EdgeADC Build 4.2.8.1909
Leitfaden Für Die Verwaltung
×
Menu
Search
 
   
   
   
 
 © Edgenexus Limited, 2021

SSL-Zertifikate

Um den Schicht-7-Lastausgleich mit Servern, die verschlüsselte Verbindungen mit SSL verwenden, erfolgreich nutzen zu können, muss der ADC mit den auf den Zielservern verwendeten SSL-Zertifikaten ausgestattet sein. Dies ist erforderlich, damit der Datenstrom vor dem Senden an den Zielserver entschlüsselt, geprüft, verwaltet und erneut verschlüsselt werden kann.
Die SSL-Zertifikate können von selbstsignierten Zertifikaten, die die ADC generieren kann, bis hin zu herkömmlichen Zertifikaten (einschließlich Wildcard) reichen, die von vertrauenswürdigen Anbietern erhältlich sind. Sie können auch domänensignierte Zertifikate verwenden, die von Active Directory generiert werden.
Was macht die ADC mit dem SSL-Zertifikat?
Die ADC kann je nach Dateninhalt Regeln für die Verkehrsverwaltung (flightPATH) anwenden. Diese Verwaltung kann nicht für SSL-verschlüsselte Daten durchgeführt werden. Wenn die ADC die Daten prüfen soll, muss sie sie zunächst entschlüsseln und benötigt dazu das vom Server verwendete SSL-Zertifikat. Nach der Entschlüsselung kann die ADC dann die flightPATH-Regeln prüfen und ausführen. Anschließend werden die Daten mit dem SSL-Zertifikat erneut verschlüsselt und an den endgültigen Real Server gesendet.
Zertifikat erstellen
Obwohl die ADC ein global vertrauenswürdiges SSL-Zertifikat verwenden kann, kann sie auch ein selbstsigniertes SSL-Zertifikat erzeugen. Das selbstsignierte SSL-Zertifikat ist ideal für interne Lastausgleichsanforderungen. Ihre IT-Richtlinien erfordern jedoch möglicherweise ein vertrauenswürdiges oder Domänen-CA-Zertifikat.
Wie man ein lokales SSL-Zertifikat erstellt
·     Füllen Sie alle Details wie im obigen Beispiel aus
·     Klicken Sie auf Lokales Zertifikat erstellen
·     Wenn Sie auf diese Schaltfläche geklickt haben, können Sie das Zertifikat auf einen virtuellen Dienst anwenden.
Erstellen einer Zertifikatsanforderung (CSR)
Wenn Sie ein global vertrauenswürdiges SSL-Zertifikat von einem externen Anbieter beziehen möchten, müssen Sie eine CSR erstellen, um das SSL-Zertifikat zu generieren.
Füllen Sie das Formular wie oben gezeigt mit allen relevanten Daten aus und klicken Sie dann auf die Schaltfläche Zertifikatsanforderung. Sie erhalten das Popup-Fenster, das den von Ihnen angegebenen Daten entspricht.
Sie müssen den Inhalt ausschneiden und in eine TEXT-Datei einfügen und diese mit einer CSR-Dateierweiterung benennen, z. B. mycert.csr. Diese CSR-Datei müssen Sie dann Ihrer Zertifizierungsstelle zur Verfügung stellen, um das SSL-Zertifikat zu erstellen.
Zertifikat verwalten
Dieser Unterabschnitt enthält verschiedene Tools zur Verwaltung der SSL-Zertifikate, die Sie im ADC haben.
anzeigen
Es kann vorkommen, dass Sie sich die Details eines installierten SSL-Zertifikats ansehen möchten.
·     Wählen Sie das Zertifikat aus dem Dropdown-Menü
·     Klicken Sie auf die Schaltfläche Anzeigen
·     Das unten abgebildete Popup-Fenster mit den Details des Zertifikats wird angezeigt.
Installieren eines Zertifikats
Sobald Sie das Zertifikat von der vertrauenswürdigen Zertifizierungsstelle erhalten haben, müssen Sie es mit der erstellten CSR abgleichen und im ADC installieren.
·     Wählen Sie ein Zertifikat aus, das Sie in den oben genannten Schritten erstellt haben. Die Position wird mit dem Status (Ausstehend) versehen. Im obigen Beispiel ist MyCompanyCertificate in der Abbildung dargestellt.
·     Öffnen Sie die Zertifikatsdatei in einem Texteditor
·     Kopieren Sie den gesamten Inhalt der Datei in die Zwischenablage
·     Fügen Sie den Inhalt des signierten SSL-Zertifikats, das Sie von der vertrauenswürdigen Stelle erhalten haben, in das Feld Signiert einfügen ein.
·     Sie können auch die Intermediates darunter einfügen, wobei Sie auf die richtige Reihenfolge achten müssen:
1.     (TOP)      Ihr signiertes Zertifikat
2.     (2. von oben)      Zwischenstufe 1
3.     (3. von oben)      Zwischenstufe 2
4.     (Unten)      Zwischenbericht 3
5.     Root-Zertifizierungsstelle     Diese müssen nicht hinzugefügt werden, da sie auf den Client-Rechnern vorhanden sind.
(der ADC enthält auch ein Root-Bündel für die Wiederverschlüsselung, wenn er als Client für einen Real Server fungiert)
·     Installieren klicken
·     Sobald Sie das Zertifikat installiert haben, sollten Sie den Status (vertrauenswürdig) neben Ihrem Zertifikat sehen
Wenn Sie einen Fehler gemacht oder die falsche Zwischenreihenfolge eingegeben haben, wählen Sie das Zertifikat (vertrauenswürdig) und fügen Sie die Zertifikate (einschließlich des signierten Zertifikats) erneut in der richtigen Reihenfolge hinzu und klicken Sie auf Installieren
Zwischenstufe hinzufügen
Gelegentlich ist es erforderlich, Zwischenzertifikate separat hinzuzufügen. Sie haben zum Beispiel ein Zertifikat importiert, das keine Zwischenzertifikate enthält.
·     Markieren Sie ein Zertifikat (vertrauenswürdig) oder ein Zertifikat (importiert)
·     Fügen Sie die Zwischenprodukte untereinander ein und achten Sie darauf, dass das Zwischenprodukt, das der Zertifizierungsstelle am nächsten liegt, zuletzt eingefügt wird.
·     Klicken Sie auf Zwischenstufe hinzufügen.
Wenn Sie bei der Bestellung einen Fehler machen, können Sie den Vorgang wiederholen und die Zwischenprodukte erneut hinzufügen. Diese Aktion überschreibt nur die vorherigen Zwischenprodukte.
Ein Zertifikat löschen
Sie können ein Zertifikat über die Schaltfläche Löschen löschen. Nach dem Löschen wird das Zertifikat vollständig aus dem ADC entfernt und muss ersetzt und dann bei Bedarf erneut auf die virtuellen Dienste angewendet werden.
Hinweis: Vergewissern Sie sich vor dem Löschen des Zertifikats, dass es nicht mit einem operativen VIP verbunden ist.
Ein Zertifikat erneuern
Über die Schaltfläche Erneuern können Sie eine neue Zertifikatssignierungsanforderung anfordern. Diese Aktion ist erforderlich, wenn das Zertifikat abläuft und erneuert werden muss.
·     Wählen Sie ein Zertifikat aus der Dropdown-Liste; Sie können jedes Zertifikat mit dem Status (Ausstehend), (Vertrauenswürdig) oder (Importiert) wählen.
·     Erneuern anklicken
·     Kopieren Sie die neuen CSR-Details, damit Sie ein neues Zertifikat erhalten können
·     Wenn Sie das neue Zertifikat erhalten haben, folgen Sie den Schritten unter Anzeigen
·    
·     Es kann vorkommen, dass Sie sich die Details eines installierten SSL-Zertifikats ansehen möchten.
·     Wählen Sie das Zertifikat aus dem Dropdown-Menü
·     Klicken Sie auf die Schaltfläche Anzeigen
·     Das unten abgebildete Popup-Fenster mit den Details des Zertifikats wird angezeigt.
·     Installieren eines Zertifikats.
·     Das neue und erneuerte Zertifikat wird nun in der ADC installiert.
Importieren eines Zertifikats
In vielen Fällen müssen Unternehmen ihre domänensignierten Zertifikate als Teil ihres internen Sicherheitssystems verwenden. Die Zertifikate müssen im PKCS#12-Format vorliegen, und solche Zertifikate sind immer durch Passwörter geschützt.
Die folgende Abbildung zeigt den Unterabschnitt für den Import eines einzelnen SSL-Zertifikats.
·     Geben Sie Ihrem Zertifikat einen freundlichen Namen. Der Name identifiziert es in den Dropdown-Listen der ADC. Er muss nicht mit dem Domänennamen des Zertifikats übereinstimmen, muss aber alphanumerisch sein und darf keine Leerzeichen enthalten. Andere Sonderzeichen als _ und - sind nicht erlaubt.
·     Geben Sie das Kennwort ein, das Sie zum Erstellen des PKCS#12-Zertifikats verwendet haben.
·     Suchen Sie nach der Datei {Zertifikatname}.pfx
·     Klicken Sie auf Importieren.
·     Ihr Zertifikat wird nun in den entsprechenden SSL-Dropdown-Menüs innerhalb des ADC angezeigt
Importieren von mehreren Zertifikaten
In diesem Abschnitt können Sie eine JNBK-Datei importieren, die mehrere Zertifikate enthält. Eine JNBK-Datei wird verschlüsselt und vom ADC erstellt, wenn mehrere Zertifikate exportiert werden.
·     Suchen Sie nach Ihrer JNBK-Datei - Sie können eine solche Datei erstellen, indem Sie mehrere Zertifikate exportieren
·     Geben Sie das Passwort ein, das Sie zum Erstellen der JNBK-Datei verwendet haben.
·     Klicken Sie auf Importieren.
·     Ihre Zertifikate werden nun in den entsprechenden SSL-Dropdown-Menüs innerhalb des ADC angezeigt
Ein Zertifikat exportieren
Von Zeit zu Zeit kann es vorkommen, dass Sie eine der in der OEZA gespeicherten Bescheinigungen exportieren möchten. Die ADC verfügt über die Möglichkeit, dies zu tun.
 
·     Klicken Sie auf das Zertifikat oder die Zertifikate, die Sie installieren möchten. Sie können auch auf die Option Alle klicken, um alle aufgelisteten Zertifikate auszuwählen.
·     Geben Sie ein Passwort ein, um die exportierte Datei zu schützen. Das Kennwort muss mindestens sechs Zeichen lang sein. Es können Buchstaben, Zahlen und bestimmte Symbole verwendet werden. Die folgenden Zeichen sind nicht zulässig: < > " ' ( ) ; \ | \A3 % &
·     Klicken Sie auf Exportieren
·     Wenn Sie ein einzelnes Zertifikat exportieren, wird die resultierende Datei sslcert_{certname}.pfx genannt. Zum Beispiel sslcert_Test1Cert.pfx
·     Im Falle eines Exports von mehreren Zertifikaten wird die resultierende Datei eine JNBK-Datei sein. Der Dateiname lautet sslcert__pack.jnbk.
Hinweis: Eine JNBK-Datei ist eine verschlüsselte Containerdatei, die von der ADC erstellt wird und nur für den Import in die ADC gültig ist.