Para utilizar con éxito el equilibrio de carga de capa 7 con servidores que utilizan conexiones cifradas mediante SSL, el ADC debe estar equipado con los certificados SSL utilizados en los servidores de destino. Este requisito es para que el flujo de datos pueda ser descifrado, examinado, gestionado y luego vuelto a cifrar antes de enviarlo al servidor de destino.
Los certificados SSL pueden ir desde los certificados autofirmados que el ADC puede generar hasta los certificados tradicionales (comodín incluido) disponibles en proveedores de confianza. También puede utilizar certificados firmados por el dominio que se generan desde Active Directory.
¿Qué hace el CAD con el certificado SSL?
El CAD puede realizar reglas de gestión del tráfico (flightPATH) en función de lo que contengan los datos. Esta gestión no puede realizarse sobre los datos encriptados con SSL. Cuando el ADC tiene que inspeccionar los datos, necesita primero descifrarlos y para ello necesita disponer del certificado SSL utilizado por el servidor. Una vez descifrados, el ADC podrá entonces examinar y realizar las reglas flightPATH. A continuación, los datos se volverán a encriptar utilizando el certificado SSL y se enviarán al servidor real final.
Crear certificado
Aunque el ADC puede utilizar un certificado SSL de confianza global, puede generar un certificado SSL autofirmado. El SSL autofirmado es perfecto para los requisitos de equilibrio de carga internos. Sin embargo, es posible que sus políticas de TI requieran un certificado CA de confianza o de dominio.
Cómo crear un certificado SSL local
· Rellene todos los datos como en el ejemplo anterior
· Haga clic en Crear certificado local
· Una vez que haya pulsado esto, podrá aplicar el certificado a un Servicio Virtual.
Crear una solicitud de certificado (CSR)
Cuando necesite obtener un SSL de confianza global de un proveedor externo, necesitará generar una CSR para generar el certificado SSL.
Rellene el formulario tal y como se muestra arriba con todos los datos pertinentes y, a continuación, haga clic en el botón de solicitud de certificado. Se le presentará la ventana emergente correspondiente a los datos que ha proporcionado.
Deberá cortar y pegar el contenido en un archivo de TEXTO y nombrarlo con una extensión de archivo CSR, por ejemplo, mycert.csr. Este archivo CSR tendrá que ser proporcionado a su autoridad de certificación para crear el certificado SSL.
Gestionar el certificado
Esta sub-sección contiene varias herramientas que permiten la gestión de los certificados SSL que tiene dentro del ADC.
Mostrar
Puede haber ocasiones en las que desee mirar los detalles de un certificado SSL instalado.
· Seleccione el certificado en el menú desplegable
· Haga clic en el botón Mostrar
· Se presentará la ventana emergente que se muestra a continuación con los detalles del certificado.
Instalación de un certificado
Una vez que obtenga el certificado de la Autoridad Certificadora de Confianza, tendrá que compararlo con la CSR generada e instalarlo dentro del ADC.
· Seleccione un certificado que haya generado en los pasos anteriores. Habrá un estado (Pendiente) fijado a la partida. En el ejemplo, el certificado de MiEmpresa se muestra en la imagen superior.
· Abra el archivo del certificado en un editor de texto
· Copiar todo el contenido del archivo en el portapapeles
· Pegue el contenido del certificado SSL firmado que recibió de la autoridad de confianza en el campo marcado como Paste Signed.
· También puede pegar los intermedios debajo de esto, teniendo cuidado de seguir el orden correcto:
1. (TOP) Su certificado firmado
2. (2º desde arriba) Intermedio 1
3. (3ª desde arriba) Intermedio 2
4. (Abajo) Intermedio 3
5. Autoridad de certificación raíz No es necesario añadir esto ya que existen en las máquinas cliente.
(el ADC también contiene un paquete raíz para la recodificación en el que actúa como cliente de un servidor real)
· Haga clic en Instalar
· Una vez que haya instalado el certificado, debería ver el estado (Trusted) junto a su certificado
Si se ha equivocado o ha introducido un orden intermedio erróneo, seleccione el certificado (de confianza) y añada de nuevo los certificados (incluido el certificado firmado) en el orden correcto y haga clic en Instalar
Añadir intermedio
En ocasiones es necesario añadir los certificados intermedios por separado. Por ejemplo, puede haber importado un certificado que no tenga los intermedios.
· Resalte un certificado (de confianza) o un certificado (importado)
· Pegue los intermedios uno debajo de otro teniendo cuidado de que el intermedio más cercano a la autoridad de certificación se pegue en último lugar.
· Haga clic en "Añadir intermedio".
Si se equivoca en el orden, puede repetir el proceso y añadir los intermedios de nuevo. Esta acción sólo sobrescribirá los intermedios anteriores.
Borrar un certificado
Puede eliminar un certificado utilizando el botón Eliminar. Una vez borrado, el certificado se eliminará por completo del CAD y tendrá que ser sustituido, para luego volver a aplicarlo a los servicios virtuales si se requiere de nuevo.
Nota: Asegúrese de que el certificado no está unido a una VIP operativa antes de borrarlo.
Renovar un certificado
El botón Renovar le permite obtener una nueva solicitud de firma de certificado. Esta acción es necesaria cuando el certificado está a punto de caducar y necesita ser renovado.
· Seleccione un certificado de la lista desplegable; puede elegir cualquier certificado con el estado (Pendiente), (De confianza) o (Importado)
· Haga clic en Renovar
· Copie los detalles de la nueva CSR para poder obtener un nuevo certificado
· Cuando obtenga el nuevo certificado, siga los pasos detallados en Mostrar
· 
· Puede haber ocasiones en las que desee mirar los detalles de un certificado SSL instalado.
· Seleccione el certificado en el menú desplegable
· Haga clic en el botón Mostrar
· Se presentará la ventana emergente que se muestra a continuación con los detalles del certificado.
· Instalación de un certificado.
· El certificado nuevo y renovado se instalará ahora en el CAD.
Importar un certificado
En muchos casos, las empresas corporativas necesitarán utilizar sus certificados firmados por el dominio como parte de sus regímenes de seguridad internos. Los certificados deben estar en formato PKCS#12, y las contraseñas protegen invariablemente dichos certificados.
La imagen siguiente muestra la subsección para importar un solo certificado SSL.
· Asigne a su certificado un nombre amigable. Este nombre lo identifica en las listas desplegables utilizadas en el CAD. No es necesario que sea el mismo que el nombre de dominio del certificado, pero debe ser alfanumérico y sin espacios. No se permiten caracteres especiales distintos de _ y -.
· Escriba la contraseña que utilizó para crear el certificado PKCS#12
· Busque el {nombre del certificado}.pfx
· Haga clic en Importar.
· Su certificado estará ahora en los menús desplegables de SSL correspondientes dentro del CAD
Importación de varios certificados
Esta sección le permite importar un archivo JNBK que contenga múltiples certificados. Un archivo JNBK es encriptado y producido por el CAD cuando se exportan múltiples certificados.
· Busque su archivo JNBK - puede crear uno de ellos exportando varios certificados
· Escriba la contraseña que utilizó para crear el archivo JNBK
· Haga clic en Importar.
· Sus certificados estarán ahora en los menús desplegables de SSL correspondientes dentro del CAD
Exportar un certificado
De vez en cuando, es posible que desee exportar uno de los certificados que tiene el CAD. El CAD ha sido dotado de la capacidad de hacerlo.
· Haga clic en el certificado o certificados que desee instalar. Puede hacer clic en la opción Todos para seleccionar todos los certificados de la lista.
· Escriba una contraseña para proteger el archivo exportado. La contraseña debe tener al menos seis caracteres. Se pueden utilizar letras, números y algunos símbolos. Los siguientes caracteres no son aceptables: < > " ' ( ) ; \ | \A3 % &
· Haga clic en Exportar
· Si exporta un solo certificado, el archivo resultante se llamará sslcert_{certname}.pfx. Por ejemplo sslcert_Test1Cert.pfx
· En el caso de una exportación de varios certificados, el archivo resultante será un archivo JNBK. El nombre del archivo será sslcert__pack.jnbk.
Nota: Un archivo JNBK es un archivo contenedor encriptado producido por el CAD y válido sólo para la importación en el CAD
