EdgeADC
Guide d'administration de l'ADC d'Edgenexus
×
Menu
Search
 
   
   
   
 
  (c) Edgenexus Limited, 2021

Certificats SSL

Pour utiliser avec succès l'équilibrage de charge de couche 7 avec des serveurs utilisant des connexions cryptées par SSL, l'ADC doit être équipé des certificats SSL utilisés sur les serveurs cibles. Cette condition est nécessaire pour que le flux de données puisse être décrypté, examiné, géré, puis ré-encrypté avant d'être envoyé au serveur cible.
Les certificats SSL peuvent aller des certificats auto-signés que l'ADC peut générer aux certificats traditionnels (avec caractères de substitution) disponibles auprès de fournisseurs fiables. Vous pouvez également utiliser des certificats signés par le domaine qui sont générés à partir d'Active Directory.
Que fait le CDA avec le certificat SSL ?
L'ADC peut effectuer des règles de gestion du trafic (flightPATH) en fonction de ce que contiennent les données. Cette gestion ne peut pas être effectuée sur des données cryptées par SSL. Lorsque l'ADC doit inspecter les données, il doit d'abord les déchiffrer, et pour cela, il doit disposer du certificat SSL utilisé par le serveur. Une fois décrypté, l'ADC pourra alors examiner et exécuter les règles flightPATH. Ensuite, les données seront ré-encryptées à l'aide du certificat SSL et envoyées sur le serveur réel final.
Créer un certificat
Bien que l'ADC puisse utiliser un certificat SSL de confiance globale, il peut générer un certificat SSL auto-signé. Le certificat SSL auto-signé est parfait pour les exigences d'équilibrage de charge interne. Cependant, vos politiques informatiques peuvent exiger un certificat d'autorité de certification de confiance ou de domaine.
Comment créer un certificat SSL local
·     Remplissez tous les détails comme dans l'exemple ci-dessus.
·     Cliquez sur Créer un certificat local
·     Une fois que vous avez cliqué sur ce bouton, vous pouvez appliquer le certificat à un service virtuel.
Créer une demande de certificat (CSR)
Lorsque vous devez obtenir un SSL de confiance globale auprès d'un fournisseur externe, vous devez générer un CSR pour générer le certificat SSL.
Remplissez le formulaire comme indiqué ci-dessus avec toutes les données pertinentes, puis cliquez sur le bouton Demande de certificat. Le popup correspondant aux données que vous avez fournies vous sera présenté.
Vous devrez couper et coller le contenu dans un fichier TEXTE et le nommer avec une extension de fichier CSR, par exemple, mycert.csr. Ce fichier CSR devra ensuite être fourni à votre autorité de certification pour créer le certificat SSL.
Gérer le certificat
Cette sous-section contient divers outils permettant de gérer les certificats SSL que vous avez dans l'ADC.
Afficher
Il peut arriver que vous souhaitiez consulter les détails d'un certificat SSL installé.
·     Sélectionnez le certificat dans le menu déroulant
·     Cliquez sur le bouton Afficher
·     La fenêtre popup ci-dessous sera présentée avec les détails du certificat.
Installation d'un certificat
Une fois que vous avez obtenu le certificat de l'autorité de certification de confiance, vous devez le faire correspondre à la RSC générée et l'installer dans l'ADC.
·     Sélectionnez un certificat que vous avez généré dans les étapes ci-dessus. Un statut (Pending) sera fixé au poste. Dans l'exemple, MyCompanyCertificate est montré dans l'image ci-dessus.
·     Ouvrez le fichier de certificat dans un éditeur de texte
·     Copier l'intégralité du contenu du fichier dans le presse-papiers
·     Collez le contenu du certificat SSL signé que vous avez reçu de l'autorité de confiance dans le champ marqué "Paste Signed".
·     Vous pouvez également coller les intermédiaires en dessous, en prenant soin de suivre l'ordre correct :
1.     (TOP)      Votre certificat signé
2.     (2ème en partant du haut)      Intermédiaire 1
3.     (3ème en partant du haut)      Intermédiaire 2
4.     (En bas)      Intermédiaire 3
5.     Autorité de certification racine     Il n'est pas nécessaire de les ajouter car ils existent sur les machines clientes.
(l'ADC contient également un bundle racine pour le re-cryptage lorsqu'il agit comme un client d'un serveur réel).
·     Cliquez sur Installer
·     Une fois que vous avez installé le certificat, vous devriez voir le statut (Trusted) à côté de votre certificat.
Si vous avez fait une erreur ou si vous avez saisi le mauvais ordre intermédiaire, sélectionnez le certificat (de confiance) et ajoutez à nouveau les certificats (y compris le certificat signé) dans le bon ordre, puis cliquez sur Installer.
Ajouter un intermédiaire
Il est parfois nécessaire d'ajouter les certificats intermédiaires séparément. Par exemple, vous avez peut-être importé un certificat qui ne comporte pas les certificats intermédiaires.
·     Mettre en évidence un certificat (de confiance) ou un certificat (importé)
·     Coller les intermédiaires l'un après l'autre en veillant à ce que l'intermédiaire le plus proche de l'autorité de certification soit collé en dernier.
·     Cliquez sur Ajouter un intermédiaire.
Si vous faites une erreur dans la commande, vous pouvez répéter le processus et ajouter à nouveau les intermédiaires. Cette action ne fera qu'écraser les intermédiaires précédents.
Supprimer un certificat
Vous pouvez supprimer un certificat en utilisant le bouton Supprimer. Une fois supprimé, le certificat sera entièrement retiré du CDA et devra être remplacé, puis réappliqué aux services virtuels si nécessaire.
Note : Veuillez vous assurer que le certificat n'est pas attaché à un VIP opérationnel avant de le supprimer.
Renouveler un certificat
Le bouton Renouveler vous permet d'obtenir une nouvelle demande de signature de certificat. Cette action est nécessaire lorsque le certificat arrive à expiration et doit être renouvelé.
·     Sélectionnez un certificat dans la liste déroulante ; vous pouvez choisir n'importe quel certificat ayant le statut (Pending), (Trusted) ou (Imported).
·     Cliquez sur Renouveler
·     Copiez les détails du nouveau CSR afin d'obtenir un nouveau certificat.
·     Lorsque vous obtenez le nouveau certificat, suivez les étapes détaillées dans le document Show
·    
·     Il peut arriver que vous souhaitiez consulter les détails d'un certificat SSL installé.
·     Sélectionnez le certificat dans le menu déroulant
·     Cliquez sur le bouton Afficher
·     La fenêtre popup ci-dessous sera présentée avec les détails du certificat.
·     Installation d'un certificat.
·     Le certificat nouveau et renouvelé sera maintenant installé dans le CDA.
Importation d'un certificat
Dans de nombreux cas, les entreprises devront utiliser les certificats signés par leur domaine dans le cadre de leur régime de sécurité interne. Les certificats doivent être au format PKCS#12, et des mots de passe protègent invariablement ces certificats.
L'image ci-dessous montre la sous-section pour l'importation d'un seul certificat SSL.
·     Donnez à votre certificat un nom convivial. Ce nom permet de l'identifier dans les listes déroulantes utilisées dans le CDA. Il ne doit pas nécessairement être identique au nom de domaine du certificat, mais doit être alphanumérique et sans espace. Aucun caractère spécial autre que _ et - n'est autorisé.
·     Saisissez le mot de passe que vous avez utilisé pour créer le certificat PKCS#12.
·     Recherchez le fichier {nom du certificat}.pfx
·     Cliquez sur Importer.
·     Votre certificat sera maintenant dans les menus déroulants SSL appropriés dans le CDA.
Importation de plusieurs certificats
Cette section vous permet d'importer un fichier JNBK qui contient plusieurs certificats. Un fichier JNBK est crypté et produit par ADC lors de l'exportation de plusieurs certificats.
·     Recherchez votre fichier JNBK - vous pouvez en créer un en exportant plusieurs certificats.
·     Saisissez le mot de passe que vous avez utilisé pour créer le fichier JNBK.
·     Cliquez sur Importer.
·     Vos certificats seront maintenant dans les menus déroulants SSL appropriés dans le CDA.
Exportation d'un certificat
De temps en temps, vous pouvez souhaiter exporter l'un des certificats détenus dans le CDA. Le CDA a été doté de la capacité de le faire.
 
·     Cliquez sur le ou les certificats que vous souhaitez installer. Vous pouvez cliquer sur l'option Tous pour sélectionner tous les certificats répertoriés.
·     Saisissez un mot de passe pour protéger le fichier exporté. Le mot de passe doit comporter au moins six caractères. Vous pouvez utiliser des lettres, des chiffres et certains symboles. Les caractères suivants ne sont pas acceptés : < > " ' ( ) ; \ | \A3 % &
·     Cliquez sur Exporter
·     Si vous exportez un seul certificat, le fichier résultant sera nommé sslcert_{certname}.pfx. Par exemple sslcert_Test1Cert.pfx
·     Dans le cas d'une exportation de plusieurs certificats, le fichier résultant sera un fichier JNBK. Le nom du fichier sera sslcert__pack.jnbk.
Note : Un fichier JNBK est un fichier conteneur crypté produit par le CDA et valable uniquement pour l'importation dans le CDA.
Widgets
La page Bibliothèque > Widgets vous permet de configurer divers composants visuels légers affichés dans votre tableau de bord personnalisé.
Widgets configurés
La section Widgets configurés vous permet d'afficher, de modifier ou de supprimer tout widget créé à partir de la section des widgets disponibles.
Widgets disponibles
Cinq widgets différents sont fournis dans le CDA, et vous pouvez les configurer selon vos besoins.
Le widget Événements
 
·     Pour ajouter un événement au widget Événements, cliquez sur le bouton Ajouter.
·     Donnez un nom à votre événement. Dans notre exemple, nous avons ajouté Attention Events comme nom d'événement.
·     Ajout d'un filtre de mots-clés. Nous avons également ajouté la valeur de filtre de Attention
·     Cliquez sur Enregistrer, puis sur Fermer
·     Vous verrez maintenant un widget supplémentaire appelé Événements d'attention dans la liste déroulante des widgets configurés.
·     Vous pouvez voir que nous avons maintenant ajouté ce widget dans la section Affichage > Tableau de bord.
·     Sélectionnez le widget Événements Attention pour l'afficher dans le tableau de bord. Voir ci-dessous.
Vous pouvez également mettre en pause et redémarrer le flux de données en direct en cliquant sur le bouton Pause Live Data. En outre, vous pouvez revenir au tableau de bord par défaut à tout moment en cliquant sur le bouton Tableau de bord par défaut.
Le widget Graphiques du système
L'ADC dispose d'un widget graphique système configurable. En cliquant sur le bouton Ajouter du widget, vous pouvez ajouter les graphiques de surveillance suivants à afficher.
·     CPU
·     MEMOIRE
·     DISQUE
Une fois que vous les avez ajoutés, ils seront disponibles individuellement dans le menu des widgets du tableau de bord.
Widget d'interface
Le widget Interface vous permet d'afficher les données de l'interface réseau choisie, comme ETH0, ETH1, etc. Le nombre d'interfaces disponibles pour l'ajout dépend du nombre d'interfaces réseau que vous avez définies pour l'appliance virtuelle ou provisionnées dans l'appliance matérielle.
Une fois que vous avez terminé, cliquez sur le bouton Enregistrer, puis sur le bouton Fermer.
Sélectionnez le widget que vous venez de personnaliser dans le menu déroulant des widgets du tableau de bord. Vous verrez un écran comme celui ci-dessous.
Widget d'état
Le widget Statut vous permet de voir l'équilibrage de charge en action. Vous pouvez également filtrer la vue pour afficher des informations spécifiques.
·     Cliquez sur Ajouter.
·     Saisissez un nom pour le service que vous souhaitez surveiller.
·     Vous pouvez également choisir les colonnes que vous souhaitez afficher dans le widget.
·     Une fois que vous êtes satisfait, cliquez sur Enregistrer, puis sur Fermer.
·     Le widget "Statut" choisi sera disponible dans la section "Tableau de bord".
Widget graphique de trafic
Ce widget peut être configuré pour afficher les données de trafic actuelles et historiques par services virtuels et serveurs réels. En outre, vous pouvez voir les données globales actuelles et historiques du trafic global.
·     Cliquez sur le bouton Ajouter
·     Nommez votre widget.
·     Choisissez une base de données parmi les services virtuels, les serveurs réels ou le système.
·     Si vous choisissez Services virtuels, vous pouvez sélectionner un service virtuel dans la liste déroulante VS/RS.
·     Choisissez une période de temps dans la liste déroulante Dernier.
o     Minute - dernières 60s
o     Heure - données agrégées de chaque minute pour les 60 dernières minutes
o     Jour - données agrégées de chaque heure pour les 24 heures précédentes
o     Semaine - données agrégées de chaque jour au cours des sept jours précédents
o     Mois - données agrégées de chaque semaine pour les sept derniers jours
o     Année - données agrégées de chaque mois au cours des 12 mois précédents
·     Choisissez les données disponibles en fonction de la base de données que vous avez choisie.
o     Base de données des services virtuels
o     Octets dans
o     Octets sortis
o     Octets mis en cache
o     % de compression
o     Connexions actuelles
o     Demandes par seconde
o     Cache Hits
o     Cache Hits (%)
·     Serveurs réels
o     Octets dans
o     Octets sortis
o     Connexions actuelles
o     Demande par seconde
o     Temps de réponse
·     Système
o     % DE CPU
o     Services CPU
o     % de mémoire
o     % de disque libre
o     Octets dans
o     Octets sortis
·     Choisissez d'afficher les valeurs moyennes ou les valeurs de pointe.
·     Une fois que vous avez choisi toutes les options, cliquez sur Enregistrer et fermer.
Exemple de graphique de trafic
Vous pouvez maintenant ajouter votre widget Traffic Graph à la section Affichage > Tableau de bord.