EdgeADC
Guide d'administration de l'ADC d'Edgenexus
×
Menu
Search
 
   
   
   
 
  (c) Edgenexus Limited, 2021

Certificats SSL

Pour utiliser avec succès l'équilibrage de charge de couche 7 avec des serveurs utilisant des connexions cryptées par SSL, l'ADC doit être équipé des certificats SSL utilisés sur les serveurs cibles. Cette condition est nécessaire pour que le flux de données puisse être décrypté, examiné, géré, puis ré-encrypté avant d'être envoyé au serveur cible.
Les certificats SSL peuvent aller des certificats auto-signés que l'ADC peut générer aux certificats traditionnels (wildcard inclus) disponibles auprès de fournisseurs de confiance. Vous pouvez également utiliser des certificats signés par le domaine qui sont générés à partir d'Active Directory.
Que fait le CDA avec le certificat SSL ?
Le CDA peut effectuer des règles de gestion du trafic (flightPATH) en fonction de ce que contiennent les données. Cette gestion ne peut pas être effectuée sur les données cryptées SSL. Lorsque l'ADC doit inspecter les données, il doit d'abord les déchiffrer, et pour cela, il doit disposer du certificat SSL utilisé par le serveur. Une fois décrypté, le CDA sera alors en mesure d'examiner et d'exécuter les règles flightPATH. Ensuite, les données seront ré-encryptées à l'aide du certificat SSL et envoyées sur le serveur réel final.
Créer un certificat
Bien que l'ADC puisse utiliser un certificat SSL de confiance globale, il peut générer un certificat SSL auto-signé. Le SSL auto-signé est parfait pour les exigences d'équilibrage de charge interne. Cependant, vos politiques informatiques peuvent exiger un certificat d'autorité de certification de confiance ou de domaine.
Comment créer un certificat SSL local
·     Remplissez tous les détails comme l'exemple ci-dessus
·     Cliquez sur Créer un certificat local
·     Une fois que vous avez cliqué sur ce point, vous pouvez appliquer le certificat à un service virtuel.
Créer une demande de certificat (CSR)
Lorsque vous devez obtenir un SSL de confiance globale auprès d'un fournisseur externe, vous devez générer un CSR pour générer le certificat SSL.
Remplissez le formulaire comme indiqué ci-dessus avec toutes les données pertinentes, puis cliquez sur le bouton Demande de certificat. La popup correspondant aux données que vous avez fournies vous sera présentée.
Vous devrez couper et coller le contenu dans un fichier TEXTE et le nommer avec une extension de fichier CSR, par exemple, mycert.csr. Ce fichier CSR devra ensuite être fourni à votre autorité de certification pour créer le certificat SSL.
Gérer le certificat
Cette sous-section contient divers outils permettant de gérer les certificats SSL que vous avez dans l'ADC.
Afficher
Il peut arriver que vous souhaitiez examiner les détails d'un certificat SSL installé.
·     Sélectionnez le certificat dans le menu déroulant
·     Cliquez sur le bouton Afficher
·     La popup ci-dessous vous présentera les détails du certificat.
Installation d'un certificat
Une fois que vous avez obtenu le certificat de l'autorité de certification de confiance, vous devez le faire correspondre à la RSC générée et l'installer dans l'ADC.
·     Sélectionnez un certificat que vous avez généré dans les étapes ci-dessus. Un statut (Pending) sera fixé au poste. Dans l'exemple, MyCompanyCertificate est montré dans l'image ci-dessus.
·     Ouvrez le fichier de certificat dans un éditeur de texte
·     Copier l'intégralité du contenu du fichier dans le presse-papiers
·     Collez le contenu du certificat SSL signé que vous avez reçu de l'autorité de confiance dans le champ marqué "Paste Signed".
·     Vous pouvez également coller les intermédiaires en dessous, en prenant soin de suivre l'ordre correct :
1.     (TOP)      Votre certificat signé
2.     (2e du haut)      Intermédiaire 1
3.     (3ème à partir du haut)      Intermédiaire 2
4.     (En bas)      Intermédiaire 3
5.     Autorité de certification racine     Il n'est pas nécessaire de les ajouter car ils existent sur les machines clientes.
(l'ADC contient également un bundle racine pour le re-cryptage lorsqu'il agit en tant que client d'un serveur réel)
·     Cliquez sur Installer
·     Une fois que vous avez installé le certificat, vous devriez voir le statut (Trusted) à côté de votre certificat
Si vous avez fait une erreur ou si vous avez saisi le mauvais ordre intermédiaire, sélectionnez alors le certificat (de confiance) et ajoutez à nouveau les certificats (y compris le certificat signé) dans le bon ordre et cliquez sur Installer.
Ajouter un intermédiaire
Il est parfois nécessaire d'ajouter les certificats intermédiaires séparément. Par exemple, vous avez peut-être importé un certificat qui ne comporte pas les certificats intermédiaires.
·     Mettez en surbrillance un certificat (de confiance) ou un certificat (importé).
·     Collez les intermédiaires les uns sous les autres en veillant à ce que l'intermédiaire le plus proche de l'autorité de certification soit collé en dernier.
·     Cliquez sur Ajouter un intermédiaire.
Si vous faites une erreur dans la commande, vous pouvez répéter le processus et ajouter à nouveau les intermédiaires. Cette action ne fera qu'écraser les intermédiaires précédents.
Supprimer un certificat
Vous pouvez supprimer un certificat en utilisant le bouton Supprimer. Une fois supprimé, le certificat sera entièrement retiré du CDA et devra être remplacé, puis réappliqué aux services virtuels si nécessaire.
Note : Veuillez vous assurer que le certificat n'est pas attaché à un VIP opérationnel avant de le supprimer.
Renouveler un certificat
Le bouton Renouveler vous permet d'obtenir une nouvelle demande de signature de certificat. Cette action est requise lorsque le certificat arrive à expiration et doit être renouvelé.
·     Sélectionnez un certificat dans la liste déroulante ; vous pouvez choisir n'importe quel certificat avec le statut (Pending), (Trusted), ou (Imported)
·     Cliquez sur Renouveler
·     Copiez les nouveaux détails du CSR afin d'obtenir un nouveau certificat
·     Lorsque vous obtenez le nouveau certificat, suivez les étapes détaillées dans le document Show
·    
·     Il peut arriver que vous souhaitiez examiner les détails d'un certificat SSL installé.
·     Sélectionnez le certificat dans le menu déroulant
·     Cliquez sur le bouton Afficher
·     La popup ci-dessous vous présentera les détails du certificat.
·     Installation d'un certificat.
·     Le certificat nouveau et renouvelé sera maintenant installé dans le CDA.
Importation d'un certificat
Dans de nombreux cas, les entreprises devront utiliser les certificats signés par leur domaine dans le cadre de leur régime de sécurité interne. Les certificats doivent être au format PKCS#12, et des mots de passe protègent invariablement ces certificats.
L'image ci-dessous montre la sous-section pour l'importation d'un seul certificat SSL.
·     Donnez à votre certificat un nom convivial. Ce nom permet de l'identifier dans les listes déroulantes utilisées dans le CDA. Il ne doit pas nécessairement être identique au nom de domaine du certificat mais doit être alphanumérique et sans espace. Aucun caractère spécial autre que _ et - n'est autorisé.
·     Tapez le mot de passe que vous avez utilisé pour créer le certificat PKCS#12
·     Recherchez le fichier {nom du certificat}.pfx
·     Cliquez sur Importer.
·     Votre certificat se trouve maintenant dans les menus déroulants SSL pertinents dans le CDA.
Importation de plusieurs certificats
Cette section vous permet d'importer un fichier JNBK qui contient plusieurs certificats. Un fichier JNBK est crypté et produit par ADC lors de l'exportation de plusieurs certificats.
·     Recherchez votre fichier JNBK - vous pouvez en créer un en exportant plusieurs certificats.
·     Tapez le mot de passe que vous avez utilisé pour créer le fichier JNBK
·     Cliquez sur Importer.
·     Vos certificats seront maintenant dans les menus déroulants SSL appropriés dans le CDA.
Exportation d'un certificat
De temps en temps, vous pouvez souhaiter exporter l'un des certificats détenus dans le CDA. Le CDA a été doté de la capacité de le faire.
 
·     Cliquez sur le ou les certificats que vous souhaitez installer. Vous pouvez cliquer sur l'option Tous pour sélectionner tous les certificats répertoriés.
·     Saisissez un mot de passe pour protéger le fichier exporté. Le mot de passe doit comporter au moins six caractères. Des lettres, des chiffres et certains symboles peuvent être utilisés. Les caractères suivants ne sont pas acceptés : < > " ' ( ) ; \ | \A3 % &
·     Cliquez sur Exporter
·     Lorsque vous exportez un seul certificat, le fichier résultant sera nommé sslcert_{certname}.pfx. Par exemple sslcert_Test1Cert.pfx
·     Dans le cas d'une exportation multi-certificats, le fichier résultant sera un fichier JNBK. Le nom du fichier sera sslcert__pack.jnbk.
Remarque : un fichier JNBK est un fichier conteneur crypté produit par le CDA et valable uniquement pour l'importation dans le CDA.