Чтобы успешно использовать балансировку нагрузки уровня 7 с серверами, использующими зашифрованные соединения с помощью SSL, ADC должен быть оснащен сертификатами SSL, используемыми на целевых серверах. Это требование необходимо для того, чтобы поток данных можно было расшифровать, изучить, управлять, а затем повторно зашифровать перед отправкой на целевой сервер.
SSL сертификаты могут варьироваться от самоподписанных сертификатов, которые может генерировать ADC, до традиционных сертификатов (с подстановочным знаком), доступных от надежных поставщиков. Вы также можете использовать сертификаты с доменной подписью, которые генерируются из Active Directory.
Что делает АЦП с SSL-сертификатом?
ADC может выполнять правила управления трафиком (flightPATH) в зависимости от того, что содержат данные. Это управление не может быть выполнено для зашифрованных данных SSL. Когда ADC должен проверить данные, ему необходимо сначала расшифровать их, а для этого ему нужен SSL-сертификат, используемый сервером. После расшифровки ADC сможет изучить и выполнить правила flightPATH. После этого данные будут повторно зашифрованы с помощью SSL-сертификата и отправлены на конечный Real Server.
Создать сертификат
Хотя АЦП может использовать глобально доверенный SSL сертификат, он может генерировать самоподписанный SSL сертификат. Самоподписанный SSL идеально подходит для внутренних требований балансировки нагрузки. Однако Ваши ИТ-политики могут потребовать доверенный сертификат или сертификат ЦС домена.
Как создать локальный SSL сертификат
· Заполните все детали, как в примере выше
· Нажмите на кнопку Создать локальный сертификат
· После этого Вы можете применить сертификат к виртуальной службе.
Создайте запрос на сертификат (CSR)
Когда Вам необходимо получить глобально доверенный SSL от внешнего провайдера, Вам необходимо создать CSR для генерации SSL сертификата.
Заполните форму, как показано выше, всеми соответствующими данными, а затем нажмите кнопку Запрос сертификата. Перед Вами появится всплывающее окно, соответствующее предоставленным Вами данным.
Вам нужно будет вырезать и вставить содержимое в ТЕКСТОВЫЙ файл и назвать его с расширением файла CSR, например, mycert.csr. Этот файл CSR затем нужно будет предоставить в Ваш центр сертификации для создания SSL-сертификата.
Управление сертификатом
Этот подраздел содержит различные инструменты, позволяющие управлять SSL-сертификатами, имеющимися в ADC.
Показать
Бывают случаи, когда Вы хотите просмотреть детали установленного SSL-сертификата.
· Выберите сертификат из выпадающего меню
· Нажмите на кнопку Показать
· Во всплывающем окне, показанном ниже, будет представлена информация о сертификате.
Установка сертификата
Как только Вы получите сертификат от доверенного центра сертификации, Вам нужно будет сопоставить его со сгенерированным CSR и установить его в ADC.
· Выберите сертификат, который Вы сгенерировали в описанных выше шагах. В строке будет зафиксирован статус (Pending). В примере, MyCompanyCertificate показан на изображении выше.
· Откройте файл сертификата в текстовом редакторе
· Скопируйте все содержимое файла в буфер обмена
· Вставьте содержимое подписанного SSL-сертификата, который Вы получили от доверенного органа, в поле с надписью Paste Signed.
· Вы также можете вставить Промежуточные ниже этого, соблюдая правильный порядок:
1. (TOP) Ваш подписанный сертификат
2. (2-й сверху) Промежуточный 1
3. (3-я сверху) Промежуточный 2
4. (Внизу) Промежуточный 3
5. Корневой центр сертификации Нет необходимости добавлять их, так как они существуют на клиентских машинах.
(ADC также содержит корневой пучок для повторного шифрования, когда он действует как клиент Real Server)
· Нажмите кнопку Установить
· Как только Вы установили сертификат, Вы должны увидеть статус (Trusted) рядом с Вашим сертификатом
Если Вы допустили ошибку или ввели неправильный промежуточный порядок, то выберите Сертификат (Доверенный) и добавьте сертификаты (включая подписанный сертификат) снова в правильном порядке и нажмите Установить
Добавить промежуточный
В некоторых случаях требуется добавлять промежуточные сертификаты отдельно. Например, Вы могли импортировать сертификат, не имеющий промежуточных сертификатов.
· Выделите сертификат (доверенный) или сертификат (импортированный)
· Вставьте промежуточные элементы один под другим, следя за тем, чтобы промежуточный элемент, расположенный ближе всего к Центру сертификации, был вставлен последним.
· Нажмите Добавить промежуточный.
Если Вы ошиблись в заказе, Вы можете повторить процесс и добавить промежуточные продукты снова. Это действие только перезапишет предыдущие промежуточные продукты.
Удаление сертификата
Вы можете удалить сертификат с помощью кнопки Удалить. После удаления сертификат будет полностью удален из ADC и его необходимо будет заменить, а затем снова применить к виртуальным службам, если это потребуется.
Примечание: Перед удалением сертификата убедитесь, что он не прикреплен к действующему VIP-клиенту.
Продлить сертификат
Кнопка Renew позволяет Вам получить новый запрос на подписание сертификата. Это действие требуется, когда срок действия сертификата истекает и его необходимо обновить.
· Выберите сертификат из выпадающего списка; Вы можете выбрать любой сертификат со статусом (Ожидающий), (Доверенный) или (Импортированный).
· Нажмите кнопку Обновить
· Скопируйте данные нового CSR, чтобы Вы могли получить новый сертификат
· Когда Вы получите новый сертификат, выполните действия, подробно описанные в разделе Показать
· 
· Бывают случаи, когда Вы хотите просмотреть детали установленного SSL-сертификата.
· Выберите сертификат из выпадающего меню
· Нажмите на кнопку Показать
· Во всплывающем окне, показанном ниже, будет представлена информация о сертификате.
· Установка сертификата.
· Теперь новый и обновленный сертификат будет установлен в ADC.
Импорт сертификата
Во многих случаях корпоративным предприятиям необходимо использовать свои сертификаты, подписанные доменом, как часть внутреннего режима безопасности. Сертификаты должны быть в формате PKCS#12, и такие сертификаты неизменно защищаются паролями.
На рисунке ниже показан подраздел для импорта одного SSL-сертификата.
· Дайте своему сертификату дружественное имя. Это имя идентифицирует его в выпадающих списках, используемых в ADC. Оно не обязательно должно совпадать с именем домена сертификата, но должно быть буквенно-цифровым без пробелов. Не допускается использование специальных символов, кроме _ и -.
· Введите пароль, который Вы использовали для создания сертификата PKCS#12
· Найдите файл {имя сертификата}.pfx
· Нажмите кнопку Импорт.
· Теперь Ваш сертификат будет находиться в соответствующих выпадающих меню SSL в ADC
Импорт нескольких сертификатов
Этот раздел позволяет Вам импортировать файл JNBK, содержащий несколько сертификатов. Файл JNBK шифруется и создается ADC при экспорте нескольких сертификатов.
· Найдите свой файл JNBK - Вы можете создать один из них, экспортируя несколько сертификатов
· Введите пароль, который Вы использовали для создания файла JNBK
· Нажмите кнопку Импорт.
· Теперь Ваши сертификаты будут находиться в соответствующих выпадающих меню SSL в ADC
Экспорт сертификата
Время от времени Вы можете захотеть экспортировать один из сертификатов, хранящихся в АЦП. В АЦП предусмотрена возможность сделать это.
· Щелкните сертификат или сертификаты, которые Вы хотите установить. Вы можете выбрать опцию Все, чтобы выбрать все перечисленные сертификаты.
· Введите пароль для защиты экспортируемого файла. Пароль должен состоять не менее чем из шести символов. Можно использовать буквы, цифры и некоторые символы. Следующие символы недопустимы: < > " ' ( ) ; \ | \A3 % &
· Нажмите кнопку Экспорт
· Если Вы экспортируете один сертификат, результирующий файл будет иметь имя sslcert_{certname}.pfx. Например, sslcert_Test1Cert.pfx
· В случае экспорта нескольких сертификатов, результирующий файл будет файлом JNBK. Имя файла будет sslcert__pack.jnbk.
Примечание: Файл JNBK - это зашифрованный файл контейнера, созданный АЦП и действительный только для импорта в АЦП
