1.1 SSL Virtual Server Voordat we SSL kunnen gebruiken binnen een Virtual Server zijn de volgende configuratie stappen noodzakelijk: 1. Genereer een SSL-Key-pair 2. Genereer een CSR 3. Certificaatprocedure bij Surfnet uitvoeren op basis van de CSR 4. Importeer het Server Cerificaat 5. Importeer de Certificaat Chain van Comodo 6. Maak een chain-group op basis van de comodo-chain 7. Maak een ssl-proxyserver
8. Configureer de VIP op basis van HTTPS Groot deel van de configuratie voeren we uit binnen Setup Sequence:
1.1.1 Genereer een SSL-Key-pair
We maken de key exportable omdat we deze ook nog moeten importeren op de standby-ACE.
1.1.2 Genereer een CSR Eerst moeten we de CSR-parameters invoeren. Daarna kunnen we de CRS genereren:
1.1.3 Certificaatprocedure bij Surfnet uitvoeren op basis van de CSR Copy/Paste de CSR en vul deze in op de “Surfnet Apply for Certificate” pagina (zie ELOG)
Na goedkeuring vinden we op de surfnet site het serveercertificaat en de comodo-chain.
1.1.4 Importeer het Server Certificaat We importeren via de TERMINAL optie de certificaatcode van de surfnet-site.
1.1.5 Importeer de Certificaat Chain van Comodo (éénmalig!!) Op dezelfde wijze importen we de comodo-chain. Verifieer de opgeslagen keys en certificaten met de volgdende commandline: show crypto files NAM-ace1/Public# show crypto files Filename
File File Expor Key/ Size Type table Cert ----------------------------------------------------------------------2048-RSA-KEY 1675 PEM Yes KEY comodo-chain.pem 4705 PEM Yes CERT test.pem 1647 PEM Yes CERT
1.1.6 Maak een chain-group op basis van de comodo-chain (éénmalig) Het comodo-chain certificaat moeten we nu in een chain-group gaan plaatsen.
1.1.7 Maak een ssl-proxyserver Voor iedere SSL-site moeten we een ssl-proxyserver inrichten waarbinnen we opgeven om welk server-certificaat het gaat, de manier waarop we willen termineren en de te gebruiken chain-group.
1.1.8 Configureer de VIP op basis van HTTPS VIP configuratie doen we nu op basis van HTTPS en bijbehorende ssl-proxyserver.
1.1.9 Configureer de Map policy & actions Selecteer VIPS
Selecteer de betreffende Rule
Voeg een ICMP-reply action toe
1.2 SSL redirect Voor het benaderen van SSL sites moeten we een url invoeren die begint met https. Het is netter als de ACE automatisch zou redirecten van http naar https, zowel aan de client kant als aan de realserver kant.
1.2.1 SSL rewrite <> realserver Eerst definieren we de SSL action:
Daarna koppelen we deze aan de Layer7 policy map:
1.2.2 SSL redirect <> client Om dit te bewerkstelligen maken we een tweede VIP met hetzelfde ipadres maar nu op basis van http. De Realserver en Serverfarm configureren we dan met het type: redirect. Eerst maken we de Realserver redirect. De redirection url bestaat dan uit een https deel plus hostname(%h) en path(%p). Deze kunnen we hergebruiken voor meerdere SSL-sites.
Daarna maken we ook een Serverfarm die weer verwijst naar de Realserver redirect.
Ten slotte maken we een http-VIP op basis van hetzelfde ipadres als de HTTPS-VIP. De Serverfarm laten we dan verwijzen naar de redirectfarm.
1.3 SSL Virtual Server 1.3.1 Genereer een SSL-Key-pair Via GUI
1.3.2 Genereer een CSR crypto csr-params test country NL state Utrecht organization-name Rijksinstituut voor Volksgezondheid en Milieu organization-unit ICT-Beheer common-name test.rivm.nl
1.3.3 Importeer het Server Certificaat Via GUI
1.3.4 Importeer de Certificaat Chain van Comodo (éénmalig!!) Via GUI
1.3.5 Maak een chain-group op basis van de comodo-chain (éénmalig) crypto chaingroup comodo-chain-group cert comodo-chain.pem
1.3.6 Maak een ssl-proxyserver ssl-proxy service test-ssl-proxy key 2048-ace-key cert test.pem chaingroup comodo-chain-group
1.3.7 Configureer de VIP op basis van HTTPS serverfarm host sss-proxy-farm probe HTTP-PROBE rserver ldapproxy1 80 inservice
1.3.8 Configureer de Map policy & actions class-map match-all test-rivm 2 match virtual-address 131.224.250.81 tcp eq https policy-map multi-match VIPS class test-rivm loadbalance vip inservice loadbalance policy test-rivm-l7slb loadbalance vip icmp-reply active nat dynamic 1 vlan 836 ssl-proxy server test-ssl-proxy
1.4 SSL redirect 1.4.1 SSL rewrite <> realserver action-list type modify http SSL-Rewrite-test
ssl url rewrite location "test\.rivm\.nl"
1.4.2 SSL redirect <> client serverfarm redirect redirect-test-farm rserver redirect-test inservice rserver redirect redirect-test webhost-redirection https://%h/%p 301 inservice policy-map type loadbalance first-match test-rivm-l7slb class class-default sticky-serverfarm 2 action SSL-Rewrite-test policy-map type loadbalance first-match test-rivm-redirect-l7slb class class-default serverfarm redirect-test-farm class test-rivm-redirect loadbalance vip inservice loadbalance policy test-rivm-redirect-l7slb
