EdgeADC Build 1895
Guia de administração
×
Menu
Search
 
   
   
   
 
  (c) Edgenexus Limited, 2021

Certificados SSL

Para usar com sucesso o balanceamento de carga de Camada 7 com servidores que usam conexões criptografadas usando SSL, o ADC deve estar equipado com os certificados SSL usados nos servidores alvo. Essa exigência é para que o fluxo de dados possa ser descriptografado, examinado, gerenciado e depois re-encriptado antes de ser enviado para o servidor alvo.
Os certificados SSL podem variar de certificados autoassinados que o ADC pode gerar até os certificados tradicionais (inclusive wildcard) disponíveis em fornecedores confiáveis. O senhor também pode usar certificados de domínio assinados que são gerados a partir do Active Directory.
O que o ADC faz com o Certificado SSL?
O ADC pode executar regras de gestão de tráfego (flightPATH) dependendo do que os dados contêm. Essa gestão não pode ser feita com dados criptografados por SSL. Quando o ADC tem que inspecionar os dados, precisa primeiro descriptografá-los, e para isso, precisa ter o certificado SSL usado pelo servidor. Uma vez descriptografados, o ADC poderá então examinar e executar as regras do flightPATH. Depois disso, os dados serão reencriptados usando o certificado SSL e enviados para o servidor real final.
Criar certificado
Embora o ADC possa usar um certificado SSL de confiança mundial, ele pode gerar um certificado SSL autoassinado. O SSL Auto-assinado é perfeito para os requisitos de equilíbrio de carga interna. No entanto, suas políticas de TI podem exigir um certificado CA de confiança ou de domínio.
Como criar um certificado local SSL
·     Preencher todos os detalhes como o exemplo acima
·     Clique em Create Local Certificate (Criar certificado local)
·     Uma vez que o senhor tenha clicado nisso, poderá aplicar o certificado a um Serviço Virtual.
Criar um Pedido de Certificado (CSR)
Quando o senhor precisar obter um SSL de confiança global de um fornecedor externo, precisará gerar um CSR para gerar o certificado SSL.
Preencha o formulário como mostrado acima com todos os dados relevantes, e depois clique no botão Solicitação de Certificado. Será apresentado ao senhor o popup correspondente aos dados que forneceu.
O senhor precisará cortar e colar o conteúdo em um arquivo TEXT e nomeá-lo com uma extensão do arquivo CSR, por exemplo, mycert.csr. Esse arquivo CSR precisará então ser fornecido à autoridade certificadora do senhor para criar o certificado SSL.
Gerenciar Certificado
Esta subseção contém várias ferramentas para permitir a administração dos certificados SSL que o senhor possui dentro da ADC.
Mostrar
Pode haver ocasiões em que o senhor deseje examinar os detalhes de um certificado SSL instalado.
·     Selecione o certificado a partir do menu suspenso
·     Clique no botão Mostrar
·     O popup mostrado abaixo será apresentado com os detalhes do certificado.
Instalação de um certificado
Uma vez que o senhor obtenha o certificado da Autoridade Certificadora Fiduciária, precisará compará-lo ao CSR gerado e instalá-lo dentro da ADC.
·     Selecione um certificado que o senhor tenha gerado nas etapas acima. Haverá um status (pendente) fixado para o item de linha. No exemplo, o MyCompanyCertificate é mostrado na imagem acima.
·     Abrir o arquivo do certificado em um editor de texto
·     Copiar todo o conteúdo do arquivo para a prancheta
·     Cole o conteúdo do certificado SSL assinado que o senhor recebeu da autoridade de confiança no campo marcado "Paste Signed" (Colar Assinado).
·     O senhor também pode colar nos Intermediários abaixo disso, tendo o cuidado de seguir a ordem correta:
1.     (TOPO)      Seu Certificado assinado
2.     (2º De cima)      Intermediário 1
3.     (3º de cima)      Intermediário 2
4.     (Fundo)      Intermediário 3
5.     Autoridade do Certificado de Raiz     Não há necessidade de acrescentar isso, uma vez que eles existem nas máquinas dos clientes.
(o ADC também contém um pacote de raiz para reencriptação onde atua como cliente para um servidor real).
·     Clique Instalar
·     Uma vez instalado o certificado, o senhor deve ver o status (Trusted) ao lado de seu certificado
Se o senhor cometeu um erro ou entrou com a ordem intermediária errada, então selecione o Certificado (Trusted) e acrescente os certificados (inclusive o certificado assinado) novamente na ordem correta e clique em Install
Acrescentar Intermediário
Ocasionalmente, é necessário acrescentar certificados intermediários separadamente. Por exemplo, o senhor pode ter importado um certificado que não possui os intermediários.
·     Destacar um Certificado (de confiança) ou certificado (importado)
·     Colar os intermediários um abaixo do outro, cuidando para que o intermediário mais próximo da autoridade do Certificado seja colado por último.
·     Clique em Add Intermediate (Adicionar intermediário).
Se o senhor cometer um erro com a ordem, poderá repetir o processo e acrescentar novamente os intermediários. Essa ação só sobregravará os intermediários anteriores.
Eliminar um certificado
O senhor pode apagar um certificado usando o botão Apagar. Uma vez eliminado, o certificado será removido inteiramente do ADC e precisará ser substituído, e então reaplicado aos Serviços Virtuais, se necessário, novamente.
Nota: Queira certificar-se de que o certificado não esteja anexado a um VIP operacional antes de apagá-lo.
Renovar um certificado
O botão de renovação permite ao senhor obter um novo pedido de assinatura de certificado. Essa ação é necessária quando o certificado está para expirar e precisa ser renovado.
·     Selecione um certificado da lista suspensa; você pode escolher qualquer certificado com o status (Pendente), (Confiável), ou (Importado)
·     Clique Renovar
·     Copiar os novos dados do CSR para que o senhor possa obter um novo certificado
·     Quando obtiver o novo certificado, siga os passos detalhados em Show
·    
·     Pode haver ocasiões em que o senhor deseje examinar os detalhes de um certificado SSL instalado.
·     Selecione o certificado a partir do menu suspenso
·     Clique no botão Mostrar
·     O popup mostrado abaixo será apresentado com os detalhes do certificado.
·     Instalação de um certificado.
·     O novo e renovado certificado será agora instalado no ADC.
Importação de um certificado
Em muitos casos, as empresas corporativas precisarão usar seus certificados de domínio assinados como parte de seus regimes de segurança interna. Os certificados devem estar no formato PKCS#12, e as senhas invariavelmente protegem esses certificados.
A imagem abaixo mostra a subseção para a importação de um único certificado SSL.
·     Dê a seu certificado um nome amigável. O nome o identifica nas listas de suspensões usadas no ADC. Não precisa ser o mesmo que o nome de domínio do certificado, mas deve ser alfanumérico, sem espaços. Não são permitidos outros caracteres especiais além de _ e - são permitidos.
·     Digite a senha que você usou para criar o certificado PKCS#12
·     Procurar o {certificado}.pfx
·     Clique Importar.
·     Seu certificado estará agora nos menus suspensos relevantes do SSL dentro do ADC
Importação de certificados múltiplos
Esta seção permite ao senhor importar um arquivo JNBK que contém vários certificados. Um arquivo JNBK é criptografado e produzido pela ADC quando da exportação de certificados múltiplos.
·     Procure seu arquivo JNBK - o senhor pode criar um desses documentos exportando vários certificados
·     Digite a senha que usou para criar o arquivo JNBK
·     Clique Importar.
·     Seus certificados estarão agora nos menus suspensos relevantes do SSL dentro do ADC
Exportação de um certificado
De tempos em tempos, o senhor poderá desejar exportar um dos certificados detidos na ADC. O ADC foi dotado da capacidade para fazer isso.
 
·     Clique no certificado ou certificados que o senhor deseja instalar. Todos os senhores podem clicar na opção Todos para selecionar todos os certificados listados.
·     Digite uma senha para proteger o arquivo exportado. A senha deve ter pelo menos seis caracteres de comprimento. Cartas, números, e certos símbolos podem ser usados. Os seguintes caracteres não são aceitáveis: < > " ( ) ; \ A3 % & ( ) ; \ A3 % &
·     Clique Exportar
·     Quando o senhor estiver exportando um único certificado, o arquivo resultante será denominado sslcert_{certname}.pfx. Por exemplo, sslcert_Test1Cert.pfx
·     No caso de uma exportação com vários certificados, o arquivo resultante será um arquivo JNBK. O nome do arquivo será sslcert__pack.jnbk.
Nota: Um arquivo JNBK é um arquivo de container criptografado produzido pela ADC e válido apenas para importação para a ADC.