EdgeADC Build 4.2.8.1909
边缘ADC
×
Menu
Search
 
   
   
   
 
 © Edgenexus Limited, 2021

SSL证书

为了成功地与使用SSL加密连接的服务器使用第7层负载平衡,ADC必须配备目标服务器上使用的SSL证书。这一要求是为了使数据流能够被解密、检查、管理,然后在发送至目标服务器之前重新加密。
SSL证书的范围可以从ADC可以生成的自签名证书到受信任的供应商提供的传统证书(包括通配符)。你还可以使用从活动目录生成的域签名证书。
ADCSSL证书做什么?
ADC可以根据数据包含的内容,执行流量管理规则(flightPATH)。这种管理不能在SSL加密的数据上执行。当ADC必须检查数据时,它首先需要解密,为此,它需要有服务器使用的SSL证书。一旦解密,ADC将能够检查并执行flightPATH规则。在这之后,数据将使用SSL证书重新加密,并被发送到最终的Real服务器上。
创建证书
尽管ADC可以使用全球信任的SSL证书,但它可以生成一个自签名SSL证书。自签名SSL非常适合于内部负载平衡的要求。然而,你的IT政策可能需要一个受信任或域CA证书。
如何创建本地SSL证书
·     像上面的例子一样,填写所有细节
·     单击 "创建本地证书
·     一旦你点击了这一点,你就可以将证书应用于虚拟服务。
创建一个证书请求(CSR
当你需要从外部供应商那里获得全球信任的SSL时,你将需要生成CSR来生成SSL证书。
如上图所示,在表格中填写所有相关数据,然后点击证书申请按钮。你将会看到与你提供的数据相对应的弹出窗口。
你需要将内容剪切并粘贴到一个文本文件中,并以CSR文件的扩展名命名,例如,mycert.csr。这个CSR文件将需要提供给你的证书颁发机构以创建SSL证书。
管理证书
该子部分包含各种工具,允许管理你在ADC内拥有的SSL证书。
显示
有时,你可能希望查看已安装的SSL证书的细节。
·     从下拉菜单中选择证书
·     单击 "显示 "按钮
·     下面显示的弹出窗口将显示证书的详细信息。
安装证书
一旦你从受信任的证书颁发机构获得证书,你将需要将其与生成的CSR相匹配,并在ADC内安装它。
·     选择你在上述步骤中生成的证书。该行项目将有一个固定的(Pending)状态。在这个例子中,MyCompanyCertificate显示在上面的图片中。
·     在一个文本编辑器中打开证书文件
·     将文件的全部内容复制到剪贴板上
·     将你从受信任机构收到的已签署的SSL证书的内容粘贴到标有 "已签署 "的字段中。
·     你也可以在这下面粘贴中间人,注意遵循正确的顺序。
1.     (TOP)     你签署的证书
2.     (从头开始的第二项)     中级1
3.     (从上到下第三位)     中级2
4.     (底部)     中级3
5.     根证书机构     不需要添加这个,因为它们存在于客户机上。
(ADC也包含一个用于重新加密的根捆绑,在那里它充当Real服务器的一个客户端)
·     点击安装
·     一旦你安装了证书,你应该在你的证书旁边看到状态(受信任)。
如果你犯了一个错误或输入了错误的中间顺序,那么选择证书(受信任的)并按照正确的顺序再次添加证书(包括已签署的证书),然后点击安装。
添加中级
有时需要单独添加中间证书。例如,你可能导入了一个没有中间文件的证书。
·     突出显示一个证书(受信任的)或证书(已导入)。
·     一个一个地粘贴中间件,注意最接近证书授权的中间件要最后粘贴。
·     点击添加中级。
如果你犯了一个错误的顺序,你可以重复这个过程并再次添加中间物。这个动作将只覆盖之前的中间物。
删除一个证书
你可以使用删除按钮删除一个证书。一旦删除,该证书将完全从ADC中删除,并需要被替换,然后在需要时重新应用于虚拟服务。
注意:在删除证书之前,请确保该证书没有附加到一个正在运行的VIP上。
更新证书
更新按钮允许你获得一个新的证书签名请求。当证书过期需要更新时,就需要进行这一操作。
·     从下拉列表中选择一个证书;你可以选择任何具有(待定)、(可信)或(已导入)状态的证书
·     点击更新
·     复制新的CSR细节,以便你能获得新的证书
·     当你获得新的证书时,请按照 "显示 "中详述的步骤操作。
·    
·     有时,你可能希望查看已安装的SSL证书的细节。
·     从下拉菜单中选择证书
·     单击 "显示 "按钮
·     下图所示的弹出窗口将显示该证书的详细信息。
·     安装证书。
·     新的和更新的证书现在将被安装到ADC中。
导入证书
在许多情况下,公司企业将需要使用他们的域名签名证书作为其内部安全制度的一部分。这些证书必须是PKCS#12格式,而密码必然会保护这些证书。
下面的图片显示了导入单个SSL证书的子部分。
·     给你的证书一个友好的名字。该名称可以在ADC中使用的下拉列表中识别它。它不需要与证书域名相同,但必须是没有空格的字母数字。除了 _ 和 - 之外,不允许使用其他特殊字符。
·     输入你用来创建PKCS#12证书的密码
·     浏览{证书名称}.pfx
·     点击导入。
·     你的证书现在将出现在ADC的相关SSL下拉菜单中。
导入多个证书
本节允许你导入一个包含多个证书的JNBK文件。当导出多个证书时,JNBK文件会被ADC加密并产生。
·     浏览你的JNBK文件 - 你可以通过导出多个证书来创建一个这样的文件
·     输入你用来创建JNBK文件的密码
·     点击导入。
·     你的证书现在将出现在ADC的相关SSL下拉菜单中。
导出证书
有时,你可能希望导出ADC中持有的一个证书。ADC已经具备了这样的能力。
 
·     点击你想安装的证书。你可以点击全部选项来选择所有列出的证书。
·     键入一个密码以保护导出的文件。密码必须至少有六个字符的长度。可以使用字母、数字和某些符号。以下字符是不能接受的: < > " ' ( ) ; \ | \A3 % &
·     点击出口
·     如果你要导出单个证书,生成的文件将被命名为sslcert_{certname}.pfx。例如,sslcert_Test1Cert.pfx
·     在多证书输出的情况下,产生的文件将是一个 JNBK 文件。文件名将是sslcert__pack.jnbk。
注意:JNBK文件是由ADC产生的加密容器文件,只对导入ADC有效。