EdgeADC
Руководство по администрированию Edgenexus ADC
×
Menu

SSL-сертификаты

Чтобы успешно использовать балансировку нагрузки уровня 7 с серверами, использующими зашифрованные соединения с помощью SSL, ADC должен быть оснащен сертификатами SSL, используемыми на целевых серверах. Это требование необходимо для того, чтобы поток данных можно было расшифровать, изучить, управлять, а затем повторно зашифровать перед отправкой на целевой сервер.
SSL-сертификаты могут варьироваться от самоподписанных сертификатов, которые может генерировать ADC, до традиционных сертификатов (с подстановочным знаком), доступных от надежных поставщиков. Вы также можете использовать сертификаты с доменной подписью, которые генерируются из Active Directory.
Что делает ADC с SSL-сертификатом?
ADC может выполнять правила управления трафиком (flightPATH) в зависимости от того, что содержат данные. Это управление не может быть выполнено для зашифрованных данных SSL. Когда ADC должен проверить данные, ему необходимо сначала расшифровать их, а для этого ему нужен SSL-сертификат, используемый сервером. После расшифровки ADC сможет изучить и выполнить правила flightPATH. После этого данные будут повторно зашифрованы с помощью SSL-сертификата и отправлены на конечный Real Server.
Создать сертификат
Хотя ADC может использовать глобально доверенный сертификат SSL, он может генерировать самоподписанный сертификат SSL. Самоподписанный SSL-сертификат идеально подходит для внутренних требований балансировки нагрузки. Однако ваши ИТ-политики могут потребовать наличия доверенного сертификата или сертификата ЦС домена.
Как создать локальный SSL-сертификат
·     Заполните все данные, как в примере выше
·     Нажмите на кнопку Создать локальный сертификат
·     После этого вы можете применить сертификат к виртуальной службе.
Создание запроса на сертификат (CSR)
Когда вам нужно получить глобально доверенный SSL от внешнего провайдера, вам нужно будет создать CSR для генерации SSL-сертификата.
Заполните форму, как показано выше, всеми соответствующими данными, а затем нажмите кнопку Запрос сертификата. Перед вами появится всплывающее окно, соответствующее предоставленным вами данным.
Вам нужно будет вырезать и вставить содержимое в ТЕКСТОВЫЙ файл и назвать его с расширением CSR, например, mycert.csr. Этот файл CSR нужно будет предоставить в центр сертификации для создания SSL-сертификата.
Управление сертификатом
Этот подраздел содержит различные инструменты, позволяющие управлять SSL-сертификатами, имеющимися в ADC.
Показать
Бывают случаи, когда вы хотите просмотреть детали установленного SSL-сертификата.
·     Выберите сертификат из выпадающего меню
·     Нажмите на кнопку Показать
·     Во всплывающем окне, показанном ниже, будут представлены сведения о сертификате.
Установка сертификата
После получения сертификата от доверенного центра сертификации необходимо сопоставить его со сгенерированным CSR и установить его в ADC.
·     Выберите сертификат, который вы создали в описанных выше шагах. Для элемента строки будет установлен статус (Pending). В примере MyCompanyCertificate показан на изображении выше.
·     Откройте файл сертификата в текстовом редакторе
·     Копирование всего содержимого файла в буфер обмена
·     Вставьте содержимое подписанного SSL-сертификата, полученного от доверенного центра, в поле с надписью Paste Signed.
·     Вы также можете вставить промежуточные элементы ниже этого, соблюдая правильный порядок:
1.     (TOP)     Подписанный вами сертификат
2.     (2-й сверху)     Промежуточный 1
3.     (3-я сверху)     Промежуточный 2
4.     (Внизу)     Промежуточный 3
5.     Корневой центр сертификации     Нет необходимости добавлять их, поскольку они существуют на клиентских машинах.
(ADC также содержит корневой пучок для повторного шифрования, когда он выступает в качестве клиента Real Server)
·     Нажмите кнопку Установить
·     После установки сертификата вы должны увидеть статус (Trusted) рядом с вашим сертификатом.
Если вы допустили ошибку или ввели неправильный порядок промежуточных сертификатов, выберите Сертификат (Доверенный) и добавьте сертификаты (включая подписанный сертификат) снова в правильном порядке и нажмите Установить
Добавить посредника
В некоторых случаях требуется добавлять промежуточные сертификаты отдельно. Например, вы могли импортировать сертификат, не содержащий промежуточных сертификатов.
·     Выделите сертификат (доверенный) или сертификат (импортированный)
·     Вставьте промежуточные элементы один под другим, следя за тем, чтобы промежуточный элемент, расположенный ближе всего к центру сертификации, был вставлен последним.
·     Нажмите Добавить промежуточный.
Если вы ошиблись в заказе, вы можете повторить процесс и добавить промежуточные продукты снова. Это действие только перезапишет предыдущие промежуточные продукты.
Удаление сертификата
Вы можете удалить сертификат с помощью кнопки Delete. После удаления сертификат будет полностью удален из ADC, и его необходимо будет заменить, а затем снова применить к виртуальным службам, если это потребуется.
Примечание: Перед удалением сертификата убедитесь, что он не прикреплен к рабочему VIP-клиенту.
Продлить сертификат
Кнопка Renew позволяет получить новый запрос на подпись сертификата. Это действие требуется, когда срок действия сертификата истекает и его необходимо обновить.
·     Выберите сертификат из выпадающего списка; вы можете выбрать любой сертификат со статусом (Ожидающий), (Доверенный) или (Импортированный).
·     Нажмите кнопку Обновить
·     Скопируйте данные нового CSR, чтобы можно было получить новый сертификат
·     Когда вы получите новый сертификат, выполните действия, описанные в разделе Показать
·    
·     Бывают случаи, когда вы хотите просмотреть детали установленного SSL-сертификата.
·     Выберите сертификат из выпадающего меню
·     Нажмите на кнопку Показать
·     Во всплывающем окне, показанном ниже, будут представлены сведения о сертификате.
·     Установка сертификата.
·     Теперь новый и обновленный сертификат будет установлен в ADC.
Импорт сертификата
Во многих случаях корпоративным предприятиям необходимо использовать свои сертификаты, подписанные доменом, как часть внутреннего режима безопасности. Сертификаты должны быть в формате PKCS#12, и такие сертификаты неизменно защищаются паролями.
На рисунке ниже показан подраздел для импорта одного SSL-сертификата.
·     Дайте своему сертификату дружественное имя. Это имя идентифицирует его в раскрывающихся списках, используемых в ADC. Оно не обязательно должно совпадать с именем домена сертификата, но должно быть буквенно-цифровым без пробелов. Не допускается использование специальных символов, кроме _ и -.
·     Введите пароль, который вы использовали для создания сертификата PKCS#12
·     Найдите файл {имя сертификата}.pfx
·     Нажмите Импорт.
·     Теперь ваш сертификат будет находиться в соответствующих выпадающих меню SSL в ADC.
Импорт нескольких сертификатов
Этот раздел позволяет импортировать файл JNBK, содержащий несколько сертификатов. Файл JNBK шифруется и создается ADC при экспорте нескольких сертификатов.
·     Найдите свой файл JNBK - вы можете создать один из них, экспортировав несколько сертификатов
·     Введите пароль, который вы использовали для создания файла JNBK
·     Нажмите Импорт.
·     Теперь ваши сертификаты будут находиться в соответствующих выпадающих меню SSL в ADC.
Экспорт сертификата
Время от времени вы можете захотеть экспортировать один из сертификатов, хранящихся в АЦП. Для этого в АЦП предусмотрена соответствующая возможность.
 
·     Щелкните сертификат или сертификаты, которые вы хотите установить. Вы можете выбрать опцию Все, чтобы выбрать все перечисленные сертификаты.
·     Введите пароль для защиты экспортируемого файла. Пароль должен состоять не менее чем из шести символов. Можно использовать буквы, цифры и некоторые символы. Следующие символы недопустимы: < > " ' ( ) ; \ | \A3 % &
·     Нажмите кнопку Экспорт
·     Если вы экспортируете один сертификат, полученный файл будет иметь имя sslcert_{certname}.pfx. Например, sslcert_Test1Cert.pfx
·     В случае экспорта нескольких сертификатов результирующим файлом будет файл JNBK. Имя файла будет sslcert__pack.jnbk.
Примечание: Файл JNBK - это зашифрованный файл контейнера, созданный АЦП и действительный только для импорта в АЦП.
Виджеты
На странице Библиотека > Виджеты можно настроить различные легкие визуальные компоненты, отображаемые на пользовательской приборной панели.
Настроенные виджеты
Раздел Настроенные виджеты позволяет просматривать, редактировать или удалять любые виджеты, созданные в разделе доступных виджетов.
Доступные виджеты
В ADC предусмотрено пять различных виджетов, которые можно настроить в соответствии с вашими требованиями.
Виджет событий
 
·     Чтобы добавить событие в виджет "События", нажмите кнопку Добавить.
·     Укажите название для вашего события. В нашем примере в качестве названия события мы добавили Attention Events.
·     Добавьте фильтр ключевых слов. Мы также добавили значение фильтра Внимание
·     Нажмите Сохранить, затем Закрыть
·     Теперь вы увидите дополнительный виджет под названием Attention Events в выпадающем списке Configured Widgets.
·     Вы можете видеть, что теперь мы добавили этот виджет в раздел View > Dashboard.
·     Выберите виджет "События внимания", чтобы отобразить его на приборной панели. См. ниже.
Вы также можете приостановить и возобновить показ данных в реальном времени, нажав кнопку Pause Live Data. Кроме того, вы можете в любой момент вернуться к приборной панели по умолчанию, нажав кнопку Default Dashboard.
Виджет системных графиков
В АЦП имеется настраиваемый виджет System Graph. Нажав кнопку Добавить на виджете, вы можете добавить следующие графики мониторинга для отображения.
·     ПРОЦЕССОР
·     ПАМЯТЬ
·     ДИСК
После добавления они будут доступны по отдельности в меню виджетов приборной панели.
Виджет интерфейса
Виджет Interface позволяет отображать данные для выбранного сетевого интерфейса, например, ETH0, ETH1 и так далее. Количество доступных интерфейсов для добавления зависит от того, сколько сетевых интерфейсов вы определили для виртуального устройства или обеспечили в аппаратном устройстве.
После завершения нажмите кнопку Сохранить, а затем кнопку Закрыть.
Выберите виджет, который вы только что настроили, из выпадающего меню виджета на панели инструментов. Вы увидите экран, как показано на рисунке ниже.
Виджет состояния
Виджет Status позволяет увидеть балансировку нагрузки в действии. Вы также можете фильтровать представление, чтобы показать конкретную информацию.
·     Нажмите Добавить.
·     Введите имя службы, которую вы хотите контролировать
·     Вы также можете выбрать, какие колонки вы хотите отобразить в виджете.
·     Как только вы будете удовлетворены, нажмите Сохранить, а затем Закрыть.
·     Выбранный виджет Status будет доступен в разделе Dashboard.
Виджет графики трафика
Этот виджет может быть настроен на отображение текущих и исторических данных трафика по виртуальным службам и реальным серверам. Кроме того, вы можете просмотреть общие текущие и исторические данные по глобальному трафику
·     Нажмите кнопку Добавить
·     Назовите свой виджет.
·     Выберите базу данных среди виртуальных служб, реальных серверов или системы.
·     Если вы выбрали Virtual Services, вы можете выбрать виртуальную службу из раскрывающегося списка VS/RS.
·     Выберите временной интервал из раскрывающегося списка Последний.
o     Минута - последние 60
o     Час - агрегированные данные с каждой минуты за последние 60 минут
o     День - агрегированные данные за каждый час за предыдущие 24 часа
o     Неделя - агрегированные данные за каждый день в течение предыдущих семи дней
o     Месяц - агрегированные данные за каждую неделю за последние семь дней
o     Год - агрегированные данные за каждый месяц в течение предыдущих 12 месяцев
·     Выберите Доступные данные в зависимости от выбранной базы данных
o     База данных виртуальных служб
o     Байты в
o     Вывод байтов
o     Кэшированные байты
o     Сжатие %
o     Текущие соединения
o     Запросы в секунду
o     Хиты кэша
o     Хиты кэша %
·     Настоящие серверы
o     Байты в
o     Вывод байтов
o     Текущие соединения
o     Запрос в секунду
o     Время отклика
·     Система
o     CPU %
o     Услуги ЦП
o     Память %
o     Свободный диск %
o     Байты в
o     Вывод байтов
·     Выбор отображения средних или пиковых значений
·     После выбора всех параметров нажмите Сохранить и закрыть
Пример графика трафика
Теперь вы можете добавить свой виджет Traffic Graph в меню View > Dashboard.