Per utilizzare con successo il bilanciamento del carico Layer 7 con i server che utilizzano connessioni crittografate tramite SSL, l'ADC deve essere dotato dei certificati SSL utilizzati sui server di destinazione. Questo requisito è in modo che il flusso di dati possa essere decriptato, esaminato, gestito e poi ricriptato prima dell'invio al server di destinazione.
I certificati SSL possono andare dai certificati autofirmati che l'ADC può generare ai certificati tradizionali (jolly inclusi) disponibili da fornitori affidabili. Puoi anche usare certificati firmati dal dominio che sono generati da Active Directory.
Cosa fa l'ADC con il certificato SSL?
L'ADC può eseguire delle regole di gestione del traffico (flightPATH) a seconda di ciò che i dati contengono. Questa gestione non può essere eseguita sui dati criptati SSL. Quando l'ADC deve ispezionare i dati, deve prima decifrarli, e per questo, deve avere il certificato SSL usato dal server. Una volta decrittato, l'ADC sarà in grado di esaminare ed eseguire le regole flightPATH. In seguito, i dati saranno nuovamente criptati utilizzando il certificato SSL e inviati al Real Server finale.
Crea certificato
Anche se l'ADC può usare un certificato SSL di fiducia globale, può generare un certificato SSL autofirmato. Il Self-Signed SSL è perfetto per i requisiti di bilanciamento del carico interno. Tuttavia, le tue politiche IT potrebbero richiedere un certificato CA di fiducia o di dominio.
Come creare un certificato SSL locale
· Compila tutti i dettagli come l'esempio qui sopra
· Cliccare su Create Local Certificate
· Dopo aver fatto clic su questo, è possibile applicare il certificato a un servizio virtuale.
Creare una richiesta di certificato (CSR)
Quando hai bisogno di ottenere un SSL globalmente affidabile da un fornitore esterno, avrai bisogno di generare una CSR per generare il certificato SSL.
Compila il modulo come mostrato sopra con tutti i dati rilevanti, e poi clicca sul pulsante Certificate Request. Ti verrà presentato il popup corrispondente ai dati che hai fornito.
Dovrete tagliare e incollare il contenuto in un file di testo e nominarlo con l'estensione del file CSR, per esempio, mycert.csr. Questo file CSR dovrà poi essere fornito alla tua autorità di certificazione per creare il certificato SSL.
Gestire il certificato
Questa sottosezione contiene vari strumenti che permettono la gestione dei certificati SSL che hai all'interno dell'ADC.
Mostra
Ci possono essere momenti in cui si desidera guardare i dettagli di un certificato SSL installato.
· Seleziona il certificato dal menu a discesa
· Fare clic sul pulsante Mostra
· Il popup mostrato qui sotto presenterà i dettagli del certificato.
Installare un certificato
Una volta ottenuto il certificato dalla Trusted Certificate Authority, sarà necessario abbinarlo alla CSR generata e installarlo all'interno dell'ADC.
· Seleziona un certificato che hai generato nei passi precedenti. Ci sarà uno stato (Pending) fissato alla voce. Nell'esempio, MyCompanyCertificate è mostrato nell'immagine qui sopra.
· Aprire il file del certificato in un editor di testo
· Copiare l'intero contenuto del file negli appunti
· Incolla il contenuto del certificato SSL firmato che hai ricevuto dall'autorità di fiducia nel campo marcato Paste Signed.
· Puoi anche incollare gli Intermedi sotto questo, facendo attenzione a seguire l'ordine corretto:
1. (TOP) Il tuo certificato firmato
2. (2° dall'alto) Intermedio 1
3. (3° dall'alto) Intermedio 2
4. (In basso) Intermedio 3
5. Autorità di certificazione radice Non c'è bisogno di aggiungere questo perché esistono sulle macchine client.
(l'ADC contiene anche un bundle di root per la ricrittografia dove agisce come client verso un Real Server)
· Fare clic su Installa
· Una volta installato il certificato, dovresti vedere lo stato (Trusted) accanto al tuo certificato
Se hai commesso un errore o hai inserito l'ordine intermedio sbagliato, allora seleziona il certificato (Trusted) e aggiungi nuovamente i certificati (incluso il certificato firmato) nell'ordine corretto e clicca su Install
Aggiungi intermedio
A volte è necessario aggiungere separatamente i certificati intermedi. Per esempio, potresti aver importato un certificato che non ha gli intermedi.
· Evidenziare un certificato (affidabile) o un certificato (importato)
· Incollate gli intermedi uno sotto l'altro facendo attenzione che l'intermedio più vicino all'autorità di certificazione sia incollato per ultimo.
· Fare clic su Aggiungi intermedio.
Se fai un errore con l'ordine, puoi ripetere il processo e aggiungere di nuovo gli intermedi. Questa azione sovrascriverà solo gli intermedi precedenti.
Cancellare un certificato
Puoi cancellare un certificato usando il pulsante Delete. Una volta cancellato, il certificato sarà rimosso interamente dall'ADC e dovrà essere sostituito, quindi riapplicato ai servizi virtuali se necessario.
Nota: assicurati che il certificato non sia collegato ad un VIP operativo prima di cancellarlo.
Rinnovare un certificato
Il pulsante Renew permette di ottenere un nuovo Certificate Signing Request. Questa azione è necessaria quando il certificato sta per scadere e deve essere rinnovato.
· Seleziona un certificato dall'elenco a discesa; puoi scegliere qualsiasi certificato con lo stato (Pending), (Trusted) o (Imported)
· Clicca su Rinnova
· Copia i dettagli della nuova CSR per ottenere un nuovo certificato
· Quando ottenete il nuovo certificato, seguite i passi dettagliati in Show
· 
· Ci possono essere momenti in cui si desidera guardare i dettagli di un certificato SSL installato.
· Seleziona il certificato dal menu a discesa
· Fare clic sul pulsante Mostra
· Il popup mostrato qui sotto presenterà i dettagli del certificato.
· Installazione di un certificato.
· Il certificato nuovo e rinnovato sarà ora installato nell'ADC.
Importare un certificato
In molti casi, le imprese aziendali avranno bisogno di usare i loro certificati firmati dal dominio come parte dei loro regimi di sicurezza interna. I certificati devono essere in formato PKCS#12, e le password proteggono invariabilmente tali certificati.
L'immagine qui sotto mostra la sottosezione per importare un singolo certificato SSL.
· Dai al tuo certificato un nome amichevole. Il nome lo identifica negli elenchi a discesa usati nell'ADC. Non è necessario che sia lo stesso del nome del dominio del certificato, ma deve essere alfanumerico senza spazi. Non sono ammessi caratteri speciali diversi da _ e -.
· Digita la password che hai usato per creare il certificato PKCS#12
· Cerca il {nome del certificato}.pfx
· Fare clic su Importa.
· Il tuo certificato sarà ora nei menu a discesa SSL pertinenti all'interno dell'ADC
Importare certificati multipli
Questa sezione permette di importare un file JNBK che contiene più certificati. Un file JNBK è criptato e prodotto da ADC quando si esportano più certificati.
· Cerca il tuo file JNBK - puoi crearne uno esportando più certificati
· Digita la password che hai usato per creare il file JNBK
· Fare clic su Importa.
· I tuoi certificati saranno ora nei relativi menu a discesa SSL all'interno dell'ADC
Esportare un certificato
Di tanto in tanto, potresti voler esportare uno dei certificati tenuti all'interno dell'ADC. L'ADC è stato dotato della capacità di fare questo.
· Clicca sul certificato o sui certificati che vuoi installare. Puoi anche cliccare sull'opzione Tutti per selezionare tutti i certificati elencati.
· Digita una password per proteggere il file esportato. La password deve essere lunga almeno sei caratteri. Si possono usare lettere, numeri e alcuni simboli. I seguenti caratteri non sono accettabili: < > " ' ( ) ; \ | \A3 % &
· Fare clic su Esportazione
· Se state esportando un singolo certificato, il file risultante sarà chiamato sslcert_{certname}.pfx. Per esempio sslcert_Test1Cert.pfx
· Nel caso di un'esportazione multicertificato, il file risultante sarà un file JNBK. Il nome del file sarà sslcert__pack.jnbk.
Nota: un file JNBK è un file contenitore criptato prodotto dall'ADC e valido solo per l'importazione nell'ADC
