【天逸出品】【第卅八期】AD发布https的虚拟服务,基础扫盲
  

常鸿 112362人觉得有帮助

{{ttag.title}}
本帖最后由 常鸿 于 2022-12-9 13:26 编辑


这是一篇 我还没掌握就拿出来胡说的技术贴

关于应用负载,我对HTTPS的虚拟服务,一直都是模棱两可,什么卸载,加密,证书等等

直到有一次在客户现场真正要配置的时候搞不清楚谁是谁,结果很没面子

所以特别拿出一篇来强化一下,可能有地方说的不对奥

先说卸载

这个是 机器人上查询的关于卸载的介绍

但是实际交付上 这种场景会很少用到,如果真的是为了给服务器减压,把https对接转移到AD上,后端用http跟服务器对接,那么就会牵扯到后端服务器的业务改造,从https改造成http


卸载的配置如下:

第一步是导入证书公钥和私钥都要导入公钥私钥方式 导入, 公钥文件后缀常见使用 .cer  .crt .pem , 私钥格式后缀 .key  公钥和私钥合入的单一文件.pfx
注意:AD不支持java服务器使用的.jks格式证书导入,需要使用证书工具转换或者服务器人员重新提供,常见证书格式文件。

导入位置如上,这两个框起来的,是根据证书的加密格式选择导入的位置,大部分都是RSA的
导入的证书可以是用户已经申请好的,或者是AD自己签名发布的区别就是一个访问的时候弹告警,一个不弹


配置好卸载策略以后就可以发布https的虚拟服务了选择服务类型是https  然后下面选择上ssl卸载策略,其余配置都是一样的 节点啊,snat那些


注意的是 https也可以加载http优化,可以实现XFF获取源IP

在说一下加密

加密的应用场景是,后端服务器就是提供https服务的,AD 跟服务器对接就需要建立https的连接,这就是一个数据加密的过程
至于前端AD发布的虚拟服务,也可以选择用http让用户的压力少一点

  
加密第一步也是需要导入证书
导入服务器的公钥即可

导入以后在创建虚拟服务的时候勾选上ssl加密,其余配置都是一样的

这样就算配置好了

好的总结一下

如果客户服务器跑的是HTTPS业务,需要咱们AD来做应用负载,要求用户接入也必须用https

方法一:可以直接用4层转发,不需要对接什么
方法二:配置HTTPS或SSL虚拟服务,配置卸载,同时配置加密

如果不需要http优化策略,可以用ssl类型的虚拟服务
如果需要XFF等http优化策略,那么就只能用https虚拟服务,用卸载+加密的方法

然后在证书加密过程中 有时候还有双向认证的需求,那就额外需要导入CA证书,来完成客户端的认证

打赏鼓励作者,期待更多好文!

打赏
68人已打赏

SANGFOR_交付中心_gs 发表于 2023-1-9 09:53
  
感谢楼主的分享,文章针对AD的SSL卸载与加密进行了详细的讲解,还讲解了一些证书的知识,对于初学着很有帮助;这里补充一下:
1)AD的SSL卸载(也可以说是解决)使用的客户很多,一般都是在HTTPS改造的场景(客户服务器是HTTP的,要改造成HTTPS时);
2)HTTPS的虚拟服务不仅可以做HTTP优化策略,HTTP改写也是可以的哦(卸载之后是明文的,所以策略与HTTP是一样的)
3)HTTPS可以理解成SSL+HTTP,平常改造最多的是网站(一般都是HTTP协议)
4)卸载+加密,可以用来:PC到AD设备跑国密,AD到服务器RSA证书(一般用于国密改造,服务器不便于改造时)
期待楼主更多的分享哦~
聂锴 发表于 2022-12-9 20:38
  
感谢分享,学习一下。
水若善 发表于 2022-12-9 21:10
  
感谢分享,学习一下。
肖振宙 发表于 2022-12-9 23:42
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
情亲见君意 发表于 2022-12-9 23:42
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
浮云终日行 发表于 2022-12-9 23:42
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
叁夜频梦卿 发表于 2022-12-9 23:42
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
sangfor_s 发表于 2022-12-9 23:43
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
taojinqiu 发表于 2022-12-9 23:58
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
杨振双 发表于 2022-12-9 23:58
  
逐句地看完这个帖子以后,我的心久久不能平静,震撼啊!为什么会有如此好的帖子!我纵横社区多年,自以为再也不会有任何帖子能打动我,没想到今天看到了如此精妙绝伦的这样一篇帖子。
发表新帖
热门标签
全部标签>
西北区每日一问
安全效果
高手请过招
【 社区to talk】
社区新周刊
产品连连看
每日一问
干货满满
纪元平台
技术咨询
标准化排查
GIF动图学习
新版本体验
功能体验
社区帮助指南
信服课堂视频
技术盲盒
安装部署配置
解决方案
SDP百科
自助服务平台操作指引
玩转零信任
S豆商城资讯
秒懂零信任
每周精选
畅聊IT
答题自测
专家问答
技术笔记
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
原创分享
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
2023技术争霸赛专题
通用技术
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人