SSL加速和证书卸载的配置方式

简介:

随着移动互联网,网银支付等等的普及,越来越多的应用开始重视私密性和安全性,最常见的就是把原有基于明文传输的HTTP调整为加密的HTTPS方式;实现这种方式的最常用的手段也是购置第三方发布的域名证书,部署到后台每台服务器上。

但是SSL的加密/解密是最消耗服务器资源的应用,HTTP到HTTPS部署后很可能会发现服务器的性能和处理能力大幅下降;而专用的应用交付设备通常内置硬件的SSL加速卡,可以高效的处理SSL加密流量。一个简单的对比动画图如下:

HTTPS加速/SSL卸载的目的和用途

将在服务器上的证书加解密的功能迁移到负载均衡设备上

主要优势有

  • 减低服务器负载,SSL处理非常消耗服务器的性能
  • 提升SSL处理能力;应用交付设备采用专用的SSL卸载硬件芯片实现
  • 降低管理员操作复杂性;无需管理和配置多个服务器的证书;只需要在前端负载均衡设备上实现即可
  • 提升应用安全性;将加密的HTTPS解密为明文的HTTP后,可根据请求/响应内容等设置多种策略

证书的种类

客户需要向提供证书的第三方机构申请,例如GeoTrust, VeriSign, Thawte等授权证书机构

证书简单的区分有2种分类方式

  • 单一域名证书;例如 www.example.com
  • 通配符证书;例如 *.example.com     更贵
  • 普通型证书 例如

     支付宝: 普通证书

  • 增强型(EV SSL) 证书    更贵, 例如
  • 工商银行网银: 增强型证书;显示为绿色,同时显示网站名称

收到的证书是什么样子的

GeoTrust为例;证书通常通过邮件转发的;通常包括网站证书; 中级证书和交叉证书;

另外还有证书的密钥Key(请妥善管理密钥,这是非常机密的重要文件)

如何将证书导入到应用交付设备中

 每个应用交付设备的具体配置方式可能不同,此处以A10网络的AX设备为例

证书文件的准备

使用文本编辑器,例如UltraEdit

1:将密钥文件保存为key.PEM

2:网站SSL证书保存为cert.PEM

3:将交叉证书和中级证书保存于同一个文件中,例如cert-chain.PEM

  

    注意交叉证书先;中级证书后

证书文件的导入

在A10设备的配置模式中, 在服务>SSL管理中 分别导入上一部定义的3个文件:

导入证书cert.pem并根据需求命名,例如mail2012

导入证书链cert-chain.pem并根据需求命名,例如mail2012-chain

导入私钥key.pem并根据需求命名,例如mail2012-key

至此证书导入完毕。

证书文件的配置和应用

在证书准备完毕后,需要将其关连配置后再启用;

首先创建终端的SSL模板,在配置模式>服务>模板中

最后一步,即将配置的终端SSL模板应用于提供应用的VIP端口下,通常为443端口,注意端口类型选择为https

至此配置结束。

启用证书后的功能验证

配置结束后,在正式应用对外发布前,可以进行内部的测试验证;

例如域名为www.example.com在应用交付设备上对应的VIP 地址为1.1.1.1;那么可以在DNS发布前通过修改本机的hosts域名解析先进行测试验证后再对外发布;测试时浏览器不再提示非法的证书,基本就可以说明证书部署是成功的。

需要注意的是:在极个别的案例中,我们发现有用户在应用层面(例如web服务器的响应回报中)写定了http的方式(例如下图)

此时是有可能造成https访问存在问题的,可以通过后台程序的修改;或者使用应用交付设备的7层内容更替(例如A10设备的aFleX)功能在后台程序不变的情况下智能修改返回给用户的内容来实现,这是题外话,我们以后再接着谈。

 

本文转自 virtualadc 51CTO博客,原文链接:

http://blog.51cto.com/virtualadc/1109509

相关文章
|
1月前
|
网络安全 数据库
YashanDB HA节点间SSL连接配置
本指南介绍HA内部节点链路的SSL连接配置,包括客户端监听与HA节点自身监听两种方式。需使用OpenSSL工具生成证书,具体步骤参考数据库服务端SSL连接配置文档。此外,还需在数据库中开启HA的SSL连接开关并设置证书路径(仅支持绝对路径,长度≤254字节),最后重启数据库以完成配置。确保服务器已安装所需工具,详细操作请查阅相关文档。
YashanDB HA节点间SSL连接配置
|
1月前
|
安全 网络安全 数据库
YashanDB分布式节点间SSL连接配置
本文介绍YashanDB分布式节点间SSL连接配置方法,确保通信安全。需统一为整个集群配置SSL,使用相同根证书签名的服务器证书,否则可能导致连接失败或数据库无法启动。文章详细说明了使用OpenSSL生成根证书、服务器私钥、证书及DH文件的步骤,并指导如何将证书分发至各节点。最后,通过配置数据库参数(如`din_ssl_enable`)并重启集群完成设置。注意,证书过期需重新生成以保障安全性。
|
1月前
|
安全 Linux 网络安全
YashanDB数据库服务端SSL连接配置
YashanDB支持通过SSL连接确保数据传输安全,需在服务端生成根证书、服务器证书及DH文件,并将根证书提供给客户端以完成身份验证。服务端配置包括使用OpenSSL工具生成证书、设置SSL参数并重启数据库;客户端则需下载根证书并正确配置环境变量与`yasc_env.ini`文件。注意:启用SSL后,所有客户端必须持有根证书才能连接,且SSL与密码认证独立运行。
|
3月前
|
安全 算法 网络协议
解析:HTTPS通过SSL/TLS证书加密的原理与逻辑
HTTPS通过SSL/TLS证书加密,结合对称与非对称加密及数字证书验证实现安全通信。首先,服务器发送含公钥的数字证书,客户端验证其合法性后生成随机数并用公钥加密发送给服务器,双方据此生成相同的对称密钥。后续通信使用对称加密确保高效性和安全性。同时,数字证书验证服务器身份,防止中间人攻击;哈希算法和数字签名确保数据完整性,防止篡改。整个流程保障了身份认证、数据加密和完整性保护。
|
2月前
|
算法 应用服务中间件 网络安全
阿里云WoSign“国密RSA双SSL证书”应用实践
阿里云WoSign品牌SSL证书是阿里云平台热销的国产品牌证书之一,支持签发国密合规的SM2算法SSL证书以及全球信任的RSA算法SSL证书,能够满足平台用户不同的SSL证书应用需求,同时为用户提供国密模块支持,实现“国密/RSA双证书部署”。
450 6
阿里云WoSign“国密RSA双SSL证书”应用实践
|
2月前
|
算法 安全 应用服务中间件
2025阿里云智惠采购季,WoSign SSL国产证书折上折满减优惠
**2025阿里云“智慧采购季,就上阿里云”活动火热进行中!** 3月1日至31日,阿里云WoSign品牌SSL证书新老用户同享折上折满减优惠。DV SSL证书低至220元/年起,轻松实现HTTPS加密,保障数据传输安全。领取“智惠采购季上云礼包”,先领券再下单,享受满减优惠。WoSign品牌SSL证书国密RSA双算法支持,确保广泛兼容与可靠部署。
743 2
2025阿里云智惠采购季,WoSign SSL国产证书折上折满减优惠
|
25天前
|
存储 Oracle 关系型数据库
MySQL 8.4 配置SSL组复制(八个步骤)
MySQL 8.4 配置SSL组复制(八个步骤)
70 0
|
2月前
|
运维 安全 网络安全
【运维实战分享】轻松搞定 SSL 证书管理,告别证书繁琐操作
Spug证书平台的最大亮点之一就是其极为简化的证书申请流程,无论是新手还是经验丰富的运维专家,都可以在几分钟内轻松完成证书的申请,通过微信扫码直接登录申请,无需复杂注册,整个过程既方便又快捷。
113 17
|
2月前
|
运维 安全 数据建模
阿里云数字证书管理服务免费版和收费版SSL证书区别、收费标准、申请及部署教程参考
阿里云数字证书管理服务提供多种SSL证书类型和品牌,适用于不同规模的网站,包括但不限于电商、小型企业、大型企业或个人等。阿里云SSL证书有收费版的也有免费版的,有的新手用户由于是初次在阿里云申请SSL证书,可能不是很清楚免费版证书的申请和部署流程,本文为以图文形式为大家展示阿里云免费版SSL证书最新的申请及部署教程,以供参考。
|
2月前
|
算法 数据建模 应用服务中间件
阿里云2025智惠采购季,WoSign SSL证书优惠叠加使用攻略
阿里云2025智惠采购季,WoSign SSL证书折上折满减优惠!活动月期间(2025年03月01日至03月31日)活动折扣叠加满减优惠券,具体如何操作才能获取组合优惠价格呢?快来get优惠券组合使用攻略吧!
481 4

热门文章

最新文章