Чтобы успешно использовать балансировку нагрузки уровня 7 с серверами, использующими зашифрованные соединения с помощью SSL, ADC должен быть оснащен сертификатами SSL, используемыми на целевых серверах. Это требование необходимо для того, чтобы поток данных можно было расшифровать, изучить, управлять, а затем повторно зашифровать перед отправкой на целевой сервер.
SSL-сертификаты могут варьироваться от самоподписанных сертификатов, которые может генерировать ADC, до традиционных сертификатов (с подстановочным знаком), доступных от надежных поставщиков. Вы также можете использовать сертификаты с доменной подписью, которые генерируются из Active Directory.
Что делает ADC с SSL-сертификатом?
ADC может выполнять правила управления трафиком (flightPATH) в зависимости от того, что содержат данные. Это управление не может быть выполнено для зашифрованных данных SSL. Когда ADC должен проверить данные, ему необходимо сначала расшифровать их, а для этого ему нужен SSL-сертификат, используемый сервером. После расшифровки ADC сможет изучить и выполнить правила flightPATH. После этого данные будут повторно зашифрованы с помощью SSL-сертификата и отправлены на конечный Real Server.
Создать сертификат
Хотя ADC может использовать глобально доверенный сертификат SSL, он может генерировать самоподписанный сертификат SSL. Самоподписанный SSL-сертификат идеально подходит для внутренних требований балансировки нагрузки. Однако ваши ИТ-политики могут потребовать наличия доверенного сертификата или сертификата ЦС домена.
Как создать локальный SSL-сертификат
· Заполните все данные, как в примере выше
· Нажмите на кнопку Создать локальный сертификат
· После этого вы можете применить сертификат к виртуальной службе.
Создание запроса на сертификат (CSR)
Когда вам нужно получить глобально доверенный SSL от внешнего провайдера, вам нужно будет создать CSR для генерации SSL-сертификата.
Заполните форму, как показано выше, всеми соответствующими данными, а затем нажмите кнопку Запрос сертификата. Перед вами появится всплывающее окно, соответствующее предоставленным вами данным.
Вам нужно будет вырезать и вставить содержимое в ТЕКСТОВЫЙ файл и назвать его с расширением CSR, например, mycert.csr. Этот файл CSR нужно будет предоставить в центр сертификации для создания SSL-сертификата.
Управление сертификатом
Этот подраздел содержит различные инструменты, позволяющие управлять SSL-сертификатами, имеющимися в ADC.
Показать
Бывают случаи, когда вы хотите просмотреть детали установленного SSL-сертификата.
· Выберите сертификат из выпадающего меню
· Нажмите на кнопку Показать
· Во всплывающем окне, показанном ниже, будут представлены сведения о сертификате.
Установка сертификата
После получения сертификата от доверенного центра сертификации необходимо сопоставить его со сгенерированным CSR и установить его в ADC.
· Выберите сертификат, который вы создали в описанных выше шагах. Для элемента строки будет установлен статус (Pending). В примере MyCompanyCertificate показан на изображении выше.
· Откройте файл сертификата в текстовом редакторе
· Копирование всего содержимого файла в буфер обмена
· Вставьте содержимое подписанного SSL-сертификата, полученного от доверенного центра, в поле с надписью Paste Signed.
· Вы также можете вставить промежуточные элементы ниже этого, соблюдая правильный порядок:
1. (TOP) Ваш подписанный сертификат
2. (2-й сверху) Промежуточный 1
3. (3-я сверху) Промежуточный 2
4. (Внизу) Промежуточный 3
5. Корневой центр сертификации Нет необходимости добавлять их, поскольку они существуют на клиентских машинах.
(ADC также содержит корневой пучок для повторного шифрования, когда он выступает в качестве клиента Real Server)
· Нажмите кнопку Установить
· После установки сертификата вы должны увидеть статус (Trusted) рядом с вашим сертификатом.
Если вы допустили ошибку или ввели неправильный порядок промежуточных сертификатов, выберите Сертификат (Доверенный) и добавьте сертификаты (включая подписанный сертификат) снова в правильном порядке и нажмите Установить
Добавить посредника
В некоторых случаях требуется добавлять промежуточные сертификаты отдельно. Например, вы могли импортировать сертификат, не содержащий промежуточных сертификатов.
· Выделите сертификат (доверенный) или сертификат (импортированный)
· Вставьте промежуточные элементы один под другим, следя за тем, чтобы промежуточный элемент, расположенный ближе всего к центру сертификации, был вставлен последним.
· Нажмите Добавить промежуточный.
Если вы ошиблись в заказе, вы можете повторить процесс и добавить промежуточные продукты снова. Это действие только перезапишет предыдущие промежуточные продукты.
Удаление сертификата
Вы можете удалить сертификат с помощью кнопки Delete. После удаления сертификат будет полностью удален из ADC, и его необходимо будет заменить, а затем снова применить к виртуальным службам, если это потребуется.
Примечание: Перед удалением сертификата убедитесь, что он не прикреплен к рабочему VIP-клиенту.
Продлить сертификат
Кнопка Renew позволяет получить новый запрос на подпись сертификата. Это действие требуется, когда срок действия сертификата истекает и его необходимо обновить.
· Выберите сертификат из выпадающего списка; вы можете выбрать любой сертификат со статусом (Ожидающий), (Доверенный) или (Импортированный).
· Нажмите кнопку Обновить
· Скопируйте данные нового CSR, чтобы можно было получить новый сертификат
· Когда вы получите новый сертификат, выполните действия, описанные в разделе Показать
· 
· Бывают случаи, когда вы хотите просмотреть детали установленного SSL-сертификата.
· Выберите сертификат из выпадающего меню
· Нажмите на кнопку Показать
· Во всплывающем окне, показанном ниже, будут представлены сведения о сертификате.
· Установка сертификата.
· Теперь новый и обновленный сертификат будет установлен в ADC.
Импорт сертификата
Во многих случаях корпоративным предприятиям необходимо использовать свои сертификаты, подписанные доменом, как часть внутреннего режима безопасности. Сертификаты должны быть в формате PKCS#12, и такие сертификаты неизменно защищаются паролями.
На рисунке ниже показан подраздел для импорта одного SSL-сертификата.
· Дайте своему сертификату дружественное имя. Это имя идентифицирует его в раскрывающихся списках, используемых в ADC. Оно не обязательно должно совпадать с именем домена сертификата, но должно быть буквенно-цифровым без пробелов. Не допускается использование специальных символов, кроме _ и -.
· Введите пароль, который вы использовали для создания сертификата PKCS#12
· Найдите файл {имя сертификата}.pfx
· Нажмите Импорт.
· Теперь ваш сертификат будет находиться в соответствующих выпадающих меню SSL в ADC.
Импорт нескольких сертификатов
Этот раздел позволяет импортировать файл JNBK, содержащий несколько сертификатов. Файл JNBK шифруется и создается ADC при экспорте нескольких сертификатов.
· Найдите свой файл JNBK - вы можете создать один из них, экспортировав несколько сертификатов
· Введите пароль, который вы использовали для создания файла JNBK
· Нажмите Импорт.
· Теперь ваши сертификаты будут находиться в соответствующих выпадающих меню SSL в ADC.
Экспорт сертификата
Время от времени вы можете захотеть экспортировать один из сертификатов, хранящихся в АЦП. Для этого в АЦП предусмотрена соответствующая возможность.
· Щелкните сертификат или сертификаты, которые вы хотите установить. Вы можете выбрать опцию Все, чтобы выбрать все перечисленные сертификаты.
· Введите пароль для защиты экспортируемого файла. Пароль должен состоять не менее чем из шести символов. Можно использовать буквы, цифры и некоторые символы. Следующие символы недопустимы: < > " ' ( ) ; \ | \A3 % &
· Нажмите кнопку Экспорт
· Если вы экспортируете один сертификат, полученный файл будет иметь имя sslcert_{certname}.pfx. Например, sslcert_Test1Cert.pfx
· В случае экспорта нескольких сертификатов результирующим файлом будет файл JNBK. Имя файла будет sslcert__pack.jnbk.
Примечание: Файл JNBK - это зашифрованный файл контейнера, созданный АЦП и действительный только для импорта в АЦП.
