Cisco Interfaces and Modules : Módulo de serviços SSL Cisco Catalyst 6500 Series

Configuração backend simples da criptografia SSL com o módulo SSL do catalizador 6000

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

A configuração backend do Secure Socket Layer (SSL) está usada quando você quer um cliente que usa HTTP (texto claro) para se comunicar com um servidor HTTPS (tráfego criptografado). O módulo SSL atuará como um proxy e aceitará a conexão de HTTP do cliente. O módulo SSL conecta então através do SSL ao server. Todo o tráfego do cliente é cifrado pelo módulo SSL e enviado ao server. O tráfego do server é decifrado antes de ser enviada ao cliente.

/image/gif/paws/50061/simple_backend_ssl.jpg

Esta é a configuração inicial do módulo SSL. As definições de VLAN são incluídas.

ssl-proxy vlan 499 
 ipaddr 192.168.11.197 255.255.254.0
 gateway 192.168.10.1  
 admin
ssl-proxy vlan 500 
 ipaddr 192.168.21.197 255.255.254.0
 gateway 192.168.20.1  
ssl-proxy vlan 501 
 ipaddr 192.168.31.197 255.255.254.0

Antes de Começar

Requisitos

Antes de tentar esta configuração, assegure-se de por favor que você cumpra estas exigências:

  • Catalizador 6000 com módulo SSL

  • O módulo SSL foi configurado com um VLAN de gerenciamento

  • O módulo SSL foi configurado com cliente e servidor VLAN

Componentes Utilizados

A informação neste documento é baseada nesta versão de hardware e software:

  • Mínimo do 2.1 da versão de módulo de SSL

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configuração SSL de backend

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

SSL e Certificados

Um Certificate Authority (CA) confiado é exigido validar o certificado apresentado ao módulo SSL pelo servidor de Web ao estabelecer a conexão SSL. Os CA confiados múltiplos podem ser configurados e alinhado junto com um pool de CA.

Importando certificados de CA confiados

Conclua estes passos:

  1. Crie uma entrada confiada de CA que indica o método a ser usado para importar os Certificados. Neste exemplo, a cópia e cola o certificado em uma janela terminal. Também, especifique que CA não tem nenhuma lista de revogação dos Certificados (CRL).

    ssl-proxy(config)#crypto ca trustpoint CA1
    ssl-proxy(ca-trustpoint)#enrollment terminal 
    ssl-proxy(ca-trustpoint)#crl optional 
  2. Uma vez que a entrada de CA foi criada, você pode importar os Certificados associados.

    ssl-proxy(config)#crypto ca authenticate CA1
    
    Enter the base 64 encoded CA certificate.
    End with a blank line or the word "quit" on a line by itself
    
    -----BEGIN CERTIFICATE-----
    MIIEDDCCA3WgAwIBAgIBADANBgkqhkiG9w0BAQQFADCBuzELMAkGA1UEBhMCLS0x
    EjAQBgNVBAgTCVNvbWVTdGF0ZTERMA8GA1UEBxMIU29tZUNpdHkxGTAXBgNVBAoT
    EFNvbWVPcmdhbml6YXRpb24xHzAdBgNVBAsTFlNvbWVPcmdhbml6YXRpb25hbFVu
    aXQxHjAcBgNVBAMTFWxvY2FsaG9zdC5sb2NhbGRvbWFpbjEpMCcGCSqGSIb3DQEJ
    ARYacm9vdEBsb2NhbGhvc3QubG9jYWxkb21haW4wHhcNMDMxMTA3MTAyNTE5WhcN
    MDQxMTA2MTAyNTE5WjCBuzELMAkGA1UEBhMCLS0xEjAQBgNVBAgTCVNvbWVTdGF0
    ZTERMA8GA1UEBxMIU29tZUNpdHkxGTAXBgNVBAoTEFNvbWVPcmdhbml6YXRpb24x
    HzAdBgNVBAsTFlNvbWVPcmdhbml6YXRpb25hbFVuaXQxHjAcBgNVBAMTFWxvY2Fs
    aG9zdC5sb2NhbGRvbWFpbjEpMCcGCSqGSIb3DQEJARYacm9vdEBsb2NhbGhvc3Qu
    bG9jYWxkb21haW4wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBALbEc403lMrc
    TwM0MGU1IDe7QWQE5h5NjS/Lf8KX81sNcO7DGrDLxjxKpKEfp2XY9XYbFBXGzDIP
    JdROjujvcUi0ZgQYr2pqP2eYHkWaMKClZ32JX4hOhgo0vr7dAQ7CKDRAVLddwqsC
    YTl1QPQHR27gtI/M74v4kaP1JBf/8Z+jAgMBAAGjggEcMIIBGDAdBgNVHQ4EFgQU
    JKrmeHLjYClfDU3fR7BSQ8ckApQwgegGA1UdIwSB4DCB3YAUJKrmeHLjYClfDU3f
    R7BSQ8ckApShgcGkgb4wgbsxCzAJBgNVBAYTAi0tMRIwEAYDVQQIEwlTb21lU3Rh
    dGUxETAPBgNVBAcTCFNvbWVDaXR5MRkwFwYDVQQKExBTb21lT3JnYW5pemF0aW9u
    MR8wHQYDVQQLExZTb21lT3JnYW5pemF0aW9uYWxVbml0MR4wHAYDVQQDExVsb2Nh
    bGhvc3QubG9jYWxkb21haW4xKTAnBgkqhkiG9w0BCQEWGnJvb3RAbG9jYWxob3N0
    LmxvY2FsZG9tYWluggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEEBQADgYEA
    bVSfbEnrUKijkP5f76pyNFDYCS9Qu4PN8SJu8KXlmFTpcV1oToVAipUGBsgENvKx
    R1aJqpAU8a9iGVFukaco3Q+Gu9TErWauVevflwekcY5sOHXt33jWneveDcNwEQ1J
    JmptCZO2GS8td+PfFJKkc846fqe0LL/BzPPNrkM4C/8=
    -----END CERTIFICATE-----
    
    Certificate has the following attributes:
    Fingerprint: 458E7A60 0845AD98 A1649A8B 040F8E99 
    % Do you accept this certificate? [yes/no]: 
  3. Você pode repetir as etapas acima para tantos como CA como necessários.

Criando um pool do Certificate Authority

Conclua estes passos:

Agora que você criou todos os CA confiados e importou seus Certificados associados, você precisa de ligar junto estes CA.

ssl-proxy(config)#ssl-proxy pool ca pool1
ssl-proxy(config-ca-pool)#ca trustpoint CA1

Configurando o serviço backend SSL

Conclua estes passos:

  1. Crie o serviço do proxy SSL. Especifique que este é um serviço backend SSL usando as palavras-chave de cliente após o nome do serviço.

    ssl-proxy(config)#ssl-proxy service MyHTTPS client
     
    ssl-proxy(config-ssl-proxy)#
    
  2. Defina o endereço e a porta do IP virtual (VIP) em que o módulo SSL estará escutando. O endereço IP de Um ou Mais Servidores Cisco ICM NT deve ser parte da sub-rede IP definida em um do módulo SSL VLAN.

    ssl-proxy(config-ssl-proxy)#virtual ipaddr 192.168.21.241 protocol tcp port 80
    
  3. Defina o servidor HTTPS a que nós conectaremos

    ssl-proxy(config-ssl-proxy)#server ipaddr 192.168.30.195 protocol tcp port 443
    
  4. Ligue o pool de CA, que tem sido definido já.

    ssl-proxy(config-ssl-proxy)#trusted-ca mentone-pool
    
  5. Defina o que parte do certificado você quer o módulo SSL verificar durante a negociação de SSL. Este passo é opcional.

    ssl-proxy(config-ssl-proxy)#authenticate verify signature-only
    
  6. Ative o serviço.

    ssl-proxy(config-ssl-proxy)#inservice
    

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração está funcionando adequadamente.

Certifique-se de seu serviço do proxy SSL seja ativo e trabalhando corretamente:

ssl-proxy#sho ssl-proxy service MyHTTPS
Service id: 260, bound_service_id: 4
Virtual IP: 192.168.21.241, port: 80  
Server IP: 192.168.30.195, port: 443
Certificate authority pool: mentone-pool 
  CA pool complete 
Certificate authentication type: only signature verification
Admin Status: up
Operation Status: up
ssl-proxy#

A saída está correta.

Este exemplo mostra um problema possível:

ssl-proxy#sho ssl-proxy service gduf 
Service id: 259, bound_service_id: 3
Virtual IP: 192.168.31.241, port: 80  
Server IP: 192.168.21.3, port: 443
Certificate authority pool: C2knica (not configured)
Certificate authentication type: only signature verification
Admin Status: up
Operation Status: down
Proxy status: CA pool incomplete

Verifique as estatísticas. Certifique-se das conexões estejam sendo recebidas do cliente, e que as conexões estão abertas com o server.

ssl-proxy#sho ssl-proxy stats
TCP Statistics:
    Conns initiated     : 7             Conns accepted       : 7         
    Conns established   : 14            Conns dropped        : 6         
    Conns Allocated     : 22            Conns Deallocated    : 22        
    Conns closed        : 14            SYN timeouts         : 0         
    Idle timeouts       : 0             Total pkts sent      : 54        
    Data packets sent   : 18            Data bytes sent      : 1227      
    Total Pkts rcvd     : 54            Pkts rcvd in seq     : 24        
    Bytes rcvd in seq   : 9967      

SSL Statistics: 
    conns attempted     : 7             conns completed     : 7         
    full handshakes     : 1             resumed handshakes  : 0         
    active conns        : 0             active sessions     : 0         
    renegs attempted    : 0             conns in reneg      : 0         
    handshake failures  : 6             data failures       : 0         
    fatal alerts rcvd   : 0             fatal alerts sent   : 6         
    no-cipher alerts    : 0             ver mismatch alerts : 0         
    no-compress alerts  : 0             bad macs received   : 0         
    pad errors          : 0             session fails       : 0         

FDU Statistics:
    IP Frag Drops       : 0             IP Version Drops    : 0         
    IP Addr Discards    : 0             Serv_Id Drops       : 0         
    Conn Id Drops       : 0             Bound Conn Drops    : 0         
    Vlan Id Drops       : 0             TCP Checksum Drops  : 0         
    Hash Full Drops     : 0             Hash Alloc Fails    : 0         
    Flow Creates        : 44            Flow Deletes        : 44        
    Conn Id allocs      : 22            Conn Id deallocs    : 22        
    Tagged Pkts Drops   : 0             Non-Tagg Pkts Drops : 0         
    Add ipcs            : 1             Delete ipcs         : 0         
    Disable ipcs        : 1             Enable ipcs         : 0         
    Unsolicited ipcs    : 0             Duplicate Add ipcs  : 0         
    IOS Broadcast Pkts  : 36624         IOS Unicast Pkts    : 1310      
    IOS Multicast Pkts  : 0             IOS Total Pkts      : 37934     
    IOS Congest Drops   : 0             SYN Discards        : 0       

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 50061