SSL-Client- und -Server-Authentifizierung.

Client-Authentifizierung

Clients greifen über HTTPS auf die Webanwendung zu. HTTPS wird am Edge-VIP beendet und fordert ein Client-Zertifikat an.

  1. Importieren Sie das Webserverzertifikat zusammen mit der Stamm-CA. Einzelheiten dazu finden Sie unter Szenario: Importieren eines SSL-Zertifikats.

  2. Erstellen Sie das HTTPS-Anwendungsprofil mit den folgenden Parametern:

    1. Wählen Sie unter „Typ“ in der Liste den Eintrag HTTPS aus.

    2. Wählen Sie die Registerkarte Virtuelle Serverzertifikate (Virtual Server Certificates) aus, und wählen Sie dann die Registerkarte CA-Zertifikate (CA Certificates) aus. CA wird zum Überprüfen des Client-Zertifikats verwendet.

    3. Wählen Sie das in Schritt 1 konfigurierte Serverzertifikat aus.

    4. Wählen Sie für die „Client-Authentifizierung“ in der Liste die Einstellung Erforderlich (Required) aus.

      Anmerkung:

      Wenn die Option Client-Authentifizierung (Client Authentication) auf Ignorieren (Ignore) festgelegt ist, ignoriert der Lastausgleich die Authentifizierung des Client-Zertifikats.

  3. Erstellen Sie einen virtuellen Server. Einzelheiten dazu finden Sie unter Szenario: Importieren eines SSL-Zertifikats.

    Anmerkung:

    Wenn die Option Pool Side SSL aktivieren (Enable Pool Side SSL) im Anwendungsprofil deaktiviert ist, setzt sich der ausgewählte Pool aus HTTP-Servern zusammen. Wenn die Option Pool Side SSL aktivieren (Enable Pool Side SSL) im Anwendungsprofil aktiviert ist, setzt sich der ausgewählte Pool aus HTTPS-Servern zusammen.

  4. Importieren Sie ein Client-Zertifikat, das von der Stamm-CA signiert ist, in den Browser.

    1. Rufen Sie die Website https://www.sslshopper.com/ssl-converter.html auf.

    2. Konvertieren Sie das Zertifikat und den privaten Schlüssel in die pfx-Datei. Vollständige Beispiele für Zertifikate und private Schlüssel finden Sie unter dem Thema Beispiel: Zertifikat und privater Schlüssel.

    3. Importieren Sie die pfx-Datei in den Browser.

Server-Authentifizierung

Clients greifen über HTTPS auf die Webanwendung zu. HTTPS wird am Edge-VIP beendet. Edge stellt neue HTTPS-Verbindungen mit den Servern her. Das Serverzertifikat wird angefordert und überprüft.

Vom Edge werden nur spezifische Verschlüsselungen akzeptiert.

  1. Importieren Sie das Webserverzertifikat und Stamm-CA-Zertifikat für die Server-Zertifikatauthentifizierung. Einzelheiten dazu finden Sie unter Szenario: Importieren eines SSL-Zertifikats.

  2. Erstellen Sie das HTTPS-Anwendungsprofil mit den folgenden Parametern:

    1. Wählen Sie unter „Typ“ in der Liste den Eintrag HTTPS aus.

    2. Aktivieren Sie das Kontrollkästchen Pool Side SSL aktivieren (Enable Pool Side SSL).

    3. Wählen Sie die Registerkarte Poolzertifikate (Pool Certificates) und wählen Sie dann die Registerkarte CA-Zertifikate (CA Certificates) aus. CA wird zum Überprüfen des Client-Zertifikats vom HTTPS-Backend-Server verwendet.

    4. Aktivieren Sie das Kontrollkästchen Server-Authentifizierung (Server Authentication).

    5. Wählen Sie das in Schritt 1 konfigurierte CA-Zertifikat aus.

    6. Wählen Sie die erforderliche Verschlüsselung in der Liste Verschlüsselungen (Ciphers) aus.

      Anmerkung:

      Wenn die Verschlüsselung nicht in der genehmigten Verschlüsselungs-Suite enthalten ist, wird sie auf Standard zurückgesetzt.

      Wenn die Verschlüsselung nach einem Upgrade von einer alten Version null/leer oder nicht in der genehmigten Verschlüsselungs-Suite enthalten ist, wird sie auf Standard zurückgesetzt.

  3. Erstellen Sie einen virtuellen Server. Einzelheiten dazu finden Sie unter Szenario: Importieren eines SSL-Zertifikats.

    Anmerkung:

    Wenn die Option Pool Side SSL aktivieren (Enable Pool Side SSL) im Anwendungsprofil deaktiviert ist, setzt sich der ausgewählte Pool aus HTTP-Servern zusammen. Wenn die Option Pool Side SSL aktivieren (Enable Pool Side SSL) im Anwendungsprofil aktiviert ist, setzt sich der ausgewählte Pool aus HTTPS-Servern zusammen.