成人AV在线无码|婷婷五月激情色,|伊人加勒比二三四区|国产一区激情都市|亚洲AV无码电影|日av韩av无码|天堂在线亚洲Av|无码一区二区影院|成人无码毛片AV|超碰在线看中文字幕

APVSSL加速技術(shù)應(yīng)用指導(dǎo)書

APV SSL加速技術(shù)應(yīng)用指導(dǎo)書ArrayNetworks ,目錄一、什么是SSL 加速器 ........................................

APV SSL加速技術(shù)應(yīng)用指導(dǎo)書

ArrayNetworks

,

目錄

一、什么是SSL 加速器 .................................................................................................................... 3

二、APV SSL功能介紹 .................................................................................................................... 4

2.1為提升性能而設(shè)計(jì)的功能 . .................................................................................................. 4

2.2為提升證書支持的靈活性而設(shè)計(jì)的功能。 . ...................................................................... 5

2.3為提供用戶體驗(yàn)的功能 . ...................................................................................................... 7

2.4 APV SSL功能總結(jié): . .......................................................................................................... 8

三、APV SSL解決方案總結(jié) ............................................................................................................ 9

附件一、APV SSL加速的一個典型案例配置 ................................................................................ 9

1、為SSL 虛擬域名創(chuàng)建證書簽發(fā)請求 . ................................................................................. 10

2、轉(zhuǎn)發(fā)證書簽發(fā)請求到認(rèn)證中心 . ......................................................................................... 11

3、為SSL 虛擬域名配置客戶端認(rèn)證 . ..................................................................................... 13

4、為SSL 虛擬域名配置CRL . .................................................................................................. 13

5、為不具有強(qiáng)加密支持的客戶端配置重定向 ...................................................................... 14

6、查看當(dāng)前SSL 設(shè)置 . ............................................................................................................. 14

附件二:如何使用windows 2003 server的證書服務(wù)實(shí)現(xiàn)認(rèn)證中心功能................................. 15

,

隨著電子商務(wù)應(yīng)用的迅猛發(fā)展,為保證交易的機(jī)密性,對交易進(jìn)行加密的需求越來越普遍,基于HTTP 的Web 應(yīng)用越來越多的被加密的HTTPS 應(yīng)用所取代。HTTPS 應(yīng)用了Netscape 的完全套接字層(SSL )作為HTTP 應(yīng)用層的子層。HTTPS 使用端口443,而不是象HTTP 那樣使用端口80來和TCP/IP進(jìn)行通信。SSL (Secure socket Layer)安全套接層協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性。

一、什么是SSL 加速器

SSL 協(xié)議是對 HTTP 請求上的敏感數(shù)據(jù)加密的技術(shù)。握手、加密和解密過程由 Web 服務(wù)器處理。此過程會給 Web 服務(wù)器添加額外的工作負(fù)載。

由web 服務(wù)器提供傳統(tǒng)的軟件SSL 加速方式嚴(yán)重降低了web 服務(wù)器的性能,供應(yīng)商提供了可改進(jìn) SSL 處理的硬件。這些硬件稱為“SSL 加速器”或“SSL 終結(jié)器”(SSL Terminator) 。SSL 加速器截獲加密的通信并執(zhí)行 SSL 處理(握手、加密和解密)。加速器與 Web 服務(wù)器之間的通信通常是以明文形式進(jìn)行的。通過使用專用硬件來執(zhí)行 SSL 處理,您可以在站點(diǎn)上獲得更好的性能。

瀏覽器向Web 站點(diǎn)發(fā)出 HTTPS 請求。SSL 加速器截獲該請求并對其進(jìn)行解密。然后以明文形式 (HTTP) 將該請求轉(zhuǎn)發(fā)到 Web 服務(wù)器。當(dāng)響應(yīng)被返回時,SSL 加速器對響應(yīng)加密,然后將其發(fā)送回瀏覽器。

Array 公司的APV 系列設(shè)備,正是這樣一款性能卓越的SSL 加速器。通常情況下,Array SSL 數(shù)據(jù)處理流程為:

1、首先客戶端與Array 設(shè)備上的SSL 虛擬主機(jī)建立一個加密的HTTPS 會話。

2、然后Array 設(shè)備與后臺原始服務(wù)器建立一個非加密的http 會話。

3、數(shù)據(jù)在發(fā)給后臺服務(wù)器前,SSL 虛擬主機(jī)解密客戶端的請求后再發(fā)給后端服務(wù)器。

,

二、APV SSL功能介紹

Array APV采用了高性能的硬件加速方式。并且支持端到端的安全,SSL 加速器到后臺服務(wù)器之間也可以采用SSL 加密方式。SSL 不僅支持HTTPS 協(xié)議,還支持POPS 的安全email 傳輸方式。 SSL 標(biāo)準(zhǔn)支持如下:

? 支持128位或192位的強(qiáng)密鑰加密。

? 支持SSLv3, TLSv1 (SSLv3.1)得SSL 版本。

? 支持所有主流版本得加密密碼。

? 支持加速的1024位公鑰。

SSL 服務(wù)器和客戶端支持認(rèn)證。并內(nèi)置證書管理功能,支持客戶端證書并且客戶端證書可以在http 請求中的報頭傳遞,支持證書鏈中的中間證書,支持動態(tài)上傳證書吊銷列表,其中證書支持如下:

? 支持CSR 方式靈活的生成PEM(Base64)格式的外部證書。

? 支持導(dǎo)入OpenSSL, Microsoft IIS, and Netscape的證書和私鑰。

? 證書可以導(dǎo)入OpenSSL/Apache SSL PEM format, Microsoft IIS (v4/v5)

native format, and Netscape iPlanet DB等格式。

支持基于客戶密碼強(qiáng)度的https 重定向,支持HTTP 報頭中用X-Forwarded-For 來傳遞客戶端的源地址信息用戶審計(jì)。

APV SSL的功能可分為三大類,為提升性能而設(shè)計(jì)的功能,為提升證書證書的靈活性而設(shè)計(jì)的功能,和提高用戶體驗(yàn)的功能。下面我們分別來看看每項(xiàng)功能的原理和配置。

2.1為提升性能而設(shè)計(jì)的功能

APV 設(shè)備采用了高性能的硬件加速方式,和獨(dú)特的軟件處理方式,支持X509 證書快速解析。X509證書快速解析是Array 公司正在申請專利得一種新的證書解析算法。

X509證書快速解析流程如下:

首先掃描整個x509證書,記錄下證書中每個字段的偏移和內(nèi)容長度。最后對于不同的需求,APV 可以根據(jù)記錄的信息解析出需要的字段。

該功能對應(yīng)的CLI 命令:

ssl settings verifymethod [standard|fast]

,

為每個SSL 虛擬主機(jī)設(shè)置證書解析模式,stand 表示APV 設(shè)備將采用Openssl 來解析驗(yàn)證證書,而fast 選項(xiàng)表示在客戶證書上系統(tǒng)將用快速解析模式。

OpenSSL 客戶端證書解析是傳統(tǒng)的SSL 解析算法,其主要缺點(diǎn)是:

A 、性能低 B 、支持的證書類型少

X509證書快速解析的優(yōu)勢:

A 、性能高

B 、支持更多的證書類型,包括BER ,DER 和CER 。

C 、支持一些不規(guī)則的證書,例如某些CN 太長的證書。

2.2為提升證書支持的靈活性而設(shè)計(jì)的功能。

1、支持CA 證書列表,支持基于SSL 的客戶端認(rèn)證

如果啟用該功能,在客戶端可以連接到SSL 虛擬域名之前,APV 要求每個客戶端提供SSL 證書。配置命令為 APV(config)# ssl settings clientauth “www.example.com”

如果為SSL 虛擬域名啟用了SSL 客戶端認(rèn)證功能,則必須提供一個受信CA 證書,使用它對客戶端證書進(jìn)行校驗(yàn):

APV(config)# ssl import rootca “www.example.com”

該命令將提示用戶粘貼一個PEM 格式的受信CA 證書??梢詾镾SL 虛擬域名配置多個受信CA 。也可以指定屬主過濾:

APV(config)# ssl settings clientauth “www.example.com”“/C=cn/O=arraynetworks"

客戶端所發(fā)送的證書的屬主必須與所配置的過濾規(guī)則相匹配才能通過。過濾信息可以配置為C (國家),O (組織)和OU (組織單元),僅限于這三項(xiàng)。

APV 使用受信根證書對客戶端證書進(jìn)行認(rèn)證,然后根據(jù)屬主過濾規(guī)則決定允許(如果與規(guī)則相匹配)或拒絕客戶端對SSL 虛擬域名的訪問。對于這個例子,只有'C' 為 'cn' 并且 'O' 為 'arraynetworks' 的客戶端證書才能通過。

APV 支持兩種客戶端認(rèn)證方式:強(qiáng)制的和非強(qiáng)制的??蛻舳苏J(rèn)證模式默認(rèn)是強(qiáng)制的。在非強(qiáng)制模式下:

APV(config)# no ssl settings clientauth “www.example.com”

,

當(dāng)服務(wù)器發(fā)送一個證書請求到客戶端時,如果客戶沒有匹配的證書,或者點(diǎn)“cancel ” 取消時,服務(wù)器將會允許客戶連接到限制性的網(wǎng)絡(luò)資源,而不是放棄這個SSL 連接。所有的網(wǎng)絡(luò)資源如果想要公開給非認(rèn)證模式的客戶端,則需要執(zhí)行下面這個命令:

APV(config)# http acl url

2、支持證書后傳,為SSL 虛擬主機(jī)識別客戶端證書

一個后臺服務(wù)在處理客戶的請求之前,需要客戶端的證書。但是后臺服務(wù)器不能自己識別分析一個完整的SSL 證書。APV 將客戶端證書分解很多個字段,然后通過HTTPS URL 請求或HTTP 頭信息的方式傳遞到后臺服務(wù)器。

其配置命令為 [no]ssl settings certparse

例如: APV(config)# ssl settings cerparse “www.example.com”

3、支持動態(tài)上傳CRL ,并且將CRL 列表存儲在內(nèi)存中,以提高讀證書狀態(tài)檢查的速度

CRL (即證書撤消列表),可以通過HTTP 、FTP 或LDAP 定期從CRL 分發(fā)點(diǎn)獲取CRL 文件,CRL 分發(fā)點(diǎn)最多可以配置10條。

示例:在一個HTTP 網(wǎng)頁服務(wù)器上保存有CRL 文件(Array.crl ),希望每隔1分鐘獲取該文件。配置命令如下:

APV(config)#ssl settings crl www.example.com “http://www.crldp.com/Array.crl” 1 這樣 Array TMX每隔1分鐘會從www.crldp.com 上下載CRL 文件Array.crl 。

也可以從FTP 站點(diǎn)上下載CRL 文件:

APV(config)#ssl settings crl www.example.com “ftp://ftp.crldp.com/Array.crl” 1 也支持從LDAP 站點(diǎn)上下載CRL 文件:

ssl settings crl www.example.com “l(fā)dap://ldap.crldp.com/cn=array,dc=arraynetworks,dc=com” 1

4、支持基于客戶密碼強(qiáng)度的https 重定向

APV 提供重定向弱客戶端(沒有使用強(qiáng)加密的客戶端)到另一個URL 的功能。指定可以接受的最弱強(qiáng)度,任何使用比此更弱的加密算法的客戶端將被重定向到另一個URL 。

比如,希望將密鑰長度小于168位的客戶端重定向到另一個不同的站點(diǎn)

www.example2.com 。

配置命令如下:

,

ssl settings minimum www.example.com 168 “http://www.example2.com”

2.3為提供用戶體驗(yàn)的功能

APV 設(shè)備支持客戶定制的SSL 錯誤頁面,管理員可以制定不同的錯誤類型的頁面。如果客戶端認(rèn)證失敗,SSL 客戶就能看到一個管理員定義的錯誤頁面提示。錯誤頁面必須是靜態(tài)的html 類型,不能包含圖片,flash 等。

主要優(yōu)勢:用戶可以看到詳細(xì)的、與SSL 錯誤相關(guān)的web 頁面提示。

ssl import error

從管理員的遠(yuǎn)端主機(jī)將一個靜態(tài)的自定義的錯誤頁面導(dǎo)入到APV 的系統(tǒng)磁盤。管理員可以針對不同的錯誤頁面類型定義不同的錯誤代碼,這些頁面必須為不包含圖片及flash 動畫的靜態(tài)HTML 頁面。

error_code 指明自定義錯誤頁面的代碼,錯誤頁面的種類有六種,每一種錯誤頁面對應(yīng)一個錯誤代碼,范圍由901至906,如下所示:

901 服務(wù)器需要客戶端證書,而客戶端沒有發(fā)送證書

902 SSL 客戶端證書的簽名驗(yàn)證未通過

903 SSL 客戶端證書不被信任

904 SSL 客戶端證書過期

905 SSL 客戶端證書未生效

906 客戶端證書被廢除

url 指明遠(yuǎn)端主機(jī)的HTTP 或者FTP URL地址,用戶由該地址獲得靜態(tài)錯誤頁面。 例如,管理員在其主機(jī)上設(shè)置一個取名為error.html 的錯誤頁面,其主機(jī)IP 地址為10.3.50.100,那么這條命令中的參數(shù)應(yīng)表示為http://10.3.50.100/error.html。

ssl load error

將一個SSL 自定義錯誤頁面加載至Array TM 系統(tǒng)內(nèi)存中,這樣,當(dāng)客戶端認(rèn)證失敗時,在SSL 客戶端將顯示該SSL 自定義錯誤頁面。注意,加載之前需保證所加載的錯誤頁面已經(jīng)通過執(zhí)行“ssl import error”命令被導(dǎo)入到Array TM 系統(tǒng)磁盤中。

,

用戶還可以通過設(shè)置一個配置項(xiàng),在所有的HTTP 和HTTPS 請求中插入

“X-Forwarded-For ”頭。這樣可以使后臺服務(wù)看到客戶端的IP 地址。

打開此項(xiàng)之后,將向轉(zhuǎn)發(fā)到后臺服務(wù)器的HTTP 報頭和URL 請求中插入主機(jī)IP 地址。

vs_name SLB 虛擬服務(wù)名稱

mode 可以為 header, url 或者 all 。all 的意思是 HTTP 報頭和 URL ,參數(shù)中將包含

客戶端IP 地址。

customized name為在http header或URL 請求參數(shù)中的IP 地址定義了一個名稱

關(guān)閉此項(xiàng)后,將禁止將向轉(zhuǎn)發(fā)到后臺服務(wù)器的HTTP 報頭和URL 請求中插入主機(jī)IP 地

址。

2.4 APV SSL功能總結(jié):

,

三、APV SSL解決方案總結(jié)

相對于SSL 加速器的解決方案,客戶還可以采用在WEB 服務(wù)器上直接安裝SSL 加速

卡的方式。但是隨著應(yīng)用服務(wù)器因業(yè)務(wù)擴(kuò)容需要而不斷增加。在每臺服務(wù)器上都安裝SSL 加速卡的方式嚴(yán)重浪費(fèi)了用戶的投資,并且無論是從管理的靈活性、維護(hù)的方便性,還是從性能的方面,Array 公司的APV SSL加速方案都更勝一籌,為客戶提供了更好的投資回報率。

附件一、APV SSL加速的一個典型案例配置

下面,我們通過一個配置實(shí)例來看一下在APV SSL加速方式下,如何配置支持CRL 吊

銷列表的客戶端證書認(rèn)證。

在本案中,使用“www.example.com ”作為SSL 虛擬域名,它與一個IP 地址為10.10.0.10、端口號為443的SLB 虛擬服務(wù)關(guān)聯(lián)。

首先創(chuàng)建一個新的SSL 虛擬域名

第一步,使用一個SLB 的命令創(chuàng)建SLB 虛擬服務(wù)。

APV(config)#slb virtual https virtual1https 10.10.0.10 443

其中“virtual1https ”是新創(chuàng)建的SLB 虛擬服務(wù)。

SSL virtual Host: www.example.com

SLB virtual Host IP: 10.10.0.10

SLB virtual Host Port: 443

第二步,使用“ssl host”命令定義SSL 虛擬域名。

slb virtual https

tual_name> [vport]

,

“ssl host virtual”命令會為新配置的SSL 虛擬域名創(chuàng)建一個私有與公有密鑰對,密鑰長度是1024位。

APV(config)#ssl host virtual www.example.com virtual1https

下面開始APV SSL應(yīng)用加速部分的配置過程

先配置SSL 虛擬域名,產(chǎn)生一個CSR (證書簽發(fā)請求)發(fā)送到所選擇的認(rèn)證中心,認(rèn)證 中心會發(fā)回一個簽發(fā)后的證書,將該證書導(dǎo)入。本案例的認(rèn)證中心為自己搭建的windows 2003 server的證書服務(wù),關(guān)于windows 2003 server證書認(rèn)證的操作,詳細(xì)請參考此文檔的附件二。

1、為SSL 虛擬域名創(chuàng)建證書簽發(fā)請求

Array 設(shè)備提供了為已配置的SSL 虛擬域名創(chuàng)建密鑰對和證書簽發(fā)請求的功能,也可以創(chuàng)建測試證書用于測試或評估。第一步是使用“ssl csr ”命令產(chǎn)生一個證書簽發(fā)請求發(fā)送到認(rèn)證中心。系統(tǒng)將提示用戶輸入一些額外信息。

APV(config)#ssl csr www.example.com

We will now gather some required information about your ssl virtual host,

This information is encoded into your certificate

Two character country code for your organization (e.g. US): US

State or province: CA

Location or local city: San Jose

Organization Name: Example.com

Organizational Unit: Example.com

Email address of administrator: admin@example.com

產(chǎn)生以下輸出:

-----BEGIN CERTIFICATE REQUEST-----

MIIB5TCANU4ANQAwgaQxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTERMA8GA1UEBxMIU2FuIEpvc2UxFDASBgNVBAoTC0V4YW1wbGUuY29tMRQwEgYDVQQLEw tFeGFcGxlLmNvbTEnMCUGA1UEAxMec3NsLXRlc3QucHBiLmFycmF 廠商

bmV0d29ya3MubmV0MSAwHgYJKoZIhvcNAQkBFhFhZG1pbkBleGFtcGxlLmNvbTCBnzA NBgkqhkiG9w0AQEFAAOBjQAwgYkCgYEApk18ozLXGEpJS69BvtfNLcBEjoO82 QWRtH

標(biāo)簽: