AD负载均衡上如何配置通配符SSL证书

各位，我单位有统一互联网出口为AD-1900，软件版本7.0.8R3。
现在我们申请了一个通配符SSL证书，我们想通过在AD上配置该证书，避免在内部每个业务服务器上去配置证书。
请问是否可行，若可行应该如何配置。

SSL卸载的作用主要体现在以下几个方面：

• 性能优化：SSL卸载技术将应用访问过程中SSL的加解密过程转移到深信服AD设备上，从而减少服务器端的性能压力。这意味着服务器无需处理SSL加解密，能够专注于处理明文数据，提高整体性能[1][2]。
• 提升响应速度：通过将SSL处理转移到AD设备，客户端的访问响应速度得以提升。AD设备具有强劲的SSL处理能力，能够实现端到端的SSL加密，并支持全面的加密算法配置[1][2]。
• 节省硬件投资：由于SSL卸载减少了服务器的性能消耗，企业可以节省应用系统服务器的数量，从而降低业务系统的硬件投资[3][4]。
• 改善用户体验：通过缩短用户请求的响应时间，SSL卸载极大提升了用户的访问体验[3][4]。
• 使用场景：SSL卸载主要用于发布SSL和HTTPS虚拟服务，支持对SSL相关服务的流量进行SSL解密。无论是网关模式还是旁路模式部署，都支持SSL卸载[1]。
• 注意事项：使用SSL卸载需要有SSL卸载序列号授权，并且需要有对应的服务器证书。可以使用自签名证书或第三方机构申请的证书[1]。

  
  
  
  

以下是相关的图片说明，展示了SSL卸载的工作原理：

希望这些信息对您有所帮助！

• AD SSL卸载不生效
  
  
• AD HTTPS的应用可以不配置SSL卸载吗？
• AD SSL卸载怎么配置？

  
  
  
  

AD7.0.5之前的版本SSL卸载可参考如下文档链接:

AD自建CA方式SSL卸载配置文档 ：点击这里

AD第三方CA方式SSL卸载配置文档：点击这里

AD7.0.5之后版本SSL卸载可参考文档：点击这里

注意：使用自建CA用户访问的时候会弹出安全告警框，建议找第三方CA机构申请证书[1]

• AD SSL卸载证书导入及注意事项
• AD SSL卸载功能说明及注意事项
• AD SSL加密策略说明及配置步骤

  
  
  
  

SSL卸载的作用主要体现在以下几个方面：
性能优化：SSL卸载技术将应用访问过程中SSL的加解密过程转移到深信服AD设备上，从而减少服务器端的性能压力。这意味着服务器无需处理SSL加解密，能够专注于处理明文数据，提高整体性能[1][2]。
提升响应速度：通过将SSL处理转移到AD设备，客户端的访问响应速度得以提升。AD设备具有强劲的SSL处理能力，能够实现端到端的SSL加密，并支持全面的加密算法配置[1][2]。
节省硬件投资：由于SSL卸载减少了服务器的性能消耗，企业可以节省应用系统服务器的数量，从而降低业务系统的硬件投资[3][4]。
改善用户体验：通过缩短用户请求的响应时间，SSL卸载极大提升了用户的访问体验[3][4]。
使用场景：SSL卸载主要用于发布SSL和HTTPS虚拟服务，支持对SSL相关服务的流量进行SSL解密。无论是网关模式还是旁路模式部署，都支持SSL卸载[1]。
注意事项：使用SSL卸载需要有SSL卸载序列号授权，并且需要有对应的服务器证书。可以使用自签名证书或第三方机构申请的证书[1]。

SSL卸载的作用主要体现在以下几个方面：
性能优化：SSL卸载技术将应用访问过程中SSL的加解密过程转移到深信服AD设备上，从而减少服务器端的性能压力。这意味着服务器无需处理SSL加解密，能够专注于处理明文数据，提高整体性能[1][2]。
提升响应速度：通过将SSL处理转移到AD设备，客户端的访问响应速度得以提升。AD设备具有强劲的SSL处理能力，能够实现端到端的SSL加密，并支持全面的加密算法配置[1][2]。
节省硬件投资：由于SSL卸载减少了服务器的性能消耗，企业可以节省应用系统服务器的数量，从而降低业务系统的硬件投资[3][4]。
改善用户体验：通过缩短用户请求的响应时间，SSL卸载极大提升了用户的访问体验[3][4]。
使用场景：SSL卸载主要用于发布SSL和HTTPS虚拟服务，支持对SSL相关服务的流量进行SSL解密。无论是网关模式还是旁路模式部署，都支持SSL卸载[1]。
注意事项：使用SSL卸载需要有SSL卸载序列号授权，并且需要有对应的服务器证书。可以使用自签名证书或第三方机构申请的证书[1]。

AD7.0.5之前的版本SSL卸载可参考如下文档链接:
AD自建CA方式SSL卸载配置文档 ：点击这里
AD第三方CA方式SSL卸载配置文档：点击这里

AD7.0.5之后版本SSL卸载可参考文档：点击这里

AD7.0.5之前的版本SSL卸载可参考如下文档链接:
AD自建CA方式SSL卸载配置文档 ：点击这里
AD第三方CA方式SSL卸载配置文档：点击这里

AD7.0.5之后版本SSL卸载可参考文档：点击这里

本帖最后由 小鱼儿 于 2024-12-19 20:22 编辑


SSL卸载的作用主要体现在以下几个方面：
性能优化：SSL卸载技术将应用访问过程中SSL的加解密过程转移到深信服AD设备上，从而减少服务器端的性能压力。这意味着服务器无需处理SSL加解密，能够专注于处理明文数据，提高整体性能[1][2]。
提升响应速度：通过将SSL处理转移到AD设备，客户端的访问响应速度得以提升。AD设备具有强劲的SSL处理能力，能够实现端到端的SSL加密，并支持全面的加密算法配置[1][2]。
节省硬件投资：由于SSL卸载减少了服务器的性能消耗，企业可以节省应用系统服务器的数量，从而降低业务系统的硬件投资[3][4]。
改善用户体验：通过缩短用户请求的响应时间，SSL卸载极大提升了用户的访问体验[3][4]。
使用场景：SSL卸载主要用于发布SSL和HTTPS虚拟服务，支持对SSL相关服务的流量进行SSL解密。无论是网关模式还是旁路模式部署，都支持SSL卸载[1]。
注意事项：使用SSL卸载需要有SSL卸载序列号授权，并且需要有对应的服务器证书。可以使用自签名证书或第三方机构申请的证书[1]。

在深信服AD-1900设备上配置通配符SSL证书来统一管理内部业务服务器的HTTPS流量是一个可行的方案。通过这种方式，您可以将SSL解密、加密和安全策略集中管理在AD设备上，而不需要在每个业务服务器上单独配置SSL证书。这不仅简化了管理，还提高了安全性。

### 配置步骤

#### 1. **准备工作**
   - **获取通配符SSL证书**：确保您已经申请并获得了通配符SSL证书（如`*.yourdomain.com`），并且拥有证书文件（通常是`.crt`或`.pem`格式）和私钥文件（通常是`.key`格式）。
   - **备份现有配置**：在进行任何更改之前，建议先备份AD-1900的当前配置，以防止意外情况发生。

#### 2. **导入SSL证书到AD-1900**
   - **登录AD-1900管理界面**：
     - 打开浏览器，输入AD-1900的管理IP地址，使用管理员账户登录。
   
   - **进入证书管理页面**：
     - 导航到“系统设置” > “证书管理” > “本地证书”。
   
   - **导入证书**：
     - 点击“导入证书”按钮，选择您下载的通配符SSL证书文件（`.crt`或`.pem`）和私钥文件（`.key`）。
     - 如果证书链文件（如CA证书）也提供，请一并导入。
     - 确认导入后，证书将显示在本地证书列表中。

#### 3. **配置SSL卸载功能**
   - **启用SSL卸载**：
     - 导航到“应用控制” > “SSL卸载”。
     - 启用SSL卸载功能，并选择要使用的通配符SSL证书。
     - 配置监听端口（通常是443端口）。
   
   - **配置转发规则**：
     - 在SSL卸载页面中，配置转发规则，指定哪些域名或路径的流量需要转发到内部业务服务器。
     - 例如，如果您有多个子域名（如`app1.yourdomain.com`、`app2.yourdomain.com`等），可以在转发规则中为每个子域名配置相应的内部服务器IP地址和端口。
     - 确保转发规则中的目标服务器是内部业务服务器的实际IP地址和端口。

#### 4. **配置内部业务服务器**
   - **禁用服务器上的SSL**：
     - 由于SSL卸载已经在AD-1900上完成，内部业务服务器不再需要处理HTTPS流量。因此，您可以将内部业务服务器的Web服务（如Apache、Nginx、IIS等）配置为仅监听HTTP（80端口）或内部自定义端口。
     - 这样可以减少服务器的负载，并简化管理。

#### 5. **验证配置**
   - **测试访问**：
     - 使用浏览器或其他客户端工具，尝试访问外部域名（如`https://app1.yourdomain.com`），确保流量能够正确通过AD-1900进行SSL解密和转发到内部业务服务器。
     - 检查浏览器是否显示有效的SSL证书，并且没有安全警告。
   
   - **检查日志**：
     - 在AD-1900的管理界面中，查看SSL卸载的日志，确保流量正常通过，并且没有出现错误或警告信息。

#### 6. **优化和监控**
   - **性能优化**：
     - 根据实际流量情况，调整SSL卸载的性能参数，如并发连接数、缓存设置等，以确保系统在高负载下的稳定性和响应速度。
   
   - **安全策略**：
     - 配置额外的安全策略，如WAF（Web应用防火墙）、IPS（入侵防御系统）等，进一步保护内部业务服务器免受攻击。
   
   - **定期更新证书**：
     - 通配符SSL证书通常有一定的有效期（如1年或2年），请确保在证书到期前及时更新，并重新导入到AD-1900中。

### 注意事项
- **证书链完整性**：确保导入的证书链完整，包括中间证书和根证书，以避免浏览器提示证书不信任的问题。
- **内部DNS解析**：如果内部网络使用DNS解析，确保内部DNS服务器能够正确解析外部域名到AD-1900的IP地址，以便流量能够正确转发。
- **防火墙规则**：确保AD-1900的防火墙规则允许来自外部的HTTPS流量（443端口）进入，并允许转发到内部业务服务器的HTTP流量（80端口或其他自定义端口）。

### 总结
通过在深信服AD-1900上配置通配符SSL证书并启用SSL卸载功能，您可以集中管理内部业务服务器的HTTPS流量，简化证书管理和提高安全性。按照上述步骤进行配置后，所有外部访问的HTTPS请求将由AD-1900进行SSL解密和转发，内部业务服务器只需处理HTTP流量即可。

如果您在配置过程中遇到任何问题，建议参考深信服的官方文档或联系技术支持团队获取进一步的帮助。

AD7.0.5之前的版本SSL卸载可参考如下文档链接:
AD自建CA方式SSL卸载配置文档 ：点击这里
AD第三方CA方式SSL卸载配置文档：点击这里

AD7.0.5之后版本SSL卸载可参考文档：点击这里