本帖最后由 常鸿 于 2022-12-9 13:26 编辑
这是一篇 我还没掌握就拿出来胡说的技术贴
关于应用负载,我对HTTPS的虚拟服务,一直都是模棱两可,什么卸载,加密,证书等等
直到有一次在客户现场真正要配置的时候搞不清楚谁是谁,结果很没面子
所以特别拿出一篇来强化一下,可能有地方说的不对奥
先说卸载
这个是 机器人上查询的关于卸载的介绍
但是实际交付上 这种场景会很少用到,如果真的是为了给服务器减压,把https对接转移到AD上,后端用http跟服务器对接,那么就会牵扯到后端服务器的业务改造,从https改造成http
卸载的配置如下:
第一步是导入证书公钥和私钥都要导入公钥私钥方式 导入, 公钥文件后缀常见使用 .cer .crt .pem , 私钥格式后缀 .key 公钥和私钥合入的单一文件.pfx
注意:AD不支持java服务器使用的.jks格式证书导入,需要使用证书工具转换或者服务器人员重新提供,常见证书格式文件。
导入位置如上,这两个框起来的,是根据证书的加密格式选择导入的位置,大部分都是RSA的
导入的证书可以是用户已经申请好的,或者是AD自己签名发布的区别就是一个访问的时候弹告警,一个不弹
配置好卸载策略以后就可以发布https的虚拟服务了选择服务类型是https 然后下面选择上ssl卸载策略,其余配置都是一样的 节点啊,snat那些
注意的是 https也可以加载http优化,可以实现XFF获取源IP
在说一下加密
加密的应用场景是,后端服务器就是提供https服务的,AD 跟服务器对接就需要建立https的连接,这就是一个数据加密的过程 至于前端AD发布的虚拟服务,也可以选择用http让用户的压力少一点
加密第一步也是需要导入证书
导入服务器的公钥即可
导入以后在创建虚拟服务的时候勾选上ssl加密,其余配置都是一样的
这样就算配置好了
好的总结一下
如果客户服务器跑的是HTTPS业务,需要咱们AD来做应用负载,要求用户接入也必须用https
方法一:可以直接用4层转发,不需要对接什么 方法二:配置HTTPS或SSL虚拟服务,配置卸载,同时配置加密
如果不需要http优化策略,可以用ssl类型的虚拟服务
如果需要XFF等http优化策略,那么就只能用https虚拟服务,用卸载+加密的方法
然后在证书加密过程中 有时候还有双向认证的需求,那就额外需要导入CA证书,来完成客户端的认证
|