Para usar com sucesso o balanceamento de carga de Camada 7 com servidores usando conexões criptografadas usando SSL, o ADC deve estar equipado com os certificados SSL usados nos servidores alvo. Esta exigência é para que o fluxo de dados possa ser descriptografado, examinado, gerenciado e depois re-encriptado antes de ser enviado para o servidor alvo.
Os certificados SSL podem variar desde certificados autoassinados que o ADC pode gerar até os certificados tradicionais (inclusive wildcard) disponíveis em fornecedores confiáveis. Você também pode usar certificados assinados por domínio que são gerados a partir do Active Directory.
O que o ADC faz com o Certificado SSL?
O ADC pode executar regras de gerenciamento de tráfego (flightPATH) dependendo do que os dados contêm. Este gerenciamento não pode ser realizado com dados criptografados SSL. Quando o ADC tem que inspecionar os dados, ele precisa primeiro decodificá-los, e para isso, precisa ter o certificado SSL usado pelo servidor. Uma vez desencriptados, o ADC poderá então examinar e executar as regras do flightPATH. Em seguida, os dados serão re-encriptados usando o certificado SSL e enviados para o Servidor Real final.
Criar certificado
Embora o ADC possa usar um certificado SSL de confiança mundial, ele pode gerar um Certificado SSL Auto-assinado. O SSL Auto-assinado é perfeito para os requisitos de equilíbrio de carga interna. Entretanto, suas políticas de TI podem exigir um certificado CA de confiança ou de domínio.
Como criar um certificado SSL local
· Preencha todos os detalhes como o exemplo acima
· Clique em Create Local Certificate (Criar certificado local)
· Uma vez clicado, você pode aplicar o certificado a um Serviço Virtual.
Criar uma Solicitação de Certificado (CSR)
Quando você precisar obter um SSL de confiança global de um fornecedor externo, você precisará gerar um CSR para gerar o certificado SSL.
Preencha o formulário como mostrado acima com todos os dados relevantes, e depois clique no botão Solicitação de Certificado. Será apresentado a você o popup correspondente aos dados que você forneceu.
Você precisará cortar e colar o conteúdo em um arquivo TEXT e nomeá-lo com uma extensão CSR, por exemplo, mycert.csr. Este arquivo CSR precisará então ser fornecido à sua autoridade certificadora para criar o certificado SSL.
Gerenciar Certificado
Esta subseção contém várias ferramentas para permitir o gerenciamento dos certificados SSL que você tem dentro do ADC.
Mostrar
Pode haver ocasiões em que você deseje olhar os detalhes de um certificado SSL instalado.
· Selecione o certificado no menu suspenso
· Clique no botão Mostrar
· O popup mostrado abaixo será apresentado com os detalhes do certificado.
Instalação de um certificado
Uma vez obtido o certificado da Autoridade de Certificação Confiável, você precisará compará-lo ao CSR gerado e instalá-lo dentro do ADC.
· Selecione um certificado que você tenha gerado nas etapas acima. Haverá um status (Pendente) fixado para o item. No exemplo, o MyCompanyCertificate é mostrado na imagem acima.
· Abrir o arquivo do certificado em um editor de texto
· Copiar todo o conteúdo do arquivo para a área de transferência
· Cole o conteúdo do certificado SSL assinado que você recebeu da autoridade de confiança no campo marcado Colar Assinado.
· Você também pode colar nos Intermediários abaixo disso, tomando o cuidado de seguir a ordem correta:
1. (TOPO) Seu Certificado Assinado
2. (2º Desde o início) Intermediário 1
3. (3º de cima) Intermediário 2
4. (Fundo) Intermediário 3
5. Autoridade de Certificado de Raiz Não há necessidade de acrescentar isto, pois eles existem nas máquinas dos clientes.
(o ADC também contém um pacote raiz para reencriptação onde atua como um cliente para um Servidor Real)
· Clique em Instalar
· Uma vez instalado o certificado, você deve ver o status (Confiável) ao lado de seu certificado
Se você cometeu um erro ou inseriu a ordem intermediária errada, então selecione o Certificado (Trusted) e adicione os certificados (incluindo o certificado assinado) novamente na ordem correta e clique em Install
Adicionar Intermediário
É necessário, ocasionalmente, acrescentar certificados intermediários separadamente. Por exemplo, você pode ter importado um certificado que não possui os intermediários.
· Destacar um certificado (de confiança) ou certificado (importado)
· Colar os intermediários um abaixo do outro, cuidando para que o intermediário mais próximo da autoridade certificadora seja colado por último.
· Clique em Adicionar Intermediário.
Se você cometer um erro com o pedido, você pode repetir o processo e adicionar novamente os intermediários. Esta ação só sobregravará os intermediários anteriores.
Eliminar um certificado
Você pode apagar um certificado usando o botão Apagar. Uma vez apagado, o certificado será removido inteiramente do ADC e precisará ser substituído e, se necessário, reaplicado aos Serviços Virtuais novamente.
Nota: Por favor, certifique-se de que o certificado não esteja anexado a um VIP operacional antes de apagá-lo.
Renovar um certificado
O botão Renovar permite obter um novo Pedido de Assinatura de Certificado. Esta ação é necessária quando o certificado está prestes a expirar e precisa ser renovado.
· Selecione um certificado da lista suspensa; você pode escolher qualquer certificado com o status (Pendente), (Confiável), ou (Importado)
· Clique em Renovar
· Copie os novos detalhes da RSE para que você possa obter um novo certificado
· Quando você obtiver o novo certificado, siga os passos detalhados em Mostrar
·
· Pode haver ocasiões em que você deseje olhar os detalhes de um certificado SSL instalado.
· Selecione o certificado no menu suspenso
· Clique no botão Mostrar
· O popup mostrado abaixo será apresentado com os detalhes do certificado.
· Instalação de um certificado.
· O novo e renovado certificado será agora instalado no ADC.
Importação de um certificado
Em muitos casos, as empresas corporativas precisarão usar seus certificados assinados por domínio como parte de seus regimes de segurança interna. Os certificados devem estar no formato PKCS#12, e as senhas invariavelmente protegem tais certificados.
A imagem abaixo mostra a subseção para a importação de um único certificado SSL.
· Dê um nome amigável ao seu certificado. O nome o identifica nas listas suspensas utilizadas no ADC. Não precisa ser o mesmo que o nome de domínio do certificado, mas deve ser alfanumérico, sem espaços. Não são permitidos outros caracteres especiais além de _ e -.
· Digite a senha utilizada para criar o certificado PKCS#12
· Procurar pelo {nome do certificado}.pfx
· Clique em Importar.
· Seu certificado estará agora nos menus suspensos relevantes do ADC SSL
Importação de certificados múltiplos
Esta seção permite a importação de um arquivo JNBK que contém vários certificados. Um arquivo JNBK é criptografado e produzido pela ADC ao exportar múltiplos certificados.
· Navegue por seu arquivo JNBK - você pode criar um destes exportando vários certificados
· Digite a senha que você usou para criar o arquivo JNBK
· Clique em Importar.
· Seus certificados agora estarão nos menus suspensos SSL relevantes dentro do ADC
Exportação de um certificado
De tempos em tempos, você pode desejar exportar um dos certificados mantidos dentro do ADC. O ADC foi dotado da capacidade para fazer isso.
· Clique no certificado ou certificados que você deseja instalar. Todos vocês podem clicar na opção Todos para selecionar todos os certificados listados.
· Digite uma senha para proteger o arquivo exportado. A senha deve ter pelo menos seis caracteres de comprimento. Cartas, números e certos símbolos podem ser usados. Os seguintes caracteres não são aceitáveis: < > " ' ( ) ; \ A3 % &
· Clique Exportar
· Quando você estiver exportando um único certificado, o arquivo resultante será denominado sslcert_{certname}.pfx. Por exemplo sslcert_Test1Cert.pfx
· No caso de uma exportação com vários certificados, o arquivo resultante será um arquivo JNBK. O nome do arquivo será sslcert__pack.jnbk.
Nota: Um arquivo JNBK é um arquivo de container criptografado produzido pelo ADC e válido apenas para importação para o ADC