测图表来显示。
· CPU
· 记忆
· 碟片
一旦你添加了它们,它们将在仪表板的小部件菜单中单独可用。
界面小工具
接口小组件允许你显示所选网络接口的数据,如ETH0、ETH1等。可供添加的接口数量取决于你为虚拟设备定义了多少个网络接口或在硬件设备内配置了多少个网络接口。
一旦你完成了,点击保存按钮,然后点击关闭按钮。
从仪表板内的小部件下拉菜单中选择你刚刚定制的小部件。你会看到一个像下面这样的屏幕。
状态小工具
状态小组件允许你看到负载平衡的运作。你也可以过滤该视图以显示特定的信息。
· 点击添加。
· 为你希望监测的服务输入一个名称
· 你还可以选择你希望在小组件中显示哪些列。
· 一旦你感到满意,点击保存,然后关闭。
· 所选择的状态小部件将在仪表板部分可用。
交通图形小工具
这个小组件可以被配置为显示每个虚拟服务和真实服务器的当前和历史流量数据。此外,你可以看到全球流量的整体当前和历史数据。
· 点击添加按钮
· 命名你的小部件。
· 从虚拟服务、真实服务器或系统中选择一个数据库。
· 如果你选择虚拟服务,你可以从VS/RS下拉菜单中选择一个虚拟服务。
· 从最后一个下拉菜单中选择一个时间范围。
o 分钟 - 最后60分钟
o 小时 - 过去60分钟内每分钟的汇总数据
o 日 - 过去24小时内每小时的汇总数据
o 周--过去七天内每天的汇总数据
o 月--过去七天里每周的汇总数据
o 年份--过去12个月中每个月的汇总数据
· 根据你所选择的数据库,选择可用的数据
o 虚拟服务数据库
o 字节数在
o 字节输出
o 缓存的字节数
o 压缩百分比
o 当前连接
o 每秒请求数
o 缓存点击率
o 缓存点击率百分比
· 真实的服务器
o 字节数在
o 字节输出
o 当前连接
o 每秒请求数
o 响应时间
· 系统
o CPU百分比
o 服务 CPU
o 记忆力%的人
o 磁盘空闲百分比
o 字节数在
o 字节输出
· 选择显示平均值或峰值
· 一旦你选择了所有的选项,点击保存并关闭。
流量图示例
现在你可以将你的交通图部件添加到视图>仪表板。
