Interfaces et modules Cisco : Module SSL Services de la gamme Cisco Catalyst 6500

Configuration du chiffrement SSL de back-end simple avec le module Catalyst 6000 SSL

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

La configuration principale de Protocole SSL (Secure Socket Layer) est utilisée quand vous voulez un client employant le HTTP (texte clair) pour communiquer avec un serveur HTTPS (le trafic chiffré). Le module SSL agira en tant que proxy et recevra la connexion HTTP du client. Le module SSL se connecte alors par l'intermédiaire du SSL au serveur. Tout le trafic du client est chiffré par le module SSL et expédié au serveur. Le trafic du serveur est déchiffré avant d'être expédiée au client.

/image/gif/paws/50061/simple_backend_ssl.jpg

C'est la configuration initiale du module SSL. Les définitions VLAN sont incluses.

ssl-proxy vlan 499 
 ipaddr 192.168.11.197 255.255.254.0
 gateway 192.168.10.1  
 admin
ssl-proxy vlan 500 
 ipaddr 192.168.21.197 255.255.254.0
 gateway 192.168.20.1  
ssl-proxy vlan 501 
 ipaddr 192.168.31.197 255.255.254.0

Avant de commencer

Conditions requises

Avant de tenter cette configuration, assurez-vous s'il vous plaît que vous répondez à ces exigences :

  • Catalyst 6000 avec le module SSL

  • Le module SSL a été configuré avec un VLAN de gestion

  • Le module SSL a été configuré avec le client et serveur VLAN

Composants utilisés

Les informations dans ce document sont basées sur cette version matérielle et logicielle :

  • Minimum de version 2.1 de module SSL

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Configuration principale SSL

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

SSL et Certificats

Un Autorité de certification (CA) de confiance est exigé pour valider le certificat présenté au module SSL par le serveur Web en établissant la connexion SSL. Le multiple a fait confiance que le CAs peut être configuré et rayé ainsi qu'un groupe CA.

Importer les Certificats CA de confiance

Procédez comme suit :

  1. Créez une entrée de confiance CA indiquant la méthode à utiliser pour importer les Certificats. Dans cet exemple, la copie et collent le certificat dans un terminal window. En outre, spécifiez que le CA n'a aucune liste de révocation de Certificats (CRL).

    ssl-proxy(config)#crypto ca trustpoint CA1
    ssl-proxy(ca-trustpoint)#enrollment terminal 
    ssl-proxy(ca-trustpoint)#crl optional 
  2. Une fois que l'entrée CA a été créée, vous pouvez importer les Certificats associés.

    ssl-proxy(config)#crypto ca authenticate CA1
    
    Enter the base 64 encoded CA certificate.
    End with a blank line or the word "quit" on a line by itself
    
    -----BEGIN CERTIFICATE-----
    MIIEDDCCA3WgAwIBAgIBADANBgkqhkiG9w0BAQQFADCBuzELMAkGA1UEBhMCLS0x
    EjAQBgNVBAgTCVNvbWVTdGF0ZTERMA8GA1UEBxMIU29tZUNpdHkxGTAXBgNVBAoT
    EFNvbWVPcmdhbml6YXRpb24xHzAdBgNVBAsTFlNvbWVPcmdhbml6YXRpb25hbFVu
    aXQxHjAcBgNVBAMTFWxvY2FsaG9zdC5sb2NhbGRvbWFpbjEpMCcGCSqGSIb3DQEJ
    ARYacm9vdEBsb2NhbGhvc3QubG9jYWxkb21haW4wHhcNMDMxMTA3MTAyNTE5WhcN
    MDQxMTA2MTAyNTE5WjCBuzELMAkGA1UEBhMCLS0xEjAQBgNVBAgTCVNvbWVTdGF0
    ZTERMA8GA1UEBxMIU29tZUNpdHkxGTAXBgNVBAoTEFNvbWVPcmdhbml6YXRpb24x
    HzAdBgNVBAsTFlNvbWVPcmdhbml6YXRpb25hbFVuaXQxHjAcBgNVBAMTFWxvY2Fs
    aG9zdC5sb2NhbGRvbWFpbjEpMCcGCSqGSIb3DQEJARYacm9vdEBsb2NhbGhvc3Qu
    bG9jYWxkb21haW4wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBALbEc403lMrc
    TwM0MGU1IDe7QWQE5h5NjS/Lf8KX81sNcO7DGrDLxjxKpKEfp2XY9XYbFBXGzDIP
    JdROjujvcUi0ZgQYr2pqP2eYHkWaMKClZ32JX4hOhgo0vr7dAQ7CKDRAVLddwqsC
    YTl1QPQHR27gtI/M74v4kaP1JBf/8Z+jAgMBAAGjggEcMIIBGDAdBgNVHQ4EFgQU
    JKrmeHLjYClfDU3fR7BSQ8ckApQwgegGA1UdIwSB4DCB3YAUJKrmeHLjYClfDU3f
    R7BSQ8ckApShgcGkgb4wgbsxCzAJBgNVBAYTAi0tMRIwEAYDVQQIEwlTb21lU3Rh
    dGUxETAPBgNVBAcTCFNvbWVDaXR5MRkwFwYDVQQKExBTb21lT3JnYW5pemF0aW9u
    MR8wHQYDVQQLExZTb21lT3JnYW5pemF0aW9uYWxVbml0MR4wHAYDVQQDExVsb2Nh
    bGhvc3QubG9jYWxkb21haW4xKTAnBgkqhkiG9w0BCQEWGnJvb3RAbG9jYWxob3N0
    LmxvY2FsZG9tYWluggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEEBQADgYEA
    bVSfbEnrUKijkP5f76pyNFDYCS9Qu4PN8SJu8KXlmFTpcV1oToVAipUGBsgENvKx
    R1aJqpAU8a9iGVFukaco3Q+Gu9TErWauVevflwekcY5sOHXt33jWneveDcNwEQ1J
    JmptCZO2GS8td+PfFJKkc846fqe0LL/BzPPNrkM4C/8=
    -----END CERTIFICATE-----
    
    Certificate has the following attributes:
    Fingerprint: 458E7A60 0845AD98 A1649A8B 040F8E99 
    % Do you accept this certificate? [yes/no]: 
  3. Vous pouvez répéter les étapes ci-dessus pour autant de CAs comme nécessaire.

Création d'un groupe d'autorité de certification

Procédez comme suit :

Maintenant que vous avez créé tout le CAs de confiance et avez importé leurs Certificats associés, vous devez joindre ces CAs ensemble.

ssl-proxy(config)#ssl-proxy pool ca pool1
ssl-proxy(config-ca-pool)#ca trustpoint CA1

Configurer le service SSL de backend

Procédez comme suit :

  1. Créez le service de SSL-proxy. Spécifiez que c'est un service SSL de backend à l'aide du client de mot clé après le nom de service.

    ssl-proxy(config)#ssl-proxy service MyHTTPS client
     
    ssl-proxy(config-ssl-proxy)#
    
  2. Définissez l'adresse virtuelle IP (VIP) et mettez en communication sur ce que le module SSL écoutera. L'adresse IP doit faire partie de l'IP de sous-réseau défini sur un du module VLAN SSL.

    ssl-proxy(config-ssl-proxy)#virtual ipaddr 192.168.21.241 protocol tcp port 80
    
  3. Définissez le serveur HTTPS au lequel nous nous connecterons

    ssl-proxy(config-ssl-proxy)#server ipaddr 192.168.30.195 protocol tcp port 443
    
  4. Joignez le groupe CA, qui a été déjà défini.

    ssl-proxy(config-ssl-proxy)#trusted-ca mentone-pool
    
  5. Définissez quelle partie du certificat vous voulez que le module SSL vérifie pendant la négociation SSL. Cette étape est facultative.

    ssl-proxy(config-ssl-proxy)#authenticate verify signature-only
    
  6. Lancez le service.

    ssl-proxy(config-ssl-proxy)#inservice
    

Vérifiez

Cette section présente des informations que vous pouvez utiliser pour vous assurer que votre configuration fonctionne correctement.

Vérifiez que votre service de SSL-proxy est en activité et fonctionnant correctement :

ssl-proxy#sho ssl-proxy service MyHTTPS
Service id: 260, bound_service_id: 4
Virtual IP: 192.168.21.241, port: 80  
Server IP: 192.168.30.195, port: 443
Certificate authority pool: mentone-pool 
  CA pool complete 
Certificate authentication type: only signature verification
Admin Status: up
Operation Status: up
ssl-proxy#

La sortie est correcte.

Cet exemple affiche un problème éventuel :

ssl-proxy#sho ssl-proxy service gduf 
Service id: 259, bound_service_id: 3
Virtual IP: 192.168.31.241, port: 80  
Server IP: 192.168.21.3, port: 443
Certificate authority pool: C2knica (not configured)
Certificate authentication type: only signature verification
Admin Status: up
Operation Status: down
Proxy status: CA pool incomplete

Vérifiez les statistiques. Vérifiez que des connexions sont reçues du client, et que des connexions sont ouvertes avec le serveur.

ssl-proxy#sho ssl-proxy stats
TCP Statistics:
    Conns initiated     : 7             Conns accepted       : 7         
    Conns established   : 14            Conns dropped        : 6         
    Conns Allocated     : 22            Conns Deallocated    : 22        
    Conns closed        : 14            SYN timeouts         : 0         
    Idle timeouts       : 0             Total pkts sent      : 54        
    Data packets sent   : 18            Data bytes sent      : 1227      
    Total Pkts rcvd     : 54            Pkts rcvd in seq     : 24        
    Bytes rcvd in seq   : 9967      

SSL Statistics: 
    conns attempted     : 7             conns completed     : 7         
    full handshakes     : 1             resumed handshakes  : 0         
    active conns        : 0             active sessions     : 0         
    renegs attempted    : 0             conns in reneg      : 0         
    handshake failures  : 6             data failures       : 0         
    fatal alerts rcvd   : 0             fatal alerts sent   : 6         
    no-cipher alerts    : 0             ver mismatch alerts : 0         
    no-compress alerts  : 0             bad macs received   : 0         
    pad errors          : 0             session fails       : 0         

FDU Statistics:
    IP Frag Drops       : 0             IP Version Drops    : 0         
    IP Addr Discards    : 0             Serv_Id Drops       : 0         
    Conn Id Drops       : 0             Bound Conn Drops    : 0         
    Vlan Id Drops       : 0             TCP Checksum Drops  : 0         
    Hash Full Drops     : 0             Hash Alloc Fails    : 0         
    Flow Creates        : 44            Flow Deletes        : 44        
    Conn Id allocs      : 22            Conn Id deallocs    : 22        
    Tagged Pkts Drops   : 0             Non-Tagg Pkts Drops : 0         
    Add ipcs            : 1             Delete ipcs         : 0         
    Disable ipcs        : 1             Enable ipcs         : 0         
    Unsolicited ipcs    : 0             Duplicate Add ipcs  : 0         
    IOS Broadcast Pkts  : 36624         IOS Unicast Pkts    : 1310      
    IOS Multicast Pkts  : 0             IOS Total Pkts      : 37934     
    IOS Congest Drops   : 0             SYN Discards        : 0       

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 50061