EdgeADC
Ein Edgenexus ADC-Verwaltungshandbuch
×
Menu

SSL-Zertifikate

Um den Layer-7-Lastausgleich mit Servern, die verschlüsselte Verbindungen mit SSL verwenden, erfolgreich zu nutzen, muss der ADC mit den auf den Zielservern verwendeten SSL-Zertifikaten ausgestattet sein. Diese Anforderung besteht darin, dass der Datenstrom vor dem Senden an den Zielserver entschlüsselt, untersucht, verwaltet und dann wieder verschlüsselt werden kann.
Die SSL-Zertifikate können von selbstsignierten Zertifikaten, die der ADC generieren kann, bis hin zu den traditionellen Zertifikaten (einschließlich Wildcard) reichen, die von vertrauenswürdigen Anbietern erhältlich sind. Sie können auch domänensignierte Zertifikate verwenden, die von Active Directory generiert werden.
Was macht der ADC mit dem SSL-Zertifikat?
Der ADC kann Regeln zur Verkehrsverwaltung (flightPATH) durchführen, je nachdem, was die Daten enthalten. Diese Verwaltung kann nicht für SSL-verschlüsselte Daten durchgeführt werden. Wenn der ADC die Daten untersuchen muss, muss er sie zunächst entschlüsseln und benötigt dazu das vom Server verwendete SSL-Zertifikat. Nach der Entschlüsselung kann die ADC dann die flightPATH-Regeln untersuchen und ausführen. Anschließend werden die Daten mit dem SSL-Zertifikat erneut verschlüsselt und an den endgültigen Real-Server gesendet.
Zertifikat erstellen
Obwohl der ADC ein global vertrauenswürdiges SSL-Zertifikat verwenden kann, kann er ein selbstsigniertes SSL-Zertifikat erzeugen. Das selbstsignierte SSL ist perfekt für interne Lastausgleichsanforderungen. Ihre IT-Richtlinien erfordern jedoch möglicherweise ein vertrauenswürdiges oder Domain-CA-Zertifikat.
So erstellen Sie ein lokales SSL-Zertifikat
·     Füllen Sie alle Details wie im obigen Beispiel aus
·     Klicken Sie auf Lokales Zertifikat erstellen
·     Sobald Sie dies angeklickt haben, können Sie das Zertifikat auf einen virtuellen Dienst anwenden.
Erstellen einer Zertifikatsanforderung (CSR)
Wenn Sie ein global vertrauenswürdiges SSL von einem externen Anbieter beziehen müssen, benötigen Sie eine CSR, um das SSL-Zertifikat zu generieren.
Füllen Sie das Formular wie oben gezeigt mit allen relevanten Daten aus und klicken Sie dann auf die Schaltfläche Zertifikat anfordern. Es wird das Popup angezeigt, das den von Ihnen angegebenen Daten entspricht.
Sie müssen den Inhalt ausschneiden und in eine TEXT-Datei einfügen und diese mit einer CSR-Dateierweiterung benennen, z. B. mycert.csr. Diese CSR-Datei müssen Sie dann Ihrer Zertifizierungsstelle zur Verfügung stellen, um das SSL-Zertifikat zu erstellen.
Zertifikat verwalten
Dieser Unterabschnitt enthält verschiedene Werkzeuge, um die Verwaltung der SSL-Zertifikate zu ermöglichen, die Sie innerhalb des ADC haben.
anzeigen
Es kann vorkommen, dass Sie sich die Details eines installierten SSL-Zertifikats ansehen möchten.
·     Wählen Sie das Zertifikat aus dem Dropdown-Menü
·     Klicken Sie auf die Schaltfläche Anzeigen
·     Das unten gezeigte Popup wird mit den Details des Zertifikats angezeigt.
Installieren eines Zertifikats
Sobald Sie das Zertifikat von der vertrauenswürdigen Zertifizierungsstelle erhalten haben, müssen Sie es mit der generierten CSR abgleichen und innerhalb des ADC installieren.
·     Wählen Sie ein Zertifikat, das Sie in den obigen Schritten erzeugt haben. An der Position wird der Status (Ausstehend) festgelegt. Im Beispiel ist MyCompanyCertificate in der obigen Abbildung zu sehen.
·     Öffnen Sie die Zertifikatsdatei in einem Texteditor
·     Kopieren Sie den gesamten Inhalt der Datei in die Zwischenablage
·     Fügen Sie den Inhalt des signierten SSL-Zertifikats, das Sie von der vertrauenswürdigen Stelle erhalten haben, in das Feld Signiert einfügen ein.
·     Sie können auch die Intermediates darunter einfügen, wobei Sie auf die richtige Reihenfolge achten müssen:
1.     (TOP)      Ihr signiertes Zertifikat
2.     (2. von oben)      Zwischenzeit 1
3.     (3. von oben)      Zwischenzeit 2
4.     (Unten)      Zwischenzeit 3
5.     Root-Zertifizierungsstelle     Diese müssen nicht hinzugefügt werden, da sie auf den Client-Rechnern vorhanden sind.
(der ADC enthält auch ein Root-Bündel für die erneute Verschlüsselung, bei der er als Client zu einem Real Server fungiert).
·     Klicken Sie auf Installieren
·     Sobald Sie das Zertifikat installiert haben, sollten Sie den Status (Trusted) neben Ihrem Zertifikat sehen
Wenn Sie einen Fehler gemacht oder die falsche Zwischenreihenfolge eingegeben haben, dann wählen Sie das Zertifikat (vertrauenswürdig) und fügen Sie die Zertifikate (einschließlich des signierten Zertifikats) wieder in der richtigen Reihenfolge hinzu und klicken Sie auf Installieren
Zwischenzeitlich hinzufügen
Es ist gelegentlich erforderlich, Zwischenzertifikate separat hinzuzufügen. Es kann z. B. sein, dass Sie ein Zertifikat importiert haben, das nicht über die Zwischenzertifikate verfügt.
·     Markieren Sie ein Zertifikat (vertrauenswürdig) oder ein Zertifikat (importiert)
·     Fügen Sie die Zwischenprodukte untereinander ein und achten Sie darauf, dass das Zwischenprodukt, das der Zertifizierungsstelle am nächsten liegt, zuletzt eingefügt wird.
·     Klicken Sie auf Zwischenablage hinzufügen.
Wenn Sie einen Fehler bei der Reihenfolge machen, können Sie den Vorgang wiederholen und die Zwischenschritte erneut hinzufügen. Diese Aktion überschreibt nur die vorherigen Zwischenschritte.
Ein Zertifikat löschen
Sie können ein Zertifikat mit der Schaltfläche Löschen löschen. Nach dem Löschen wird das Zertifikat vollständig aus dem ADC entfernt und muss ersetzt und dann bei Bedarf wieder auf die virtuellen Dienste angewendet werden.
Hinweis: Stellen Sie sicher, dass das Zertifikat nicht an ein betriebsbereites VIP angehängt ist, bevor Sie es löschen.
Ein Zertifikat erneuern
Mit der Schaltfläche Erneuern können Sie eine neue Zertifikatssignierungsanforderung anfordern. Diese Aktion ist erforderlich, wenn das Zertifikat abläuft und erneuert werden muss.
·     Wählen Sie ein Zertifikat aus der Dropdown-Liste; Sie können jedes Zertifikat mit dem Status (Ausstehend), (Vertrauenswürdig) oder (Importiert) wählen
·     Klicken Sie auf Erneuern
·     Kopieren Sie die neuen CSR-Details, damit Sie ein neues Zertifikat erhalten können
·     Wenn Sie das neue Zertifikat erhalten, folgen Sie den Schritten, die in Zeigen
·    
·     Es kann vorkommen, dass Sie sich die Details eines installierten SSL-Zertifikats ansehen möchten.
·     Wählen Sie das Zertifikat aus dem Dropdown-Menü
·     Klicken Sie auf die Schaltfläche Anzeigen
·     Das unten gezeigte Popup wird mit den Details des Zertifikats angezeigt.
·     Installieren eines Zertifikats.
·     Das neue und erneuerte Zertifikat wird nun im ADC installiert.
Importieren eines Zertifikats
In vielen Fällen müssen Unternehmen ihre domänensignierten Zertifikate als Teil ihres internen Sicherheitssystems verwenden. Die Zertifikate müssen im PKCS#12-Format vorliegen, und solche Zertifikate sind immer durch Passwörter geschützt.
Das Bild unten zeigt den Unterabschnitt zum Importieren eines einzelnen SSL-Zertifikats.
·     Geben Sie Ihrem Zertifikat einen freundlichen Namen. Der Name identifiziert es in den im ADC verwendeten Dropdown-Listen. Er muss nicht mit dem Domänennamen des Zertifikats übereinstimmen, muss aber alphanumerisch sein und darf keine Leerzeichen enthalten. Andere Sonderzeichen als _ und - sind nicht erlaubt.
·     Geben Sie das Passwort ein, das Sie zum Erstellen des PKCS#12-Zertifikats verwendet haben
·     Suchen Sie nach der Datei {Zertifikatname}.pfx
·     Klicken Sie auf Importieren.
·     Ihr Zertifikat befindet sich nun in den entsprechenden SSL-Dropdown-Menüs innerhalb des ADC
Importieren von mehreren Zertifikaten
In diesem Abschnitt können Sie eine JNBK-Datei importieren, die mehrere Zertifikate enthält. Eine JNBK-Datei wird verschlüsselt und von ADC erzeugt, wenn Sie mehrere Zertifikate exportieren.
·     Suchen Sie nach Ihrer JNBK-Datei - Sie können eine solche Datei durch den Export mehrerer Zertifikate erstellen
·     Geben Sie das Passwort ein, das Sie zum Erstellen der JNBK-Datei verwendet haben
·     Klicken Sie auf Importieren.
·     Ihre Zertifikate befinden sich nun in den entsprechenden SSL-Dropdown-Menüs innerhalb des ADC
Exportieren eines Zertifikats
Von Zeit zu Zeit möchten Sie vielleicht eines der im ADC gespeicherten Zertifikate exportieren. Das ADC wurde mit der Fähigkeit ausgestattet, dies zu tun.
 
·     Klicken Sie auf das Zertifikat oder die Zertifikate, die Sie installieren möchten. Sie können auch auf die Option Alle klicken, um alle aufgelisteten Zertifikate auszuwählen.
·     Geben Sie ein Passwort ein, um die exportierte Datei zu schützen. Das Passwort muss mindestens sechs Zeichen lang sein. Es können Buchstaben, Zahlen und bestimmte Symbole verwendet werden. Die folgenden Zeichen sind nicht zulässig: < > " ' ( ) ; \ | \A3 % &
·     Klicken Sie auf Exportieren
·     Wenn Sie ein einzelnes Zertifikat exportieren, wird die resultierende Datei sslcert_{certname}.pfx genannt. Zum Beispiel sslcert_Test1Cert.pfx
·     Im Falle eines Exports von mehreren Zertifikaten wird die resultierende Datei eine JNBK-Datei sein. Der Dateiname ist dann sslcert__pack.jnbk.
Hinweis: Eine JNBK-Datei ist eine verschlüsselte Container-Datei, die vom ADC erzeugt wird und nur für den Import in das ADC gültig ist