SSL加速和证书卸载的配置方式
随着移动互联网,网银支付等等的普及,越来越多的应用开始重视私密性和安全性,最常见的就是把原有基于明文传输的HTTP调整为加密的HTTPS方式;实现这种方式的最常用的手段也是购置第三方发布的域名证书,部署到后台每台服务器上。
但是SSL的加密/解密是最消耗服务器资源的应用,HTTP到HTTPS部署后很可能会发现服务器的性能和处理能力大幅下降;而专用的应用交付设备通常内置硬件的SSL加速卡,可以高效的处理SSL加密流量。一个简单的对比动画图如下:
HTTPS加速/SSL卸载的目的和用途
将在服务器上的证书加解密的功能迁移到负载均衡设备上
主要优势有
- 减低服务器负载,SSL处理非常消耗服务器的性能
- 提升SSL处理能力;应用交付设备采用专用的SSL卸载硬件芯片实现
- 降低管理员操作复杂性;无需管理和配置多个服务器的证书;只需要在前端负载均衡设备上实现即可
- 提升应用安全性;将加密的HTTPS解密为明文的HTTP后,可根据请求/响应内容等设置多种策略
证书的种类
客户需要向提供证书的第三方机构申请,例如GeoTrust, VeriSign, Thawte等授权证书机构
证书简单的区分有2种分类方式
- 单一域名证书;例如 www.example.com
- 通配符证书;例如 *.example.com 更贵
- 普通型证书 例如
支付宝: 普通证书
- 增强型(EV SSL) 证书 更贵, 例如
- 工商银行网银: 增强型证书;显示为绿色,同时显示网站名称
收到的证书是什么样子的
以GeoTrust为例;证书通常通过邮件转发的;通常包括网站证书; 中级证书和交叉证书;
另外还有证书的密钥Key(请妥善管理密钥,这是非常机密的重要文件)
如何将证书导入到应用交付设备中
每个应用交付设备的具体配置方式可能不同,此处以A10网络的AX设备为例
证书文件的准备
使用文本编辑器,例如UltraEdit
1:将密钥文件保存为key.PEM
2:网站SSL证书保存为cert.PEM
3:将交叉证书和中级证书保存于同一个文件中,例如cert-chain.PEM
注意交叉证书先;中级证书后
证书文件的导入
在A10设备的配置模式中, 在服务>SSL管理中 分别导入上一部定义的3个文件:
导入证书cert.pem并根据需求命名,例如mail2012
导入证书链cert-chain.pem并根据需求命名,例如mail2012-chain
导入私钥key.pem并根据需求命名,例如mail2012-key
至此证书导入完毕。
证书文件的配置和应用
在证书准备完毕后,需要将其关连配置后再启用;
首先创建终端的SSL模板,在配置模式>服务>模板中
最后一步,即将配置的终端SSL模板应用于提供应用的VIP端口下,通常为443端口,注意端口类型选择为https
至此配置结束。
启用证书后的功能验证
配置结束后,在正式应用对外发布前,可以进行内部的测试验证;
例如域名为www.example.com在应用交付设备上对应的VIP 地址为1.1.1.1;那么可以在DNS发布前通过修改本机的hosts域名解析先进行测试验证后再对外发布;测试时浏览器不再提示非法的证书,基本就可以说明证书部署是成功的。
需要注意的是:在极个别的案例中,我们发现有用户在应用层面(例如web服务器的响应回报中)写定了http的方式(例如下图)
此时是有可能造成https访问存在问题的,可以通过后台程序的修改;或者使用应用交付设备的7层内容更替(例如A10设备的aFleX)功能在后台程序不变的情况下智能修改返回给用户的内容来实现,这是题外话,我们以后再接着谈。
本文转自 virtualadc 51CTO博客,原文链接:
http://blog.51cto.com/virtualadc/1109509
SSL加速和证书卸载的配置方式相关推荐
- nginx配置https访问 生成ssl自签名证书,浏览器直接访问
问题 nginx配置自签名ssl证书,来支持https访问nginx,在浏览器中访问nginx时,提示有风险.而访问其他各大网站时,也是使用了https协议,为什么可以直接访问,而不提示有风险呢? 解 ...
- Windows Server 2008 R2 下配置证书服务器和HTTPS方式访问网站
Windows Server 2008 R2 下配置证书服务器和HTTPS方式访问网站 http://www.cnblogs.com/zhongweiv/archive/2013/01/07/http ...
- 个人站点配置免费HTTPS证书、nginx配置ssl证书、阿里云盾和站长之家两种
原文链接:https://www.aiprose.com/blog/20 相信大家都想让自己的站点支持https,今天就给大家介绍如何在个人站点中使用https,并使用nginx配置ssl证书.我们可 ...
- Exchange 2013部署系列之(七)配置SSL多域名证书
Exchange 2013部署系列之(七) 配置SSL多域名证书 前面六篇博客我们详细讲解了Exchange Server 2013的部署和配置,Exchange一些服务,如 Outlook 无处不在 ...
- windows服务器ssl证书安装及配置
用IIS发布https网站,SSL的安全服务配置步骤: 生成申请证书请求 获取及安装中级CA证书 安装服务器证书及配置绑定 一.生成证书请求 进入IIS控制台 在"开始"菜单上,依 ...
- ssl证书(https) iis 配置安装
因客户给的 cer的文件 导入提示 失败,所以用 了 客户给的 crt的格式的证书. 安装证书操作如下: iis>>服务器证书>>右侧菜单-完成证书申请>>选择 本 ...
- cdn加速与ssl加速
cdn CDN的全称是Content Delivery Network,即内容分发网络.其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快.更稳定. 简单的来说 ...
- 网络(10)-HTTPS证书申请及配置
实操步骤 一.证书申请 很多服务商提供了免费的SSL证书,本文以腾讯云的SSL证书为例. 1,登录到腾讯云的SSL证书服务平台: 2.点击红框标注的部分,免费申请证书 仅支持绑定一个一级域名或者子域名 ...
- 《深入浅出DPDK》读书笔记(十):硬件加速与功能卸载(VLAN、IEEE1588、IP TCP/UDP/SCTP checksum、Tunnel)
Table of Contents 109.硬件卸载简介 110.网卡硬件卸载功能 111.DPDK软件接口 接收侧: 发送侧: 112.硬件与软件功能实现 113.VLAN硬件卸载 1. 收包时VL ...
最新文章
- 深入浅出的讲解傅里叶变换(完整)
- WebAssembly:面向Web的通用二进制和文本格式
- Centos7 安装 nginx 服务器的两种方式
- 计算机能模拟图灵机吗,关于计算机科学:图灵机与冯诺依曼机器
- IOS_SearchBar搜索栏及关键字高亮
- Web工程师修行笔记_必备单词(第三部)
- JQuery使用笔记
- 宝塔面板 nginx+apache共存 之 KVS服务器运行环境搭建过程记录
- 甚至有些还掉到书本上
- storyboard 苹果启动图_iOS LaunchScreen.storyboard启动图更新
- 软件测试工程师,不只是你眼中的点点点
- Halo博客 -- ③ 本地运行
- Git Branching
- C语言谭浩强第三版第十二章例题及课后题:位运算
- Nginx + ModSecurity 报错
- CI/CD的利器k8s+docker
- 基于OpenCV的形状检测
- CSS让5个20%div排成一行
- 分枝杆菌噬菌体类有哪些最新发表的毕业论文呢?
- Spring Boot 和 Spring 有什么区别
热门文章
- 华为手机计算机小游戏,创意满分!华为粉丝年会推手机黑科技,锁屏也能玩小游戏?...
- Jenkins+GitLab API进行代码库项目统计分析自助工具建设
- 重温数据结构:哈希 哈希函数 哈希表
- axios post params(post像get一样使用params传参)
- 第5天下篇:在Flask应用中使用用户认证—Flask_Login
- 谷歌裁员细节曝光:开源主管被裁,61岁程序员在线求职,有人60天找不到工作就被遣返
- 典型问题分析——wifi吞吐量测试和分析方法
- Java基础入门 JFrame
- Android Studio官方视频教程笔记
- 【Linux】centos创建用户以及赋予sudo权限