应用交付AD

深信服应用交付 AD 能够为用户提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。不仅实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则,将用户的访问请求分配给相应的数据中心、 链路以及服务器,进而实现数据流的合理分配,使所有的数据中心、链路和服务器都得到充分利用。
点击可切换产品版本
知道了
不再提醒
AD7.0.26R1
{{sendMatomoQuery("应用交付AD","SSL卸载策略")}}

SSL卸载策略

更新时间:2023-09-18

操作场景

为了在客户不修改服务器端应用直接将HTTPSMTPLDAP等应用升级到SSL加密的HTTPSSMTP_SSLLDAPS等或为了降低服务器做证书卸载的压力、集中管理SSL证书等原因,我们可以配置[SSL卸载策略]对访问该虚拟服务的流量做SSL卸载

处理,使得客户端需要使用SSL加密应用进行通信,现已全面支持国密算法。

操作步骤

[应用负载/SSL策略/SSL卸载策略],在[应用负载]菜单下,点击<SSL策略>,在右边SSL策略窗口中,选择[SSL卸载策略],点击<新增>

界面如下图所示。

[SSL卸载策略]下显示的SSL卸载策略的[名称][描述][ECDSA服务器证书][RSA服务器证书][SSL协议][服务器名称SNI][客户端认证][CA证书][操作],其中[操作]栏有“复制”按钮用于快速复制创建同样的SSL卸载策略,“删除”按钮用于删除该单条配置。此处定义的[SSL卸载策略],可用于“虚拟服务”配置部分,现已支持国密协议、国密加密算法和国密证书。

点击<新增>按钮,如下图所示。

ECDSA服务器证书:配置当协商为商密算法时,服务端使用的ECDSA商密证书。

RSA服务器证书:配置当协商为商密算法时,服务端使用的RSA商密证书。

SM2服务器签名证书:配置当协商为国密算法时,服务端使用的SM2国密签名证书。

SM2服务器加密证书:配置当协商为国密算法时,服务端使用的SM2国密加密证书。

服务类型:配置虚拟服务的类型,可选HTTPSSSL

启用协议:配置和客户端进行SSL通信使用的SSL协议版本。

当协议版本未启用时配置当AD不支持客户端所用的协议时的动作,若[服务类型]选择SSL,则为拒绝;若[服务类型]选择HTTPS,可选择拒绝或响应自定义内容,自定义内容可以通过[资源管理/自定义内容]进行相关配置,内置的内容如下。

加密算法:配置SSL通信使用的加密算法,服务器证书类型不同,可选择对应的加密算法。

服务器名称SNI配置服务器域名。

Session Ticket 扩展:配置是否启用Session Ticket 扩展,启用后优化SSL交互过程。SSL session ticket记录了加密参数,用于后续请求,减少握手次数,降低反复握手请求导致的高延迟,提高SSL握手效率。

会话复用:配置是否启用SSL会话复用。

缓存会话数量:配置缓存的会话数量,默认2000,范围100-5000

缓存会话时间:配置缓存会话的超时时间,默认1800秒,范围10~86400

客户端认证:配置是否启用客户端认证,[禁用]则只进行服务器认证,即单向认证,[启用]启用后服务器和客户端都要进行认证,即双向认证,默认禁用。

开启客户端认证后,对应配置如下:

CA证书:配置选择客户端认证的根证书,CA证书可以通过[资源管理/证书管理/CA证书]进行CA证书相关配置。

证书链深度:配置客户端的证书链遍历的最多证书数量。

客户端认证URI匹配:配置需要提交客户端证书认证的是全部URI还是指定URI,默认为全部,即所有URI都需要认证。填写指定的URI,指定某个URI是否需要客户端认证。URI示例:/index.html,支持通配符?*,选择指定URI后,默认*即所有URI无需客户端认证。

CRL配置选用的证书吊销列表,列表可以通过[资源管理/证书管理/CRL]进行CRL相关配置。

认证失败规则:配置客户端证书认证失败后的动作,可选认证失败规则,失败后执行的动作,动作可选允许、拒绝或返回自定义内容。