Para utilizar con éxito el equilibrio de carga de capa 7 con servidores que utilizan conexiones cifradas mediante SSL, el ADC debe estar equipado con los certificados SSL utilizados en los servidores de destino. Este requisito es para que el flujo de datos pueda ser descifrado, examinado, gestionado y luego vuelto a cifrar antes de enviarlo al servidor de destino.
Los certificados SSL pueden ir desde los certificados autofirmados que el ADC puede generar hasta los certificados tradicionales (comodín incluido) disponibles en proveedores de confianza. También puede utilizar certificados firmados por el dominio que se generan desde Active Directory.
¿Qué hace el CAD con el certificado SSL?
El ADC puede realizar reglas de gestión del tráfico (flightPATH) en función de lo que contengan los datos. Esta gestión no se puede realizar sobre los datos encriptados con SSL. Cuando el ADC tiene que inspeccionar los datos, primero necesita descifrarlos, y para ello, necesita tener el certificado SSL utilizado por el servidor. Una vez descifrados, el ADC podrá examinar y ejecutar las reglas flightPATH. A continuación, los datos se volverán a cifrar utilizando el certificado SSL y se enviarán al servidor real final.
Crear certificado
Aunque el ADC puede utilizar un certificado SSL de confianza global, puede generar un certificado SSL autofirmado. El SSL autofirmado es perfecto para los requisitos de equilibrio de carga interna. Sin embargo, sus políticas de TI pueden requerir un certificado CA de confianza o de dominio.
Cómo crear un certificado SSL local
· Rellene todos los datos como en el ejemplo anterior
· Haga clic en Crear certificado local
· Una vez que haya pulsado esto, puede aplicar el certificado a un Servicio Virtual.
Crear una solicitud de certificado (CSR)
Cuando necesite obtener un SSL de confianza global de un proveedor externo, necesitará generar un CSR para generar el certificado SSL.
Rellene el formulario tal y como se muestra arriba con todos los datos pertinentes y, a continuación, haga clic en el botón de solicitud de certificado. Se le presentará la ventana emergente correspondiente a los datos que ha proporcionado.
Deberá cortar y pegar el contenido en un archivo de texto y nombrarlo con una extensión de archivo CSR, por ejemplo, mycert.csr. Este archivo CSR tendrá que ser proporcionado a su autoridad de certificación para crear el certificado SSL.
Gestionar el certificado
Esta sub-sección contiene varias herramientas para permitir la gestión de los certificados SSL que tiene dentro del ADC.
Mostrar
Puede haber ocasiones en las que desee ver los detalles de un certificado SSL instalado.
· Seleccione el certificado en el menú desplegable
· Haga clic en el botón Mostrar
· Se presentará la ventana emergente que se muestra a continuación con los detalles del certificado.
Instalación de un certificado
Una vez que obtenga el certificado de la Autoridad Certificadora de Confianza, tendrá que compararlo con el CSR generado e instalarlo en el ADC.
· Seleccione un certificado que haya generado en los pasos anteriores. Habrá un estado (Pendiente) fijado a la partida. En el ejemplo, MiEmpresaCertificado se muestra en la imagen superior.
· Abra el archivo del certificado en un editor de texto
· Copiar todo el contenido del archivo en el portapapeles
· Pegue el contenido del certificado SSL firmado que ha recibido de la autoridad de confianza en el campo marcado como Paste Signed.
· También puede pegar los intermedios debajo de esto, teniendo cuidado de seguir el orden correcto:
1. (TOP) Su certificado firmado
2. (2º desde arriba) Intermedio 1
3. (3ª desde arriba) Intermedio 2
4. (Abajo) Intermedio 3
5. Autoridad de certificación raíz No es necesario añadir esto ya que existen en las máquinas cliente.
(el ADC también contiene un paquete raíz para la recodificación cuando actúa como cliente de un servidor real)
· Haga clic en Instalar
· Una vez que haya instalado el certificado, debería ver el estado (Trusted) junto a su certificado
Si se ha equivocado o ha introducido un orden intermedio erróneo, seleccione el Certificado (de confianza) y añada los certificados (incluido el certificado firmado) de nuevo en el orden correcto y haga clic en Instalar
Añadir intermedio
En ocasiones es necesario añadir los certificados intermedios por separado. Por ejemplo, puede haber importado un certificado que no tenga los intermedios.
· Resalte un certificado (de confianza) o un certificado (importado)
· Pegue los intermedios uno debajo de otro teniendo cuidado de que el intermedio más cercano a la autoridad de certificación se pegue en último lugar.
· Haz clic en Añadir Intermedio.
Si te equivocas en el orden, puedes repetir el proceso y añadir los intermedios de nuevo. Esta acción sólo sobrescribirá los intermedios anteriores.
Eliminar un certificado
Puede eliminar un certificado utilizando el botón Eliminar. Una vez eliminado, el certificado será eliminado por completo del ADC y deberá ser reemplazado, para luego volver a aplicarlo a los Servicios Virtuales si se requiere nuevamente.
Nota: Asegúrese de que el certificado no está vinculado a una VIP operativa antes de eliminarlo.
Renovar un certificado
El botón Renovar permite obtener una nueva solicitud de firma de certificado. Esta acción es necesaria cuando el certificado está a punto de expirar y necesita ser renovado.
· Seleccione un certificado de la lista desplegable; puede elegir cualquier certificado con el estado (Pendiente), (De confianza) o (Importado)
· Haga clic en Renovar
· Copie los detalles del nuevo CSR para poder obtener un nuevo certificado
· Cuando obtenga el nuevo certificado, siga los pasos detallados en Mostrar
· 
· Puede haber ocasiones en las que desee ver los detalles de un certificado SSL instalado.
· Seleccione el certificado en el menú desplegable
· Haga clic en el botón Mostrar
· Se presentará la ventana emergente que se muestra a continuación con los detalles del certificado.
· Instalación de un certificado.
· El certificado nuevo y renovado se instalará ahora en el CAD.
Importar un certificado
En muchos casos, las empresas corporativas necesitarán utilizar sus certificados firmados por el dominio como parte de sus regímenes de seguridad interna. Los certificados deben estar en formato PKCS#12, y las contraseñas protegen invariablemente dichos certificados.
La imagen siguiente muestra la subsección para importar un solo certificado SSL.
· Asigne a su certificado un nombre amigable. El nombre lo identifica en las listas desplegables utilizadas en el CAD. No es necesario que sea el mismo que el nombre de dominio del certificado, pero debe ser alfanumérico y sin espacios. No se permite ningún carácter especial que no sea _ y -.
· Escriba la contraseña que utilizó para crear el certificado PKCS#12
· Busque el archivo {certificate name}.pfx
· Haga clic en Importar.
· Su certificado estará ahora en los menús desplegables de SSL correspondientes dentro del CAD
Importación de varios certificados
Esta sección le permite importar un archivo JNBK que contenga múltiples certificados. Un archivo JNBK es encriptado y producido por el CAD cuando se exportan múltiples certificados.
· Busque su archivo JNBK - puede crear uno de ellos exportando varios certificados
· Escriba la contraseña que utilizó para crear el archivo JNBK
· Haga clic en Importar.
· Sus certificados estarán ahora en los menús desplegables de SSL correspondientes dentro del CAD
Exportar un certificado
De vez en cuando, es posible que desee exportar uno de los certificados que tiene el CAD. El CAD ha sido dotado de la capacidad de hacerlo.
· Haga clic en el certificado o certificados que desee instalar. Puede hacer clic en la opción Todos para seleccionar todos los certificados de la lista.
· Escriba una contraseña para proteger el archivo exportado. La contraseña debe tener al menos seis caracteres. Se pueden utilizar letras, números y algunos símbolos. Los siguientes caracteres no son aceptables: < > " ' ( ) ; \ | \A3 % &
· Haga clic en Exportar
· Si exporta un solo certificado, el archivo resultante se llamará sslcert_{certname}.pfx. Por ejemplo, sslcert_Test1Cert.pfx
· En el caso de una exportación de varios certificados, el archivo resultante será un archivo JNBK. El nombre del archivo será sslcert__pack.jnbk.
Nota: Un archivo JNBK es un archivo contenedor encriptado producido por el CAD y válido sólo para la importación en el CAD
