更新时间:2023-06-05
操作场景
为了在客户不修改服务器端应用直接将HTTP、SMTP、LDAP等应用升级到SSL加密的HTTPS、SMTP_SSL、LDAPS等或为了降低服务器做证书卸载的压力、集中管理SSL证书等原因,我们可以配置[SSL卸载策略]对访问该虚拟服务的流量做SSL卸载
处理,使得客户端需要使用SSL加密应用进行通信,现已全面支持国密算法。
操作步骤
[应用负载/SSL策略/SSL卸载策略],在[应用负载]菜单下,点击<SSL策略>,在右边SSL策略窗口中,选择[SSL卸载策略],点击<新增>。
界面如下图所示。
[SSL卸载策略]下显示的SSL卸载策略的[名称]、[描述]、[ECDSA服务器证书]、[RSA服务器证书]、[SSL协议]、[服务器名称SNI]、[客户端认证]、[CA证书]、[操作],其中[操作]栏有“复制”按钮用于快速复制创建同样的SSL卸载策略,“删除”按钮用于删除该单条配置。此处定义的[SSL卸载策略],可用于“虚拟服务”配置部分,现已支持国密协议、国密加密算法和国密证书。
点击<新增>按钮,如下图所示。
ECDSA服务器证书:配置当协商为商密算法时,服务端使用的ECDSA商密证书。
RSA服务器证书:配置当协商为商密算法时,服务端使用的RSA商密证书。
服务类型:配置虚拟服务的类型,可选HTTPS或SSL。
启用协议:配置和客户端进行SSL通信使用的SSL协议版本,支持TLS1.3协议。
• 当协议版本未启用时配置当AD不支持客户端所用的协议时的动作,若[服务类型]选择SSL,则为拒绝;若[服务类型]选择HTTPS,可选择拒绝或响应自定义内容,自定义内容可以通过[资源管理/自定义内容]进行相关配置,内置的内容如下。
加密算法:配置SSL通信使用的加密算法,服务器证书类型不同,可选择对应的加密算法。
服务器名称SNI:配置服务器域名。
Session Ticket 扩展:配置是否启用Session Ticket 扩展,启用后优化SSL交互过程。SSL session ticket记录了加密参数,用于后续请求,减少握手次数,降低反复握手请求导致的高延迟,提高SSL握手效率。
会话复用:配置是否启用SSL会话复用。
• 缓存会话数量:配置缓存的会话数量,默认2000,范围100-5000。
• 缓存会话时间:配置缓存会话的超时时间,默认1800秒,范围10~86400。
客户端认证:配置是否启用客户端认证,[禁用]则只进行服务器认证,即单向认证,[启用]启用后服务器和客户端都要进行认证,即双向认证,默认禁用。
开启客户端认证后,对应配置如下:
CA证书:配置选择客户端认证的根证书,CA证书可以通过[资源管理/证书管理/CA证书]进行CA证书相关配置。
证书链深度:配置客户端的证书链遍历的最多证书数量。
客户端认证URI匹配:配置需要提交客户端证书认证的是全部URI还是指定URI,默认为全部,即所有URI都需要认证。填写指定的URI,指定某个URI是否需要客户端认证。URI示例:/index.html,支持通配符?和*,选择指定URI后,默认*即所有URI无需客户端认证。
CRL:配置选用的证书吊销列表,列表可以通过[资源管理/证书管理/CRL]进行CRL相关配置。
认证失败规则:配置客户端证书认证失败后的动作,可选认证失败规则,失败后执行的动作,动作可选允许、拒绝或返回自定义内容。