Pour utiliser avec succès l'équilibrage de charge de couche 7 avec des serveurs utilisant des connexions cryptées par SSL, l'ADC doit être équipé des certificats SSL utilisés sur les serveurs cibles. Cette condition est nécessaire pour que le flux de données puisse être décrypté, examiné, géré, puis ré-encrypté avant d'être envoyé au serveur cible.
Les certificats SSL peuvent aller des certificats auto-signés que l'ADC peut générer aux certificats traditionnels (avec caractères de substitution) disponibles auprès de fournisseurs fiables. Vous pouvez également utiliser des certificats signés par le domaine qui sont générés à partir d'Active Directory.
Que fait le CDA avec le certificat SSL ?
L'ADC peut effectuer des règles de gestion du trafic (flightPATH) en fonction de ce que contiennent les données. Cette gestion ne peut pas être effectuée sur des données cryptées par SSL. Lorsque l'ADC doit inspecter les données, il doit d'abord les déchiffrer, et pour cela, il doit disposer du certificat SSL utilisé par le serveur. Une fois décrypté, l'ADC pourra alors examiner et exécuter les règles flightPATH. Ensuite, les données seront ré-encryptées à l'aide du certificat SSL et envoyées sur le serveur réel final.
Créer un certificat
Bien que l'ADC puisse utiliser un certificat SSL de confiance globale, il peut générer un certificat SSL auto-signé. Le certificat SSL auto-signé est parfait pour les exigences d'équilibrage de charge interne. Cependant, vos politiques informatiques peuvent exiger un certificat d'autorité de certification de confiance ou de domaine.
Comment créer un certificat SSL local
· Remplissez tous les détails comme dans l'exemple ci-dessus.
· Cliquez sur Créer un certificat local
· Une fois que vous avez cliqué sur ce bouton, vous pouvez appliquer le certificat à un service virtuel.
Créer une demande de certificat (CSR)
Lorsque vous devez obtenir un SSL de confiance globale auprès d'un fournisseur externe, vous devez générer un CSR pour générer le certificat SSL.
Remplissez le formulaire comme indiqué ci-dessus avec toutes les données pertinentes, puis cliquez sur le bouton Demande de certificat. Le popup correspondant aux données que vous avez fournies vous sera présenté.
Vous devrez couper et coller le contenu dans un fichier TEXTE et le nommer avec une extension de fichier CSR, par exemple, mycert.csr. Ce fichier CSR devra ensuite être fourni à votre autorité de certification pour créer le certificat SSL.
Gérer le certificat
Cette sous-section contient divers outils permettant de gérer les certificats SSL que vous avez dans l'ADC.
Afficher
Il peut arriver que vous souhaitiez consulter les détails d'un certificat SSL installé.
· Sélectionnez le certificat dans le menu déroulant
· Cliquez sur le bouton Afficher
· La fenêtre popup ci-dessous sera présentée avec les détails du certificat.
Installation d'un certificat
Une fois que vous avez obtenu le certificat de l'autorité de certification de confiance, vous devez le faire correspondre à la RSC générée et l'installer dans l'ADC.
· Sélectionnez un certificat que vous avez généré dans les étapes ci-dessus. Un statut (Pending) sera fixé au poste. Dans l'exemple, MyCompanyCertificate est montré dans l'image ci-dessus.
· Ouvrez le fichier de certificat dans un éditeur de texte
· Copier l'intégralité du contenu du fichier dans le presse-papiers
· Collez le contenu du certificat SSL signé que vous avez reçu de l'autorité de confiance dans le champ marqué "Paste Signed".
· Vous pouvez également coller les intermédiaires en dessous, en prenant soin de suivre l'ordre correct :
1. (TOP) Votre certificat signé
2. (2ème en partant du haut) Intermédiaire 1
3. (3ème en partant du haut) Intermédiaire 2
4. (En bas) Intermédiaire 3
5. Autorité de certification racine Il n'est pas nécessaire de les ajouter car ils existent sur les machines clientes.
(l'ADC contient également un bundle racine pour le re-cryptage lorsqu'il agit comme un client d'un serveur réel).
· Cliquez sur Installer
· Une fois que vous avez installé le certificat, vous devriez voir le statut (Trusted) à côté de votre certificat.
Si vous avez fait une erreur ou si vous avez saisi le mauvais ordre intermédiaire, sélectionnez le certificat (de confiance) et ajoutez à nouveau les certificats (y compris le certificat signé) dans le bon ordre, puis cliquez sur Installer.
Ajouter un intermédiaire
Il est parfois nécessaire d'ajouter les certificats intermédiaires séparément. Par exemple, vous avez peut-être importé un certificat qui ne comporte pas les certificats intermédiaires.
· Mettre en évidence un certificat (de confiance) ou un certificat (importé)
· Coller les intermédiaires l'un après l'autre en veillant à ce que l'intermédiaire le plus proche de l'autorité de certification soit collé en dernier.
· Cliquez sur Ajouter un intermédiaire.
Si vous faites une erreur dans la commande, vous pouvez répéter le processus et ajouter à nouveau les intermédiaires. Cette action ne fera qu'écraser les intermédiaires précédents.
Supprimer un certificat
Vous pouvez supprimer un certificat en utilisant le bouton Supprimer. Une fois supprimé, le certificat sera entièrement retiré du CDA et devra être remplacé, puis réappliqué aux services virtuels si nécessaire.
Note : Veuillez vous assurer que le certificat n'est pas attaché à un VIP opérationnel avant de le supprimer.
Renouveler un certificat
Le bouton Renouveler vous permet d'obtenir une nouvelle demande de signature de certificat. Cette action est nécessaire lorsque le certificat arrive à expiration et doit être renouvelé.
· Sélectionnez un certificat dans la liste déroulante ; vous pouvez choisir n'importe quel certificat ayant le statut (Pending), (Trusted) ou (Imported).
· Cliquez sur Renouveler
· Copiez les détails du nouveau CSR afin d'obtenir un nouveau certificat.
· Lorsque vous obtenez le nouveau certificat, suivez les étapes détaillées dans le document Show
·
· Il peut arriver que vous souhaitiez consulter les détails d'un certificat SSL installé.
· Sélectionnez le certificat dans le menu déroulant
· Cliquez sur le bouton Afficher
· La fenêtre popup ci-dessous sera présentée avec les détails du certificat.
· Installation d'un certificat.
· Le certificat nouveau et renouvelé sera maintenant installé dans le CDA.
Importation d'un certificat
Dans de nombreux cas, les entreprises devront utiliser les certificats signés par leur domaine dans le cadre de leur régime de sécurité interne. Les certificats doivent être au format PKCS#12, et des mots de passe protègent invariablement ces certificats.
L'image ci-dessous montre la sous-section pour l'importation d'un seul certificat SSL.
· Donnez à votre certificat un nom convivial. Ce nom permet de l'identifier dans les listes déroulantes utilisées dans le CDA. Il ne doit pas nécessairement être identique au nom de domaine du certificat, mais doit être alphanumérique et sans espace. Aucun caractère spécial autre que _ et - n'est autorisé.
· Saisissez le mot de passe que vous avez utilisé pour créer le certificat PKCS#12.
· Recherchez le fichier {nom du certificat}.pfx
· Cliquez sur Importer.
· Votre certificat sera maintenant dans les menus déroulants SSL appropriés dans le CDA.
Importation de plusieurs certificats
Cette section vous permet d'importer un fichier JNBK qui contient plusieurs certificats. Un fichier JNBK est crypté et produit par ADC lors de l'exportation de plusieurs certificats.
· Recherchez votre fichier JNBK - vous pouvez en créer un en exportant plusieurs certificats.
· Saisissez le mot de passe que vous avez utilisé pour créer le fichier JNBK.
· Cliquez sur Importer.
· Vos certificats seront maintenant dans les menus déroulants SSL appropriés dans le CDA.
Exportation d'un certificat
De temps en temps, vous pouvez souhaiter exporter l'un des certificats détenus dans le CDA. Le CDA a été doté de la capacité de le faire.
· Cliquez sur le ou les certificats que vous souhaitez installer. Vous pouvez cliquer sur l'option Tous pour sélectionner tous les certificats répertoriés.
· Saisissez un mot de passe pour protéger le fichier exporté. Le mot de passe doit comporter au moins six caractères. Vous pouvez utiliser des lettres, des chiffres et certains symboles. Les caractères suivants ne sont pas acceptés : < > " ' ( ) ; \ | \A3 % &
· Cliquez sur Exporter
· Si vous exportez un seul certificat, le fichier résultant sera nommé sslcert_{certname}.pfx. Par exemple sslcert_Test1Cert.pfx
· Dans le cas d'une exportation de plusieurs certificats, le fichier résultant sera un fichier JNBK. Le nom du fichier sera sslcert__pack.jnbk.
Note : Un fichier JNBK est un fichier conteneur crypté produit par le CDA et valable uniquement pour l'importation dans le CDA.