#原创分享#玩转AD前置策略之(https)
  

yzy 120746人觉得有帮助

{{ttag.title}}
“当前已有100+用户参与投稿,共计发放奖励100000+“




一、客户需求
客户内网有两台应用服务器,分别是官网https://www.gx**.com.cn、业务系统https://tel.gx**.com.cn这两个域名访问不同的业务系统,但是这两个域名解析的都是同一个公网IP,公网端口都是使用端口443,还希望使用公网IP访问能访问到官网

二、解决办法
通过配置前度调度策略,通过把https://tel.gx**.com.cn访问过来的流量调度到指定节点池,默认的节点池使用官网域名https://www.gx**.com.cn,如果默认节点不配置为官网的节点池会导致无法使用公网IP访问到官网
三、配置前准备
1)确保AD有SSL 卸载授权,如果没有SSL 卸载授权无法实现https配置前置调度策略,http不影响
2)在域名供应商配置好这两个域名的A记录
3)提供两个域名的证书(AD SSL卸载证书导入支持pem和der、pkcs12、pkcs7等证书文件(后缀为crt、cer、key、pem、der、pfx、p12、pvk、p7b、spc))
四、配置步骤
1)导入SSL 证书(注意格式是否支持,如果不支持需要转换格式)

2)新增节点池
配置好节点池IP地址(这里是应用服务器内网IP地址)、健康检查方法,如果有会话保持需求需要可以在后面选择会话保持类型,由于我们是两个应用服务器,所以需要添加两个节点池

3)新增前置调度策略
服务类型选择:HTTPS
高级匹配条件:请求头部、HOST、等于、域名(sm2.gx**.com.cn),请求头部的HOST等于sm2.gx**.com.cn调度到这个域名对应的节点池中,直接写HOST,不需要加https://
两个域名使用通过公网IP和同一个端口只需要配置一个前缀策略即可,剩下那个域名在配置虚拟服务的时候直接选择默认节点池,如果有三个域名就需要配置两个前置调度策略,以此类推

4)配置SSL卸载
只需要选择服务器证书,其它的默认即可,需要配置两个https域名的SSL卸载证书
使用https访问的数据是进过加密的,加密的数据我们无法获取到里面的HOST,所以需要获取应用服务器使用的SSL证书,我们使用这个这个SSL证书进行对数据解密,解密获取到HOST后再跟前置调度策略进行匹配调度

5)配置SSL加密
只需要选择客户端证书,其它的默认即可(这个加密证书和卸载证书都是同一个证书)需要配置两个https域名的SSL加密证书
由于前面需要通过SSL协议获取数据包中的HOST,解密后的数据需要进行加密传输给服务器

6)SSL卸载和SSL加密知识普及
①HTTPS必须配置SSL卸载,所以必须通过SSL卸载获取到数据包内容

②SSL加密:对外提供的是HTTPS服务,应用服务器也是提供HTTPS服务器,那么AD就是个中间人
数据包走向:AD收到来自公网传来的数据包,先通过SSL卸载获取数据包内容再根据策略要求匹配前置策略,匹配前置策略后再把数据通过SSL加密发送给服务器
如果不进行SSL加密,服务提供的是HTTPS加密服务,那么服务器收到AD发过的数据是解密后的,服务器无法进行处理,所以必须配置SSL加密,让AD访问服务器的数据是进过加密处理的,这样服务器才能识别这些数据进行解密

③对外提供HTTPS服务,服务器提供HTTP服务,如果是这种情况只需要配置SSL卸载即可
数据包从外网进来的数据是做了HTTPS加密的,通过SSL解密后直接发给服务器,服务器提供的是HTTP明文传输,所以直接能识别界面后的数据
数据包从服务器回包给客户端,服务器通过HTTP明文传输发给AD,AD再进行加密发送给客户端,但是这个过程只需要配置SSL卸载即可,无需配置SSL加密

7)新增虚拟服务
服务类型:HTTPS
IP地址:公网IP地址
端口范围:公网端口
默认节点池:官网https(我们配置的前缀策略是业务系统的域名,所以默认节点使用官网,前置调度策略匹配不上就会匹配到默认节点池中)
SNAT策略:如果需要内网使用域名访问应用服务器需要勾选上,如果没有这方面的需求可以关闭或忽略
SSL卸载策略:选择好前面配置的SSL卸载证书

调度方式:选择每个请求
调度策略:前面添加的前置调度策略(业务系统https://tel.gx**.com.cn)
SSL加密策略:前面配置的SSL加密(如果对外提供的是HTTPS,内网应用服务器实际是HTTP不需要配置SSL加密)

其它配置选项根据需求选配,DNAT需要启用,否则公网无法进行访问

五、测试业务是否正常
1)通过域名访问官网(访问正常)

2)通过公网IP访问官网(访问正常)

3)通过域名访问业务系统(访问正常)

六、注意事项
1)对外提供HTTPS,服务器提供的也是HTTPS必须配置SSL卸载和SSL加密
2)如果服务器需要识别客户端源IP地址不要勾选SNAT,勾选SNAT后服务器收到的源IP是AD的LAN口地址
3)配置前最好通过端口映射分别测试业务是否正常, 都正常后再配置应用负载,不然证书配置错误很容易导致无法访问到正确的业务系统
4)需要通过公网IP访问指定系统一定需要把这个系统配置到默认节点池

打赏鼓励作者,期待更多好文!

打赏
26人已打赏

小猪要上树 发表于 2020-11-13 10:01
  

评论是对作者最大的鼓励! +8 S豆 详情>

感谢楼主的分享,写的很详细,大家可以参考自己去实际操作,如果文章看不太明白,可以将前置调度策略和ssl卸载两个功能分开来看,先不考虑ssl卸载,当你把前置调度策略看明白,再结合ssl卸载来看就简单多了
期待楼主更多的好文章,谢谢
collid 发表于 2020-11-6 09:08
  
打卡学习
新手394045 发表于 2020-11-6 15:31
  

打卡学习
编外人员 发表于 2020-11-7 10:19
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
厌児 发表于 2020-11-8 22:36
  
感谢楼主分享呢,又学到了新的知识
YangZheng 发表于 2020-11-9 08:48
  
内容很精彩,步骤很详细,学习了!
天狼星雪狼王 发表于 2020-11-9 09:20
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
新手340626 发表于 2020-11-9 09:29
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
一一氵 发表于 2020-11-9 10:30
  
对外提供HTTPS,服务器提供的也是HTTPS必须配置SSL卸载和SSL加密
新手456962 发表于 2020-11-11 09:19
  
感谢楼主分享,文章对解决AD前置问题很多帮助,如增加更多问题分析步骤讲解或技术原理分析会更好,期待楼主带来更多有价值的分享
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
每日一问
产品连连看
标准化排查
干货满满
新版本体验
纪元平台
社区新周刊
GIF动图学习
自助服务平台操作指引
技术咨询
功能体验
解决方案
社区帮助指南
秒懂零信任
每周精选
S豆商城资讯
技术盲盒
信服课堂视频
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
安装部署配置
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人