Интерфейсы и модули Cisco : Сервисный модуль SSL Cisco Catalyst серии 6500

Настройка простого шифрования на стороне сервера с модулем SSL Catalyst 6000

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

Конфигурация Протокола SSL бэкэнда используется, когда вы хотите, чтобы клиент, использующий HTTP (открытый текст), связался с сервером HTTPS (зашифрованный поток данных). Модуль SSL будет действовать как прокси и принимать соединение HTTP от клиента. Модуль SSL тогда соединяется через SSL с сервером. Весь трафик от клиента зашифрован модулем SSL и передан к серверу. Трафик от сервера дешифрован прежде чем быть переданным клиенту.

/image/gif/paws/50061/simple_backend_ssl.jpg

Это - начальная конфигурация модуля SSL. Определения VLAN включены.

ssl-proxy vlan 499 
 ipaddr 192.168.11.197 255.255.254.0
 gateway 192.168.10.1  
 admin
ssl-proxy vlan 500 
 ipaddr 192.168.21.197 255.255.254.0
 gateway 192.168.20.1  
ssl-proxy vlan 501 
 ipaddr 192.168.31.197 255.255.254.0

Перед началом работы

Требования

Прежде, чем делать попытку этой конфигурации, гарантируйте соответствие этим требованиям:

  • Catalyst 6000 с модулем SSL

  • Модуль SSL был настроен с VLAN управления

  • Модуль SSL был настроен с VLAN клиента и сервера

Используемые компоненты

Сведения в этом документе основываются на этих версиях аппаратного программного обеспечения:

  • Минимум версии модуля SSL 2.1

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Конфигурация выходного буфера SSL

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

SSL и сертификаты

Доверенный центр сертификации (CA) обязан проверять сертификат, представленный модулю SSL Web-сервером при установлении подключения SSL. Множественный положил, что CAs может быть настроен и выровнен вместе с пулом CA.

Импортирование доверяемых сертификатов CA

Выполните следующие действия:

  1. Создайте доверяемую запись CA, указывающую на метод, который будет использоваться для импортирования сертификатов. В данном примере, копии и вставке сертификат в окно терминала. Кроме того, укажите, что CA не имеет никакого списка отзыва сертификатов (CRL).

    ssl-proxy(config)#crypto ca trustpoint CA1
    ssl-proxy(ca-trustpoint)#enrollment terminal 
    ssl-proxy(ca-trustpoint)#crl optional 
  2. Как только запись CA была создана, можно импортировать cвязанные сертификаты.

    ssl-proxy(config)#crypto ca authenticate CA1
    
    Enter the base 64 encoded CA certificate.
    End with a blank line or the word "quit" on a line by itself
    
    -----BEGIN CERTIFICATE-----
    MIIEDDCCA3WgAwIBAgIBADANBgkqhkiG9w0BAQQFADCBuzELMAkGA1UEBhMCLS0x
    EjAQBgNVBAgTCVNvbWVTdGF0ZTERMA8GA1UEBxMIU29tZUNpdHkxGTAXBgNVBAoT
    EFNvbWVPcmdhbml6YXRpb24xHzAdBgNVBAsTFlNvbWVPcmdhbml6YXRpb25hbFVu
    aXQxHjAcBgNVBAMTFWxvY2FsaG9zdC5sb2NhbGRvbWFpbjEpMCcGCSqGSIb3DQEJ
    ARYacm9vdEBsb2NhbGhvc3QubG9jYWxkb21haW4wHhcNMDMxMTA3MTAyNTE5WhcN
    MDQxMTA2MTAyNTE5WjCBuzELMAkGA1UEBhMCLS0xEjAQBgNVBAgTCVNvbWVTdGF0
    ZTERMA8GA1UEBxMIU29tZUNpdHkxGTAXBgNVBAoTEFNvbWVPcmdhbml6YXRpb24x
    HzAdBgNVBAsTFlNvbWVPcmdhbml6YXRpb25hbFVuaXQxHjAcBgNVBAMTFWxvY2Fs
    aG9zdC5sb2NhbGRvbWFpbjEpMCcGCSqGSIb3DQEJARYacm9vdEBsb2NhbGhvc3Qu
    bG9jYWxkb21haW4wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBALbEc403lMrc
    TwM0MGU1IDe7QWQE5h5NjS/Lf8KX81sNcO7DGrDLxjxKpKEfp2XY9XYbFBXGzDIP
    JdROjujvcUi0ZgQYr2pqP2eYHkWaMKClZ32JX4hOhgo0vr7dAQ7CKDRAVLddwqsC
    YTl1QPQHR27gtI/M74v4kaP1JBf/8Z+jAgMBAAGjggEcMIIBGDAdBgNVHQ4EFgQU
    JKrmeHLjYClfDU3fR7BSQ8ckApQwgegGA1UdIwSB4DCB3YAUJKrmeHLjYClfDU3f
    R7BSQ8ckApShgcGkgb4wgbsxCzAJBgNVBAYTAi0tMRIwEAYDVQQIEwlTb21lU3Rh
    dGUxETAPBgNVBAcTCFNvbWVDaXR5MRkwFwYDVQQKExBTb21lT3JnYW5pemF0aW9u
    MR8wHQYDVQQLExZTb21lT3JnYW5pemF0aW9uYWxVbml0MR4wHAYDVQQDExVsb2Nh
    bGhvc3QubG9jYWxkb21haW4xKTAnBgkqhkiG9w0BCQEWGnJvb3RAbG9jYWxob3N0
    LmxvY2FsZG9tYWluggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEEBQADgYEA
    bVSfbEnrUKijkP5f76pyNFDYCS9Qu4PN8SJu8KXlmFTpcV1oToVAipUGBsgENvKx
    R1aJqpAU8a9iGVFukaco3Q+Gu9TErWauVevflwekcY5sOHXt33jWneveDcNwEQ1J
    JmptCZO2GS8td+PfFJKkc846fqe0LL/BzPPNrkM4C/8=
    -----END CERTIFICATE-----
    
    Certificate has the following attributes:
    Fingerprint: 458E7A60 0845AD98 A1649A8B 040F8E99 
    % Do you accept this certificate? [yes/no]: 
  3. Можно повторить шаги выше для стольких же CAs, сколько необходимый.

Создание пула центра сертификации

Выполните следующие действия:

Теперь, когда вы создали весь доверяемый CAs и импортировали их cвязанные сертификаты, необходимо соединить эти CAs.

ssl-proxy(config)#ssl-proxy pool ca pool1
ssl-proxy(config-ca-pool)#ca trustpoint CA1

Настройка сервис SSL бэкэнда

Выполните следующие действия:

  1. Создайте сервис SSL - прокси. Укажите, что это - сервис SSL бэкэнда при помощи ключевого слова client после имени сервиса.

    ssl-proxy(config)#ssl-proxy service MyHTTPS client
     
    ssl-proxy(config-ssl-proxy)#
    
  2. Определите Виртуальное IP (VIP) адрес и порт, на котором будет слушать модуль SSL. IP-адрес должен быть частью IP-подсети, определенной на одной из VLAN модуля SSL.

    ssl-proxy(config-ssl-proxy)#virtual ipaddr 192.168.21.241 protocol tcp port 80
    
  3. Определите сервер HTTPS, с которым мы соединимся

    ssl-proxy(config-ssl-proxy)#server ipaddr 192.168.30.195 protocol tcp port 443
    
  4. Свяжите пул CA, который был уже определен.

    ssl-proxy(config-ssl-proxy)#trusted-ca mentone-pool
    
  5. Определите, какую часть сертификата вы хотите, чтобы модуль SSL проверил во время согласования SSL. Этот шаг не является обязательным.

    ssl-proxy(config-ssl-proxy)#authenticate verify signature-only
    
  6. Активируйте сервис.

    ssl-proxy(config-ssl-proxy)#inservice
    

Проверка.

В данном разделе содержатся сведения о проверке работы конфигурации.

Проверьте, что сервис SSL - прокси является активным и рабочим должным образом:

ssl-proxy#sho ssl-proxy service MyHTTPS
Service id: 260, bound_service_id: 4
Virtual IP: 192.168.21.241, port: 80  
Server IP: 192.168.30.195, port: 443
Certificate authority pool: mentone-pool 
  CA pool complete 
Certificate authentication type: only signature verification
Admin Status: up
Operation Status: up
ssl-proxy#

Выходные данные корректны.

Данный пример показывает возможную проблему:

ssl-proxy#sho ssl-proxy service gduf 
Service id: 259, bound_service_id: 3
Virtual IP: 192.168.31.241, port: 80  
Server IP: 192.168.21.3, port: 443
Certificate authority pool: C2knica (not configured)
Certificate authentication type: only signature verification
Admin Status: up
Operation Status: down
Proxy status: CA pool incomplete

Проверьте статистику. Проверьте, что соединения получаются от клиента, и что соединения открыты с сервером.

ssl-proxy#sho ssl-proxy stats
TCP Statistics:
    Conns initiated     : 7             Conns accepted       : 7         
    Conns established   : 14            Conns dropped        : 6         
    Conns Allocated     : 22            Conns Deallocated    : 22        
    Conns closed        : 14            SYN timeouts         : 0         
    Idle timeouts       : 0             Total pkts sent      : 54        
    Data packets sent   : 18            Data bytes sent      : 1227      
    Total Pkts rcvd     : 54            Pkts rcvd in seq     : 24        
    Bytes rcvd in seq   : 9967      

SSL Statistics: 
    conns attempted     : 7             conns completed     : 7         
    full handshakes     : 1             resumed handshakes  : 0         
    active conns        : 0             active sessions     : 0         
    renegs attempted    : 0             conns in reneg      : 0         
    handshake failures  : 6             data failures       : 0         
    fatal alerts rcvd   : 0             fatal alerts sent   : 6         
    no-cipher alerts    : 0             ver mismatch alerts : 0         
    no-compress alerts  : 0             bad macs received   : 0         
    pad errors          : 0             session fails       : 0         

FDU Statistics:
    IP Frag Drops       : 0             IP Version Drops    : 0         
    IP Addr Discards    : 0             Serv_Id Drops       : 0         
    Conn Id Drops       : 0             Bound Conn Drops    : 0         
    Vlan Id Drops       : 0             TCP Checksum Drops  : 0         
    Hash Full Drops     : 0             Hash Alloc Fails    : 0         
    Flow Creates        : 44            Flow Deletes        : 44        
    Conn Id allocs      : 22            Conn Id deallocs    : 22        
    Tagged Pkts Drops   : 0             Non-Tagg Pkts Drops : 0         
    Add ipcs            : 1             Delete ipcs         : 0         
    Disable ipcs        : 1             Enable ipcs         : 0         
    Unsolicited ipcs    : 0             Duplicate Add ipcs  : 0         
    IOS Broadcast Pkts  : 36624         IOS Unicast Pkts    : 1310      
    IOS Multicast Pkts  : 0             IOS Total Pkts      : 37934     
    IOS Congest Drops   : 0             SYN Discards        : 0       

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения