EdgeADC
Ein Edgenexus ADC-Administrationsleitfaden
×
Menu
Search
 
   
   
   
 
  (c) Edgenexus Limited, 2021

SSL-Zertifikate

Um den Schicht-7-Lastausgleich mit Servern, die verschlüsselte Verbindungen mit SSL verwenden, erfolgreich zu nutzen, muss der ADC mit den auf den Zielservern verwendeten SSL-Zertifikaten ausgestattet sein. Diese Anforderung besteht darin, dass der Datenstrom vor dem Senden an den Zielserver entschlüsselt, untersucht, verwaltet und dann wieder verschlüsselt werden kann.
Die SSL-Zertifikate können von selbstsignierten Zertifikaten, die der ADC generieren kann, bis hin zu den herkömmlichen Zertifikaten (einschließlich Wildcard) reichen, die von vertrauenswürdigen Anbietern erhältlich sind. Sie können auch domänensignierte Zertifikate verwenden, die von Active Directory generiert werden.
Was macht der ADC mit dem SSL-Zertifikat?
Der ADC kann Regeln zur Verkehrsverwaltung (flightPATH) durchführen, je nachdem, was die Daten enthalten. Diese Verwaltung kann nicht für SSL-verschlüsselte Daten durchgeführt werden. Wenn die ADC die Daten untersuchen muss, muss sie diese zunächst entschlüsseln und benötigt dazu das vom Server verwendete SSL-Zertifikat. Nach der Entschlüsselung kann die ADC dann die flightPATH-Regeln untersuchen und ausführen. Anschließend werden die Daten mit dem SSL-Zertifikat erneut verschlüsselt und an den endgültigen Real-Server gesendet.
Zertifikat erstellen
Obwohl der ADC ein global vertrauenswürdiges SSL-Zertifikat verwenden kann, kann er ein selbstsigniertes SSL-Zertifikat erzeugen. Das selbstsignierte SSL ist perfekt für interne Lastausgleichsanforderungen. Ihre IT-Richtlinien erfordern jedoch möglicherweise ein vertrauenswürdiges oder Domain-CA-Zertifikat.
Wie man ein lokales SSL-Zertifikat erstellt
·     Füllen Sie alle Details wie im obigen Beispiel aus
·     Klicken Sie auf Lokales Zertifikat erstellen
·     Nachdem Sie dies angeklickt haben, können Sie das Zertifikat auf einen virtuellen Dienst anwenden.
Erstellen einer Zertifikatsanforderung (CSR)
Wenn Sie ein global vertrauenswürdiges SSL von einem externen Anbieter beziehen müssen, benötigen Sie eine CSR, um das SSL-Zertifikat zu generieren.
Füllen Sie das Formular wie oben gezeigt mit allen relevanten Daten aus und klicken Sie dann auf die Schaltfläche Zertifikatsanforderung. Sie erhalten das Popup, das den von Ihnen angegebenen Daten entspricht.
Sie müssen den Inhalt ausschneiden und in eine TEXT-Datei einfügen und diese mit einer CSR-Dateierweiterung benennen, z. B. mycert.csr. Diese CSR-Datei muss dann Ihrer Zertifizierungsstelle zur Verfügung gestellt werden, um das SSL-Zertifikat zu erstellen.
Zertifikat verwalten
Dieser Unterabschnitt enthält verschiedene Werkzeuge, um die Verwaltung der SSL-Zertifikate zu ermöglichen, die Sie innerhalb des ADC haben.
anzeigen
Es kann vorkommen, dass Sie sich die Details eines installierten SSL-Zertifikats ansehen möchten.
·     Wählen Sie das Zertifikat aus dem Dropdown-Menü aus
·     Klicken Sie auf die Schaltfläche Anzeigen
·     Das unten gezeigte Popup wird mit den Details des Zertifikats angezeigt.
Installieren eines Zertifikats
Sobald Sie das Zertifikat von der vertrauenswürdigen Zertifizierungsstelle erhalten haben, müssen Sie es mit der generierten CSR abgleichen und innerhalb des ADC installieren.
·     Wählen Sie ein Zertifikat aus, das Sie in den obigen Schritten erzeugt haben. An der Position wird der Status (Ausstehend) festgelegt. Im Beispiel wird MyCompanyCertificate in der obigen Abbildung gezeigt.
·     Öffnen Sie die Zertifikatsdatei in einem Texteditor
·     Kopieren Sie den gesamten Inhalt der Datei in die Zwischenablage
·     Fügen Sie den Inhalt des signierten SSL-Zertifikats, das Sie von der vertrauenswürdigen Stelle erhalten haben, in das Feld "Paste Signed" ein.
·     Sie können auch die Intermediates darunter einfügen, wobei Sie auf die richtige Reihenfolge achten müssen:
1.     (TOP)      Ihr signiertes Zertifikat
2.     (2. von oben)      Zwischenzeit 1
3.     (3. von oben)      Zwischenzeit 2
4.     (Unten)      Zwischenstufe 3
5.     Root-Zertifizierungsstelle     Diese müssen nicht hinzugefügt werden, da sie auf den Client-Rechnern vorhanden sind.
(der ADC enthält auch ein Root-Bündel für die erneute Verschlüsselung, bei der er als Client für einen Real-Server fungiert).
·     Klicken Sie auf Installieren
·     Sobald Sie das Zertifikat installiert haben, sollten Sie den Status (Trusted) neben Ihrem Zertifikat sehen
Wenn Sie einen Fehler gemacht oder die falsche Zwischenreihenfolge eingegeben haben, dann wählen Sie das Zertifikat (vertrauenswürdig) und fügen Sie die Zertifikate (einschließlich des signierten Zertifikats) wieder in der richtigen Reihenfolge hinzu und klicken Sie auf Installieren
Zwischenzeitlich hinzufügen
Es ist gelegentlich erforderlich, Zwischenzertifikate separat hinzuzufügen. Sie haben z. B. ein Zertifikat importiert, das nicht über die Zwischenzertifikate verfügt.
·     Markieren Sie ein Zertifikat (vertrauenswürdig) oder ein Zertifikat (importiert)
·     Fügen Sie die Zwischenprodukte untereinander ein und achten Sie darauf, dass das der Zertifizierungsstelle am nächsten liegende Zwischenprodukt zuletzt eingefügt wird.
·     Klicken Sie auf Zwischenstufe hinzufügen.
Wenn Sie einen Fehler bei der Bestellung machen, können Sie den Vorgang wiederholen und die Zwischenprodukte erneut hinzufügen. Diese Aktion überschreibt nur die vorherigen Zwischenprodukte.
Ein Zertifikat löschen
Sie können ein Zertifikat über die Schaltfläche "Delete" (Löschen) löschen. Nach dem Löschen wird das Zertifikat vollständig aus dem ADC entfernt und muss ersetzt und bei Bedarf wieder auf die virtuellen Dienste angewendet werden.
Hinweis: Vergewissern Sie sich, dass das Zertifikat nicht an ein betriebsbereites VIP angehängt ist, bevor Sie es löschen.
Ein Zertifikat erneuern
Mit der Schaltfläche Renew (Erneuern) können Sie eine neue Certificate Signing Request (Zertifikatsanforderung) anfordern. Diese Aktion ist erforderlich, wenn das Zertifikat abläuft und erneuert werden muss.
·     Wählen Sie ein Zertifikat aus der Dropdown-Liste aus; Sie können jedes Zertifikat mit dem Status (Ausstehend), (Vertrauenswürdig) oder (Importiert) wählen
·     Klicken Sie auf Erneuern
·     Kopieren Sie die neuen CSR-Details, damit Sie ein neues Zertifikat erhalten können
·     Wenn Sie das neue Zertifikat erhalten, folgen Sie den Schritten, die unter Anzeigen
·    
·     Es kann vorkommen, dass Sie sich die Details eines installierten SSL-Zertifikats ansehen möchten.
·     Wählen Sie das Zertifikat aus dem Dropdown-Menü aus
·     Klicken Sie auf die Schaltfläche Anzeigen
·     Das unten gezeigte Popup wird mit den Details des Zertifikats angezeigt.
·     Installieren eines Zertifikats.
·     Das neue und erneuerte Zertifikat wird nun im ADC installiert.
Importieren eines Zertifikats
In vielen Fällen müssen Unternehmen ihre domänensignierten Zertifikate als Teil ihres internen Sicherheitsregimes verwenden. Die Zertifikate müssen im PKCS#12-Format vorliegen, und solche Zertifikate sind immer durch Passwörter geschützt.
Das folgende Bild zeigt den Unterabschnitt zum Importieren eines einzelnen SSL-Zertifikats.
·     Geben Sie Ihrem Zertifikat einen freundlichen Namen. Der Name identifiziert es in den im ADC verwendeten Dropdown-Listen. Er muss nicht mit dem Domänennamen des Zertifikats übereinstimmen, muss aber alphanumerisch sein und darf keine Leerzeichen enthalten. Andere Sonderzeichen als _ und - sind nicht erlaubt.
·     Geben Sie das Passwort ein, das Sie zum Erstellen des PKCS#12-Zertifikats verwendet haben
·     Suchen Sie nach der Datei {Zertifikatname}.pfx
·     Klicken Sie auf Importieren.
·     Ihr Zertifikat befindet sich nun in den entsprechenden SSL-Dropdown-Menüs innerhalb des ADC
Importieren von mehreren Zertifikaten
In diesem Abschnitt können Sie eine JNBK-Datei importieren, die mehrere Zertifikate enthält. Eine JNBK-Datei wird verschlüsselt und von ADC erzeugt, wenn mehrere Zertifikate exportiert werden.
·     Suchen Sie nach Ihrer JNBK-Datei - Sie können eine solche Datei durch den Export mehrerer Zertifikate erstellen
·     Geben Sie das Passwort ein, das Sie zum Erstellen der JNBK-Datei verwendet haben
·     Klicken Sie auf Importieren.
·     Ihre Zertifikate befinden sich nun in den entsprechenden SSL-Dropdown-Menüs innerhalb des ADC
Exportieren eines Zertifikats
Von Zeit zu Zeit möchten Sie vielleicht eines der im ADC gespeicherten Zertifikate exportieren. Das ADC verfügt über die Fähigkeit, dies zu tun.
 
·     Klicken Sie auf das Zertifikat oder die Zertifikate, die Sie installieren möchten. Sie können auch auf die Option Alle klicken, um alle aufgelisteten Zertifikate auszuwählen.
·     Geben Sie ein Passwort ein, um die exportierte Datei zu schützen. Das Kennwort muss mindestens sechs Zeichen lang sein. Es können Buchstaben, Zahlen und bestimmte Symbole verwendet werden. Die folgenden Zeichen sind nicht zulässig: < > " ' ( ) ; \ | \A3 % &
·     Klicken Sie auf Exportieren
·     Wenn Sie ein einzelnes Zertifikat exportieren, wird die resultierende Datei sslcert_{certname}.pfx genannt. Zum Beispiel sslcert_Test1Cert.pfx
·     Im Falle eines Exports von mehreren Zertifikaten wird die resultierende Datei eine JNBK-Datei sein. Der Dateiname lautet sslcert__pack.jnbk.
Hinweis: Eine JNBK-Datei ist eine verschlüsselte Containerdatei, die vom ADC erzeugt wird und nur für den Import in das ADC gültig ist
Widgets
Auf der Seite Bibliothek > Widgets können Sie verschiedene leichtgewichtige visuelle Komponenten konfigurieren, die in Ihrem benutzerdefinierten Dashboard angezeigt werden.
Konfigurierte Widgets
Im Bereich "Konfigurierte Widgets" können Sie alle erstellten Widgets aus dem Bereich "Verfügbare Widgets" anzeigen, bearbeiten oder entfernen.
Verfügbare Widgets
Es gibt fünf verschiedene Widgets, die im ADC zur Verfügung stehen und die Sie nach Ihren Wünschen konfigurieren können.
Das Ereignis-Widget
 
·     Um ein Ereignis zum Ereignis-Widget hinzuzufügen, klicken Sie auf die Schaltfläche Hinzufügen.
·     Geben Sie einen Namen für Ihr Ereignis ein. In unserem Beispiel haben wir als Namen für das Ereignis "Attention Events" eingegeben.
·     Fügen Sie einen Schlüsselwortfilter hinzu. Wir haben auch den Filterwert von Achtung hinzugefügt
·     Klicken Sie auf Speichern und dann auf Schließen
·     Sie sehen nun ein zusätzliches Widget namens Aufmerksamkeitsereignisse in der Dropdown-Liste Konfigurierte Widgets.
·     Sie sehen, dass wir dieses Widget nun im Bereich Ansicht > Dashboard hinzugefügt haben.
·     Wählen Sie das Widget "Achtung Ereignisse", um dieses im Dashboard anzuzeigen. Siehe unten.
Sie können den Live-Daten-Feed auch anhalten und neu starten, indem Sie auf die Schaltfläche Pause Live Data klicken. Außerdem können Sie jederzeit zum Standard-Dashboard zurückkehren, indem Sie auf die Schaltfläche Default Dashboard (Standard-Dashboard) klicken.
Das Systemgrafik-Widget
Das ADC verfügt über ein konfigurierbares Systemgrafik-Widget. Durch Klicken auf die Schaltfläche "Hinzufügen" des Widgets können Sie die folgenden Überwachungsgrafiken zur Anzeige hinzufügen.
·     CPU
·     SPEICHER
·     DISK
Sobald Sie sie hinzugefügt haben, sind sie einzeln im Widget-Menü des Dashboards verfügbar.
Interface Widget
Mit dem Schnittstellen-Widget können Sie die Daten für die gewählte Netzwerkschnittstelle anzeigen, wie z. B. ETH0, ETH1 und so weiter. Die Anzahl der verfügbaren Schnittstellen zum Hinzufügen hängt davon ab, wie viele Netzwerkschnittstellen Sie für die virtuelle Appliance definiert oder innerhalb der Hardware-Appliance bereitgestellt haben.
Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Speichern und dann auf die Schaltfläche Schließen.
Wählen Sie das Widget, das Sie gerade angepasst haben, aus dem Widget-Dropdown-Menü im Dashboard aus. Es wird ein Bildschirm wie der unten abgebildete angezeigt.
Status-Widget
Mit dem Status-Widget können Sie den Lastausgleich in Aktion sehen. Sie können die Ansicht auch filtern, um bestimmte Informationen anzuzeigen.
·     Klicken Sie auf Hinzufügen.
·     Geben Sie einen Namen für den Dienst ein, den Sie überwachen möchten
·     Sie können auch wählen, welche Spalten Sie im Widget anzeigen möchten.
·     Wenn Sie zufrieden sind, klicken Sie auf Speichern und anschließend auf Schließen.
·     Das gewählte Status-Widget wird im Bereich Dashboard verfügbar sein.
Verkehrsgrafik-Widget
Dieses Widget kann so konfiguriert werden, dass es aktuelle und historische Verkehrsdaten pro Virtual Services und Real Servers anzeigt. Außerdem können Sie die gesamten aktuellen und historischen Daten für den globalen Datenverkehr sehen
·     Klicken Sie auf die Schaltfläche Hinzufügen
·     Benennen Sie Ihr Widget.
·     Wählen Sie eine Datenbank aus Virtuelle Dienste, Reale Server oder System.
·     Wenn Sie Virtuelle Dienste wählen, können Sie einen virtuellen Dienst aus der Dropdown-Liste VS/RS auswählen.
·     Wählen Sie einen Zeitrahmen aus der Dropdown-Liste "Letzte".
o     Minute - letzte 60s
o     Stunde - aggregierte Daten von jeder Minute für die letzten 60 Minuten
o     Tag - aggregierte Daten von jeder Stunde für die letzten 24 Stunden
o     Woche - aggregierte Daten von jedem Tag der letzten sieben Tage
o     Monat - aggregierte Daten von jeder Woche für die letzten sieben Tage
o     Jahr - aggregierte Daten aus jedem Monat der letzten 12 Monate
·     Wählen Sie die verfügbaren Daten je nach gewählter Datenbank
o     Datenbank für virtuelle Dienste
o     Bytes in
o     Bytes aus
o     Zwischengespeicherte Bytes
o     Komprimierung %
o     Aktuelle Verbindungen
o     Abfragen pro Sekunde
o     Cache-Treffer
o     Cache-Treffer %
·     Echte Server
o     Bytes in
o     Bytes aus
o     Aktuelle Verbindungen
o     Anfrage pro Sekunde
o     Reaktionszeit
·     System
o     CPU %
o     Dienste CPU
o     Speicher %
o     Platte Frei %
o     Bytes in
o     Bytes aus
·     Wählen Sie, ob Sie Durchschnitts- oder Spitzenwerte anzeigen möchten
·     Wenn Sie alle Optionen ausgewählt haben, klicken Sie auf Speichern und Schließen
Beispiel-Verkehrsdiagramm
Sie können nun Ihr Traffic Graph Widget zu Ansicht > Dashboard hinzufügen.