F5 BIGIP SSL 加速全攻略.doc

F5 BIGIP-LTM SSL應(yīng)用加速技術(shù)白皮書 2007-10-02 16:50:59作者：Metoo來源：F5 Netoworks瀏覽次數(shù)：13文字大?。骸敬蟆俊局小俊拘　亢?jiǎn)介：F5 BIGIP-LTM SSL應(yīng)用加速技術(shù)白皮書 1 SSL加速原理 1.1 SSL簡(jiǎn)要介紹 SSL是被設(shè)計(jì)用來保證信息安全的一個(gè)協(xié)議，它依賴于可靠的TCP協(xié)議來傳輸數(shù)據(jù)。它的特點(diǎn)之一是獨(dú)立于上層的應(yīng)用層協(xié)議(如：HTTP，F(xiàn)TP，TELNET .關(guān)鍵字：SSL 加速 F5 BIGIP 1SSL加速原理1.1SSL簡(jiǎn)要介紹SSL是被設(shè)計(jì)用來保證信息安全的一個(gè)協(xié)議，它依賴于可靠的TCP協(xié)議來傳輸數(shù)據(jù)。它的特點(diǎn)之一是獨(dú)立于上層的應(yīng)用層協(xié)議(如：HTTP，F(xiàn)TP，TELNET等)，這些應(yīng)用層協(xié)議可以透明使地用SSL協(xié)議。SSL協(xié)議可以協(xié)商一個(gè)對(duì)稱加密算法和會(huì)話密鑰，同時(shí)可以在通信之前認(rèn)證服務(wù)器的合法性。SSL協(xié)議提供了一種“管道式安全”，它具有三個(gè)特征：管道是保密的，保密性是通過使用加密技術(shù)來保證的，在通過一個(gè)簡(jiǎn)單的握手過程之后獲得一個(gè)共同的密鑰，作為對(duì)稱加密算法的密鑰。l管道是認(rèn)證過的，服務(wù)器端總是需要把自己的證書遞交給客戶端，以便客戶端對(duì)服務(wù)器進(jìn)行認(rèn)證。服務(wù)器可以選擇是否需要客戶端遞交證書。l管道是可靠的，消息的傳輸包含了消息完整性檢查。lSSL協(xié)議實(shí)際上由兩個(gè)協(xié)議構(gòu)成，位于下面的一層為SSL記錄協(xié)議（SSL Record Protocol），其上為SSL控制協(xié)議(SSL Control Protocols)，SSL記錄協(xié)議用于封裝上層發(fā)送和接收的所有數(shù)據(jù)，當(dāng)然包括 SSL控制協(xié)議的數(shù)據(jù)， SSL控制協(xié)議包含：SSL握手協(xié)議(SSL Handshake Protocol)lSSL密鑰交換協(xié)議(SSL Change Ciphersl Specification)SSL報(bào)警協(xié)議(SSL Alert Protocol)l SSL的握手過程是建立SSL的主要加密和安全參數(shù)的過程，它是SSL的控制協(xié)議執(zhí)行的控制功能。握手過程體現(xiàn)在瀏覽器使用HTTPS訪問WEB服務(wù)器時(shí)，包括以下步驟：1瀏覽器向安全WEB服務(wù)器發(fā)出一個(gè)HTTPS的請(qǐng)求，比如：。2 該WEB服務(wù)器將它的證書遞交給瀏覽器的SSL模塊。3 瀏覽器檢查服務(wù)器遞交的證書的有效性，比如有效日期和證書的簽名等。如果該證書不是被一個(gè)瀏覽器已經(jīng)信任的發(fā)證結(jié)構(gòu)（CA）簽發(fā)的證書，瀏覽器將彈出一個(gè)對(duì)話框來提示用戶是否信任該WEB站點(diǎn)證書。如果用戶選擇不信任該證書，瀏覽器會(huì)選擇自動(dòng)中止該連接。4 瀏覽器將把從WEB站點(diǎn)證書里取得的站點(diǎn)名稱和瀏覽器的URL 里的域名相對(duì)照，如果相符，瀏覽器將認(rèn)為站點(diǎn)為真正的站點(diǎn)。5 瀏覽器將自己支持的一系列算法發(fā)送給服務(wù)器。6 如果服務(wù)器需要客戶端遞交證書，瀏覽器將把自己的證書發(fā)送給服務(wù)器，服務(wù)器檢查遞交的證書，并且檢查該證書是否為自己已經(jīng)信任的發(fā)證機(jī)構(gòu)（CA）發(fā)放的證書。如果不是，服務(wù)器將自動(dòng)中止該次連接。7 服務(wù)器端選擇自己和客戶端共同支持的加密算法，然后發(fā)送給客戶端。8 瀏覽器產(chǎn)生一個(gè)會(huì)話密鑰，然后把該密鑰通過服務(wù)器的公鑰加密后傳給服務(wù)器。9 服務(wù)器接收到該加過密的會(huì)話密鑰后用自己的私鑰解密，得到會(huì)話密鑰的明文。10 客戶端和服務(wù)器使用剛才協(xié)商的會(huì)話密鑰對(duì)應(yīng)用層的數(shù)據(jù)進(jìn)行加解密，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行安全保護(hù)。典型的SSL應(yīng)用部署如下：1.2BIGIP SSL 加速在SSL處理過程中，所有的傳輸內(nèi)容均采用加密算法處理。其中最重要的兩個(gè)部分為SSL握手時(shí)交換秘鑰的非對(duì)稱加密和數(shù)據(jù)傳輸時(shí)的對(duì)稱加密。在現(xiàn)有的系統(tǒng)中，通常非對(duì)成加密采用1024位的密鑰進(jìn)行加解密，因此對(duì)服務(wù)器的CPU占用率非常高。在一臺(tái)最新型號(hào)的雙Xeon服務(wù)器上，大約每秒鐘400次非對(duì)稱加解密就能導(dǎo)致CPU占用率100%。同時(shí)對(duì)稱加密通常采用128位，最高256位加密的加解密也會(huì)導(dǎo)致服務(wù)器CPU占用率居高不下，同樣的服務(wù)器SSL流量大約能達(dá)到150Mbps。因此當(dāng)我們?cè)诓渴餝SL應(yīng)用時(shí)，必須考慮到以下參數(shù)：TPS：Transectionl Per Second，也就是每秒鐘完成的非對(duì)稱加解密次數(shù)Bulk：SSL對(duì)稱加解密的吞吐能力，通常以Mbps來進(jìn)行衡量。l當(dāng)SSL的客戶端壓力超過400TPS時(shí)，單臺(tái)服務(wù)器就很難處理請(qǐng)求了。因此，必須采用SSL加速設(shè)備來進(jìn)行處理。BIGIP-LTM/ACC系列可從最低2000TPS到64000TPS實(shí)現(xiàn)全硬件處理SSL非對(duì)稱加密和對(duì)稱加密流量。其實(shí)現(xiàn)的結(jié)構(gòu)如下：所有的SSL流量均在BIGIP上終結(jié)，BIGIP與服務(wù)器之間可采用HTTP或者弱加密的SSL進(jìn)行通訊。這樣，就極大的減小了服務(wù)器端對(duì)HTTPS處理的壓力，可將服務(wù)器的處理能力釋放出來，更加專注的處理業(yè)務(wù)邏輯。在BIGIP可處理單向SSL連接，雙向SSL連接。并且可同時(shí)處理多種類型和多個(gè)應(yīng)用的SSL加解密處理。采用BIGIP 實(shí)現(xiàn)SSL加速的性能如下表：在BIGIP新的硬件平臺(tái)BIGIP 8400和8800上，SSL加速的處理能力還會(huì)有成倍的提高。由于采用了獨(dú)立的安全NP硬件加速SSL流量，基本上對(duì)于SSL的流量可實(shí)現(xiàn)“零”CPU占用率。因此，當(dāng)采用內(nèi)置模式時(shí)，SSL加解密動(dòng)作基本不會(huì)影響到負(fù)載均衡的處理能力。1.3BIGIP SSL加速產(chǎn)品系列產(chǎn)品型號(hào)配置功能BIGIP 3400-ACC8個(gè)10/100/1000M電口，2個(gè)可選光纖接口自帶5000TPS SSL加速License，帶寬控制，500Mbps HTTP壓縮，內(nèi)存Cache BIGIP 1500-LTM4個(gè)10/100/1000M電口，2個(gè)可選光纖接口自帶100TPS SSL加速License，服務(wù)器負(fù)載均衡，最大支持2000TPS，500Mbps SSL BulkBIGIP 3400-LTM8個(gè)10/100/1000M電口，2個(gè)可選光纖接口自帶100TPS SSL加速License，服務(wù)器負(fù)載均衡，最大支持5000TPS，1Gbps SSL BulkBIGIP 6400-LTM16個(gè)10/100/1000M電口，4個(gè)可選光纖接口自帶100TPS SSL加速License，服務(wù)器負(fù)載均衡，最大支持15000TPS，2Gbps SSL BulkBIGIP 6800-LTM16個(gè)10/100/1000M電口，4個(gè)可選光纖接口自帶100TPS SSL加速License，服務(wù)器負(fù)載均衡，最大支持20100TPS，2Gbps SSL BulkBIGIP 8400-LTM12個(gè)10/100/1000M光/電口，2個(gè)可選10G光纖接口自帶100TPS SSL加速License，服務(wù)器負(fù)載均衡，最大支持22000TPS，2.5Gbps SSL Bulk除BIGIP 3400-ACC之外，其他的產(chǎn)品系列均可根據(jù)客戶需求增加SSL處理能力和選配其他功能模塊，包括HTTP壓縮、內(nèi)存Cache、帶寬控制、IP V6等。2主要實(shí)現(xiàn)功能2.1核心功能客戶機(jī)到BIGIP端到端加密通道lBIGIP采用標(biāo)準(zhǔn)的SSL加密通道協(xié)議。可以和標(biāo)準(zhǔn)的瀏覽器配合，支持SSL/TLS各版本的協(xié)議標(biāo)準(zhǔn)。在客戶端和BIGIP之間建立安全的SSL/TLS加密通道。保證在通道內(nèi)傳輸?shù)腍TTP請(qǐng)求的安全性，實(shí)現(xiàn)對(duì)應(yīng)用安全的完整保護(hù)。證書認(rèn)證功能l在BIGIP中可導(dǎo)入X509證書，可實(shí)現(xiàn)單向認(rèn)證、雙向認(rèn)證。BIGIP可以提供給客戶端自身的證書以供客戶端認(rèn)證。也可以要求客戶端提交證書進(jìn)行驗(yàn)證。確保SSL交易的完整性和不可抵賴性。服務(wù)器SSL傳輸l通常情況下，客戶端與BIGIP采用SSL連接，BIGIP與后臺(tái)服務(wù)器采用HTTP連接。在某些安全要求較高的場(chǎng)合下，需要BIGIP與后臺(tái)服務(wù)器也采用HTTPS加密傳輸，以保證數(shù)據(jù)傳輸?shù)娜窂桨踩用軅鬏?。BIGIP可支持與后臺(tái)服務(wù)器多種加密算法的連接方式。資源訪問控制l在BIGIP中可對(duì)客戶端可訪問資源和不可訪問資源進(jìn)行靈活的定義訪問權(quán)限控制?？赏ㄟ^客戶端是否有證書、Cookie、訪問的URL等進(jìn)行判斷，然后確定用戶是否有對(duì)該資源的訪問權(quán)限。將不安全和越權(quán)訪問直接進(jìn)行控制。證書信息透?jìng)鱨由于信息安全的完整性要求，當(dāng)服務(wù)器端在收到用戶請(qǐng)求時(shí)，需要對(duì)客戶端進(jìn)行再次確認(rèn)。以確認(rèn)用戶是通過安全網(wǎng)關(guān)訪問。BIGIP可以將客戶端證書進(jìn)行解析，將服務(wù)器所需要的所有信息以HTTP URI參數(shù)或者HTTP Header等方式傳遞給后臺(tái)服務(wù)器，以提供服務(wù)器二次認(rèn)證的信息。多應(yīng)用系統(tǒng)支持l在BIGIP可以支持不限數(shù)量的應(yīng)用系統(tǒng)，并且可以同時(shí)支持單向、雙向認(rèn)證方式。便于SSL加解密的集中控制。同時(shí)，BIGIP還可以同時(shí)支持非HTTPS應(yīng)用如HTTP、SMTP、POP3、DNS等應(yīng)用的集群方式。提供用戶最大的靈活性和安全性。完善的日志輸出l在BIGIP上可提供多種類型的日志輸出：用戶訪問日志：可以記錄用戶的所有訪問HTTP請(qǐng)求，并將其存放在BIGIP或者遠(yuǎn)端Syslog服務(wù)器上。錯(cuò)誤信息日志：用戶未提交證書、提交證書過期或已吊銷等，均將被BIGIP記錄在日志中，以提供審計(jì)查詢。管理員操作日志：將管理員的所有操作均記錄下來，以提供審計(jì)查詢或系統(tǒng)配置回溯。系統(tǒng)日志：BIGIP自身的系統(tǒng)運(yùn)行狀態(tài)，后端服務(wù)器的Down/UP狀態(tài)等。安全加密級(jí)別控制lBIGIP可支持以下加密協(xié)議：SSLv2TLSv1SGC/設(shè)置RFC 2246中描述的所有標(biāo)準(zhǔn)協(xié)議擴(kuò)展和密碼AES（在RFC 3268中進(jìn)行了描述） 從現(xiàn)有的128位加密方式一直到AES 256位的加密算法，BIGIP均可提供全硬件加速支持用戶自定義功能lBIGIP內(nèi)置有iRules可編程控制語言，具有50多個(gè)事件、200多個(gè)函數(shù)，允許用戶對(duì)流量進(jìn)行任意處理。典型的諸如客戶端三次握手完成、SSL握手、客戶端證書提交、SSL握手完成等BIGIP均有對(duì)應(yīng)的事件處理。并且豐富的函數(shù)和過程也可以對(duì)數(shù)據(jù)進(jìn)行靈活處理，比如查找、比對(duì)、修改等，然后可以根據(jù)查找比對(duì)的結(jié)果作出相應(yīng)的處理。2.2附加功能服務(wù)器負(fù)載均衡和健康檢查l考慮到后臺(tái)服務(wù)器所承受的壓力和冗余性，BIGIP可以在完成SSL加解密的同時(shí)，對(duì)后臺(tái)服務(wù)器進(jìn)行負(fù)載均衡，同時(shí)檢查服務(wù)器的真實(shí)可用性。以確保交易的不間斷性。服務(wù)器慢啟動(dòng)和停機(jī)維護(hù)l當(dāng)后臺(tái)有多臺(tái)應(yīng)用服務(wù)器，新節(jié)點(diǎn)加入或者恢復(fù)時(shí)，BIGIP可以通過慢啟動(dòng)方式來保證服務(wù)器的壓力逐步增加，以避免新服務(wù)器壓力過載。當(dāng)服務(wù)器需要停機(jī)維護(hù)時(shí)，BIGIP可以允許當(dāng)前的用戶連接不中斷，而新的請(qǐng)求分配到其他服務(wù)器上。保證當(dāng)前用戶訪問的不中斷，這樣，大大減小了維護(hù)的壓力。應(yīng)用兼容性lBIGIP可與多種應(yīng)用系統(tǒng)進(jìn)行配合，具有極高的兼容性。現(xiàn)有的系統(tǒng)包括IIS、Apache、TomCat、WebLogic、WebSphere等系統(tǒng)BIGIP都可以實(shí)現(xiàn)無縫的配合。多結(jié)構(gòu)支持lBIGIP可支持負(fù)載均衡內(nèi)置SSL加速方式以實(shí)現(xiàn)應(yīng)用的統(tǒng)一管理，簡(jiǎn)單維護(hù)。也可以支持SSL加速外掛方式以實(shí)現(xiàn)系統(tǒng)良好的擴(kuò)充性和高性能。靈活的CRL驗(yàn)證機(jī)制lBIGIP可支持3種方式的CRL（用戶吊銷列表）驗(yàn)證文件方式：將CRL以文件方式加載到BIGIP內(nèi)存中。OCSP：通過OCSP認(rèn)證網(wǎng)關(guān)進(jìn)行客戶端證書認(rèn)證。CRLDP：通過CRL Distributing Point去讀取LDAP或者HTTP服務(wù)器上的CRL列表。透明SSL模式支持l在透明SSL加速模式中，客戶端通過域名HTTPS直接訪問后臺(tái)的WEB服務(wù)器。在流量通過BIGIP時(shí)，BIGIP截獲HTTPS流量，并對(duì)其進(jìn)行解密，然后將請(qǐng)求發(fā)送到后端服務(wù)器的HTTP端口。在服務(wù)器處理完成后，將頁(yè)面內(nèi)容返回給BIGIP，由BIGIP進(jìn)行加密后返回給Client端。這樣對(duì)于客戶端來說根本感覺不到BIGIP的存在?？蛻舳薎P透?jìng)鱨BIGIP 可以不改變客戶端源地址直接將請(qǐng)求發(fā)送到服務(wù)器上，以提供服務(wù)器日志和審計(jì)需要，也可以將客戶端源地址插入到HTTP Header中提供給后臺(tái)的服務(wù)器進(jìn)行處理。多CA支持l在BIGIP上的同一個(gè)虛擬服務(wù)器中，可以支持多個(gè)CA所頒發(fā)的客戶端證書認(rèn)證、CRL訪問控制和客戶端證書選擇。多CA支持通常用于用戶在不改變?cè)邢到y(tǒng)的情況下，加入新的CA認(rèn)證體系，而不讓原有的用戶感覺到任何改變。實(shí)現(xiàn)系統(tǒng)的透明遷移。應(yīng)用優(yōu)化l在BIGIP中擁有許多專利技術(shù)的應(yīng)用優(yōu)化功能，包括TCP Express、HTTP壓縮、HTTP緩存、訪問鏈接聚合等。一方面提高了用戶的響應(yīng)速度，另一方面減小了服務(wù)器端的壓力。同時(shí)，HTTP壓縮等功能還減小了帶寬的占用，直接為企業(yè)減小了帶寬租借費(fèi)用。帶寬控制lBIGIP靈活的七層帶寬控制模塊，可靈活的根據(jù)用戶的特征、訪問的應(yīng)用等進(jìn)行應(yīng)用的優(yōu)先級(jí)處理，保證關(guān)鍵業(yè)務(wù)的帶寬使用。2.3產(chǎn)品特性專用硬件平臺(tái)提供高性能SSL加速lBIGIP內(nèi)置高速安全NP硬件處理芯片，可完全支持SSL握手時(shí)的非對(duì)稱加解密和SSL數(shù)據(jù)傳輸時(shí)的對(duì)稱加解密。實(shí)現(xiàn)CPU的”零”占用率。透明和兼容性lBIGIP默認(rèn)工作在透明模式，在服務(wù)器端接收的HTTP請(qǐng)求看上去全部來源于真實(shí)的客戶端。BIGIP極高的兼容性，保證了和后臺(tái)的多種業(yè)務(wù)系統(tǒng)對(duì)接時(shí)的易于部署。易用性lBIGIP具備iControl二次開發(fā)接口，用戶可靈活實(shí)現(xiàn)BIGIP上數(shù)據(jù)的采集和設(shè)備控制。簡(jiǎn)潔的配置界面和對(duì)象式的Profile定義也使管理變得輕松和簡(jiǎn)單。高安全性l強(qiáng)大的硬件平臺(tái)和高效的軟件設(shè)計(jì)，保證在BIGIP后臺(tái)的服務(wù)器避免DDOS攻擊。ASM模塊的加入進(jìn)一步保證了用戶的系統(tǒng)免受各種針對(duì)HTTP應(yīng)用的攻擊手段。高可擴(kuò)展性l由于負(fù)載均衡和SSL加速功能的合二為一，BIGIP可以進(jìn)行多種組合方式，確保后臺(tái)服務(wù)的高可擴(kuò)展性和自身的高可擴(kuò)展性。高可靠性l完善的負(fù)載均衡算法、服務(wù)器健康檢查以及自身的高可用性設(shè)計(jì)，都充分保證了系統(tǒng)的高可靠性。3BIGIP SSL加速典型部署結(jié)構(gòu)3.1內(nèi)置SSL加速的結(jié)構(gòu)：如圖：HTTPS流量到達(dá)BIGIP上的VS，由VS處理之后轉(zhuǎn)換成HTTP流量直接發(fā)往服務(wù)器，服務(wù)器處理完成后返回給BIGIP，然后由BIGIP加密后返回給用戶。3.2外掛SSL加速器的結(jié)構(gòu)：通常情況下，考慮到系統(tǒng)的可擴(kuò)展性，可采用獨(dú)立的設(shè)備分別實(shí)現(xiàn)服務(wù)器的負(fù)載均衡和SSL加速，同時(shí)負(fù)責(zé)服務(wù)器負(fù)載均衡的BIGIP LTM也實(shí)現(xiàn)了SSL加速用BIGIP LTM的負(fù)載均衡。建議的系統(tǒng)結(jié)構(gòu)圖如下：在外掛方式下，通常加速器直接連接在BIGIP上，這樣可以節(jié)省核心交換機(jī)的端口，減少數(shù)據(jù)包的往返傳輸。根據(jù)實(shí)際情況的不同，也可將加速器直接連接在主干交換機(jī)上。但無論如何連接，實(shí)際的數(shù)據(jù)流程如下：上下的兩臺(tái)BIGIP LTM實(shí)際為同一臺(tái)設(shè)備。采用外掛方式下，HTTPS流量首先到達(dá)實(shí)現(xiàn)負(fù)載均衡功能的BIGIP LTM，然后由BIGIP LTM 分配到多臺(tái)用于SSL加速的ACC3400或BIGIP LTM上，在SSL加速器處理完成后，將HTTP流量返回到負(fù)責(zé)負(fù)載均衡的BIGIP LTM，并由BIGIP LTM發(fā)往后端的服務(wù)器，再后端服務(wù)器處理處理完成后原路返回。4SSL的認(rèn)證模式4.1單向認(rèn)證模式在采用單向認(rèn)證時(shí)，主要是客戶端驗(yàn)證服務(wù)器端是否合法。在建立SSL握手的時(shí)候，服務(wù)器將其證書傳送給客戶端進(jìn)行驗(yàn)證?？蛻舳酥饕?yàn)證有三個(gè)方面：1、服務(wù)器證書是否在有效時(shí)間內(nèi)即服務(wù)器證書的有效時(shí)間與當(dāng)前時(shí)間相比較，如果過期，則認(rèn)為該證書已經(jīng)失效。2、服務(wù)器證書中的域名是否與用戶訪問的域名一致即客戶端訪問的域名，如在瀏覽器中填入:，則訪問的域名為。服務(wù)器的證書中的域名必須與此域名一致。3、服務(wù)器證書是否由瀏覽器認(rèn)可的根證發(fā)放在主流的瀏覽器軟件包括IE和Mozila的版本中，均已經(jīng)內(nèi)置了全球主流的CA系統(tǒng)的根證書。用戶也可以自行安裝可信任的根證書，比如CFCA、信安以及各地CA中心的自建系統(tǒng)的根證書。瀏覽器將使用內(nèi)置的根證書對(duì)服務(wù)器返回的服務(wù)器證書進(jìn)行驗(yàn)證。如果驗(yàn)證全部通過，則SSL握手成功，瀏覽器將直接發(fā)送HTTP請(qǐng)求到服務(wù)器請(qǐng)求內(nèi)容。如果任何一項(xiàng)沒有通過，瀏覽器則會(huì)彈出錯(cuò)誤提示，由用戶選擇是否繼續(xù)進(jìn)行。該提示如下：其中，黃色帶驚嘆號(hào)的標(biāo)志為驗(yàn)證失敗。綠色標(biāo)志為驗(yàn)證成功。單向認(rèn)證的流程如下：4.2雙向認(rèn)證模式 在雙向認(rèn)證模式下，除客戶端驗(yàn)證服務(wù)器端是否合法外，服務(wù)器端也需要驗(yàn)證客戶端是否為合法用戶。服務(wù)器端需要安裝頒發(fā)客戶端證書的CA的根證書和中間證書，要求客戶端提交客戶端證書，并通過已經(jīng)安裝的根證書和中間證書對(duì)客戶端證書進(jìn)行逐級(jí)驗(yàn)證。以確定客戶端是否為合法用戶。當(dāng)客戶端連接一個(gè)雙向認(rèn)證模式的VS時(shí)，除了客戶端驗(yàn)證服務(wù)器端是否安全外，還需要進(jìn)行以下步驟：1、客戶端彈出證書選擇框，該證書選擇框內(nèi)列出服務(wù)器端，也就是BIGIP上所支持的CA所發(fā)布的證書。2、客戶端選擇證書然后提交。3、BIGIP驗(yàn)證客戶端提交的證書是否由所信任的CA所發(fā)布。4、如果配置了證書吊銷列表，BIGIP將根據(jù)客戶端證書中提供的CRL發(fā)布點(diǎn)，驗(yàn)證客戶端提交的證書是否已經(jīng)被作廢。如果作廢或者證書已經(jīng)過期，則BIGIP將拒絕該用戶登錄。雙向認(rèn)證的流程如下：現(xiàn)在國(guó)內(nèi)的主流CA系統(tǒng)為CFCA和信安的證書系統(tǒng)。下面就針對(duì)這兩種證書體系進(jìn)行分別介紹。4.2.1CFCA系統(tǒng)CFCA為銀行業(yè)的官方證書機(jī)構(gòu)，在國(guó)內(nèi)有較多的用戶。CFCA的證書系統(tǒng)中，分為Entrust CA和新的國(guó)產(chǎn)CA兩個(gè)系統(tǒng)。其中Entrust CA為3級(jí)結(jié)構(gòu)，其結(jié)構(gòu)如下：國(guó)產(chǎn)CA為兩級(jí)結(jié)構(gòu)，結(jié)構(gòu)如下：在對(duì)CFCA Client證書進(jìn)行驗(yàn)證的時(shí)候，BIGIP需要進(jìn)行多級(jí)認(rèn)證。BIGIP現(xiàn)支持的最大多級(jí)認(rèn)證深度為9級(jí)。以Entrust CA三級(jí)證書為例，其驗(yàn)證流程如下：驗(yàn)證Clientl Certificate是否由PCA認(rèn)可驗(yàn)證PCA是否由OCA認(rèn)可l驗(yàn)證RCA是否是自簽發(fā)證書并存放在BIGIP的可信任證書列表（Trustedl Authorities）中。如果三級(jí)認(rèn)證均通過，則驗(yàn)證該客戶端為合法客戶。4.2.2信安系統(tǒng)信安的系統(tǒng)為單級(jí)證書體系，在各大銀行通常是自建CA。所以通常情況下根證書均為銀行特有，在配置時(shí)需要向客戶配合提供根證書。在配置信安系統(tǒng)的時(shí)候，只需要將提供的根證書配置為Trusted Authorities即可。注意根證書必須為PEM格式，經(jīng)常可能能拿到手的證書為DER格式。5基本功能及配置5.1證書的導(dǎo)入5.1.1服務(wù)器證書的生成和導(dǎo)入如果由BIGIP來生成服務(wù)器證書l需要通過以下步驟。選擇Local Traffic-SSL Certificates-Create注意Common Name一定要設(shè)置為準(zhǔn)備用來使用的域名。點(diǎn)擊Finish繼續(xù)：點(diǎn)擊Download Xin_an_server.csr到本地硬盤，然后把csr文件提交給CA，就可以得到相應(yīng)的證書了。完成后，在SSL Ceritificates 的頁(yè)面中能看到一個(gè)只有key的條目：在從CA得到證書后，導(dǎo)入到相應(yīng)的名字即可。如果已經(jīng)具備服務(wù)器證書和私鑰l需要通過以下步驟進(jìn)行導(dǎo)入選擇Local Traffic-SSL Certificates -Import選擇導(dǎo)入的項(xiàng)目通常先導(dǎo)入證書：在導(dǎo)入證書成功后，再點(diǎn)擊導(dǎo)入的證書然后導(dǎo)入相應(yīng)的key文件。5.1.2根證及中間證書的導(dǎo)入對(duì)于單級(jí)證書模式，將PEM格式的根證直接導(dǎo)入即可：對(duì)于多級(jí)證書模式，需要將在整個(gè)鏈上的多個(gè)證書進(jìn)行Boundle。Boundle的方式為將多個(gè)證書粘貼拷貝到一起，然后全部導(dǎo)入：-BEGIN CERTIFICATE-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-END CERTIFICATE-BEGIN CERTIFICATE-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-END CERTIFICATE-導(dǎo)入后，BIGIP會(huì)自動(dòng)識(shí)別其為一個(gè)Boundle Certificate:同時(shí)，自動(dòng)識(shí)別出Boundle中的各級(jí)證書。在處理多級(jí)證書和多CA時(shí)，通常會(huì)用到Boundle證書方式。5.2Client SSL Profile的配置Client SSL Profile的配置，是應(yīng)用SSL加速功能中最重要的一個(gè)環(huán)節(jié)。5.2.1單向認(rèn)證方式單向認(rèn)證模式下，需要配置的內(nèi)容較少：Certificate:服務(wù)器證書lKey:服務(wù)器證書對(duì)應(yīng)的KeylChain:如果服務(wù)器證書為多級(jí)證書體系，則將中間證書添加在這里。如果是單級(jí)證書體系，則不需要任何配置。l5.2.2雙向認(rèn)證方式在雙向認(rèn)證模式下，則需要配置BIGIP驗(yàn)證Client證書的部分：在雙向認(rèn)證時(shí)，需要配置以下內(nèi)容：Trusted Certificate Authorities：客戶端證書的根證書Client Certificate：這里有兩種模式可以選擇 Require:客戶端必須提交證書，通常都采用這種方式 Request:客戶端可提交證書，也可不提交證書Advertised Certificate Authorities：在客戶端連接時(shí)，服務(wù)器發(fā)送到客戶端的信息，該信息使在客戶端彈出的證書選擇列表中只包含選中的根證書所頒發(fā)的客戶端證書。配置時(shí)注意如果有中間證書，則一定要選擇根證書和中間證書的Boundle。5.3CRLDP配置在國(guó)內(nèi)現(xiàn)有系統(tǒng)中，多采用CRLDP方式進(jìn)行客戶端吊銷證書驗(yàn)證。BIGIP可配置多個(gè)CRLDP服務(wù)器，并根據(jù)客戶端提交的證書信息CRLDP說明去查找不同的CRLDP服務(wù)器。CRLDP配置步驟為：創(chuàng)建一個(gè)CRLDP Server：需要填入CRLDP Server IP地址、端口，CRLDPl Server的BaseDN。如果是信安系統(tǒng)，還需要選擇ReverseDN為Enable。創(chuàng)建一個(gè)CRLDPl Confiruation：需要填入CRLDP的更新間隔時(shí)間，通常為30分鐘，即1800秒，并選擇一個(gè)或多個(gè)CRLDP Server。創(chuàng)建一個(gè)CRLDP Profile：選擇一個(gè)CRLDP Configuration并配置一個(gè)authl rule，通常情況下均采用系統(tǒng)默認(rèn)值。將CRLDP profile與VS關(guān)聯(lián)：在VS配置的authenticationl profile中選擇剛才創(chuàng)建的CRLDP Profile。在配置CRLDP完成后，BIGIP接收到客戶端證書后，將根據(jù)證書中的CRLDP信息查找相應(yīng)的CRLDP服務(wù)器，并比較客戶的Subject是否存在于吊銷列表中。如果在吊銷列表中，則直接中斷客戶端連接。如果有特殊需求，也可以通過配置將未通過驗(yàn)證的客戶請(qǐng)求重定向到指定的錯(cuò)誤頁(yè)面上。5.4ACL訪問控制在BIGIP中，可通過靈活的Rules來實(shí)現(xiàn)用戶的訪問控制，通常訪問控制可分為兩種模式：允許指定的URI訪問允許，關(guān)閉其他的所有URI訪問l關(guān)閉指定的URI訪問允許，開放其他所有的URI訪問l典型的Rules如下：if $the_uri starts_with /common or $the_uri starts_with /AdditionalCode returnif $the_uri starts_with /xxx.html or $the_uri starts_with /eb HTTP:redirect 8/err.html5.5證書內(nèi)容添加到HTTP Header在實(shí)際應(yīng)用中，通常需要將證書中的一些字段如subject，Expire Date，Issue Date等信息插入到HTTP header中，傳遞給后臺(tái)的服務(wù)器，以便于服務(wù)器對(duì)用戶進(jìn)行識(shí)別。在BIGIP中，可以將證書中的任何字段添加到HTTP Header并傳遞到后臺(tái)服務(wù)器。添加方法需要通過rules進(jìn)行。Rules實(shí)例如下：when CLIENTSSL_CLIENTCERT session add ssl SSL:sessionid SSL:cert 0 when HTTP_REQUEST set id SSL:sessionidset cert session lookup ssl $idHTTP:header insert subject X509:subject $certHTTP:header insert not_valid_before X509:not_valid_before $certHTTP:header insert not_valid_after X509:not_valid_after $cert該Rule運(yùn)行后，在服務(wù)器端收到的HTTP請(qǐng)求如下：GET / HTTP/1.1Accept: */*Accept-Language: zh-cnAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)Host: 7Connection: Keep-Alivesubject: /CN=04350140n/OU=NET_CONN/O=F5/C=CNnot_valid_before: Feb 23 05:43:47 2005 GMTnot_valid_after: Feb 23 05:43:47 2007 GMT參考BIGIP reference Guide，我們可以添加更多的內(nèi)容到HTTP Header中。5.6指定出錯(cuò)頁(yè)面處理對(duì)于出錯(cuò)頁(yè)面的處理有兩種方式直接由HTTP:response處理。lRule如下：when HTTP_REQUEST HTTP:respond 200 content Apology Page抱歉，您訪問的頁(yè)面未經(jīng)授權(quán)。.通過HTTP redirect實(shí)現(xiàn)：lRule如下：when HTTP_REQUEST HTTP:redirect 8/err.html5.7同VS多CA支持在一些系統(tǒng)中，由于歷史原因，可能會(huì)需求同一個(gè)VS支持兩套或多套CA系統(tǒng)。服務(wù)器證書處理l在任何情況下，針對(duì)一個(gè)VS，服務(wù)器證書只能有一個(gè)。服務(wù)器中間證書處理l由于服務(wù)器證書只有一個(gè)，所以服務(wù)器中間證書也只能有一個(gè)，將相應(yīng)的服務(wù)器中間證書配置到Chain即可?？蛻舳俗C書根證處理l對(duì)客戶端證書的根證書，則需要將多個(gè)CA的根證書包括中間證書，全部Boundle到一個(gè)CA Boundle中。并添加在Trusted Authorities中?？蛻舳藦棾鲎C書選擇框處理l客戶端彈出證書選擇框是由Advertaise Certificate配置選項(xiàng)所決定，在此應(yīng)當(dāng)和Trusted Autorities選擇同樣的CA Boundle。CRLDP的處理l配置多個(gè)CRLDP Server，添加到同一個(gè)CRLDP Configuration中，BIGIP可以根據(jù)客戶端證書提供的CRL Distribution Point自動(dòng)選擇相應(yīng)的CRLDP Server來進(jìn)行驗(yàn)證。5.8透明SSL處理在透明SSL模式下，需要通配符證書支持，比如*.，則所有和后綴的域名，均用此服務(wù)器證書可以驗(yàn)證通過。在透明SSL模式下，BIGIP需進(jìn)行以下配置：1、導(dǎo)入通配符證書以下是一個(gè)標(biāo)準(zhǔn)