F5BIGIP-LTMSSL應(yīng)用加速技術(shù)白皮書

F5BIGIP-LTMSSL應(yīng)用加速技術(shù)白皮書簡介：F5BIGIP-LTMSSL應(yīng)用加速技術(shù)白皮書1SSL加速原理1.1SSL簡要介紹SSL是被設(shè)計(jì)用來保證信息安全的一個(gè)協(xié)議，它依賴于可靠的TCP協(xié)議來傳輸數(shù)據(jù)。它的特點(diǎn)之一是獨(dú)立于上層的應(yīng)用層協(xié)議(如：HTTP，F(xiàn)TP，TELNET...關(guān)鍵字：SSL加速F5BIGIP

1

SSL加速原理

1.1

SSL簡要介紹

SSL是被設(shè)計(jì)用來保證信息安全的一個(gè)協(xié)議，它依賴于可靠的TCP協(xié)議來傳輸數(shù)據(jù)。它的特點(diǎn)之一是獨(dú)立于上層的應(yīng)用層協(xié)議(如：HTTP，F(xiàn)TP，TELNET等)，這些應(yīng)用層協(xié)議可以透明使地用SSL協(xié)議。SSL協(xié)議可以協(xié)商一個(gè)對稱加密算法和會(huì)話密鑰，同時(shí)可以在通信之前認(rèn)證服務(wù)器的合法性。SSL協(xié)議提供了一種“管道式安全”，它具有三個(gè)特征：

管道是保密的，保密性是通過使用加密技術(shù)來保證的，在通過一個(gè)簡單的握手過程之后獲得一個(gè)共同的密鑰，作為對稱加密算法的密鑰。

管道是認(rèn)證過的，服務(wù)器端總是需要把自己的證書遞交給客戶端，以便客戶端對服務(wù)器進(jìn)行認(rèn)證。服務(wù)器可以選擇是否需要客戶端遞交證書。

管道是可靠的，消息的傳輸包含了消息完整性檢查。

SSL協(xié)議實(shí)際上由兩個(gè)協(xié)議構(gòu)成，位于下面的一層為SSL記錄協(xié)議（SSLRecordProtocol），其上為SSL控制協(xié)議(SSLControlProtocols)，SSL記錄協(xié)議用于封裝上層發(fā)送和接收的所有數(shù)據(jù)，當(dāng)然包括SSL控制協(xié)議的數(shù)據(jù)，SSL控制協(xié)議包含：

SSL握手協(xié)議(SSLHandshakeProtocol)

SSL密鑰交換協(xié)議(SSLChangeCiphersSpecification)

SSL報(bào)警協(xié)議(SSLAlertProtocol)SSL的握手過程是建立SSL的主要加密和安全參數(shù)的過程，它是SSL的控制協(xié)議執(zhí)行的控制功能。握手過程體現(xiàn)在瀏覽器使用HTTPS訪問WEB服務(wù)器時(shí)，包括以下步驟：1瀏覽器向安全WEB服務(wù)器發(fā)出一個(gè)HTTPS的請求，比如：。

2該WEB服務(wù)器將它的證書遞交給瀏覽器的SSL模塊。

3瀏覽器檢查服務(wù)器遞交的證書的有效性，比如有效日期和證書的簽名等。如果該證書不是被一個(gè)瀏覽器已經(jīng)信任的發(fā)證結(jié)構(gòu)（CA）簽發(fā)的證書，瀏覽器將彈出一個(gè)對話框來提示用戶是否信任該WEB站點(diǎn)證書。如果用戶選擇不信任該證書，瀏覽器會(huì)選擇自動(dòng)中止該連接。

4瀏覽器將把從WEB站點(diǎn)證書里取得的站點(diǎn)名稱和瀏覽器的URL里的域名相對照，如果相符，瀏覽器將認(rèn)為站點(diǎn)為真正的站點(diǎn)。

5瀏覽器將自己支持的一系列算法發(fā)送給服務(wù)器。

6如果服務(wù)器需要客戶端遞交證書，瀏覽器將把自己的證書發(fā)送給服務(wù)器，服務(wù)器檢查遞交的證書，并且檢查該證書是否為自己已經(jīng)信任的發(fā)證機(jī)構(gòu)（CA）發(fā)放的證書。如果不是，服務(wù)器將自動(dòng)中止該次連接。

7服務(wù)器端選擇自己和客戶端共同支持的加密算法，然后發(fā)送給客戶端。

8

瀏覽器產(chǎn)生一個(gè)會(huì)話密鑰，然后把該密鑰通過服務(wù)器的公鑰加密后傳給服務(wù)器。

9

服務(wù)器接收到該加過密的會(huì)話密鑰后用自己的私鑰解密，得到會(huì)話密鑰的明文。

10客戶端和服務(wù)器使用剛才協(xié)商的會(huì)話密鑰對應(yīng)用層的數(shù)據(jù)進(jìn)行加解密，對傳輸?shù)臄?shù)據(jù)進(jìn)行安全保護(hù)。典型的SSL應(yīng)用部署如下：

1.2

BIGIPSSL加速

在SSL處理過程中，所有的傳輸內(nèi)容均采用加密算法處理。其中最重要的兩個(gè)部分為SSL握手時(shí)交換秘鑰的非對稱加密和數(shù)據(jù)傳輸時(shí)的對稱加密。在現(xiàn)有的系統(tǒng)中，通常非對成加密采用1024位的密鑰進(jìn)行加解密，因此對服務(wù)器的CPU占用率非常高。在一臺最新型號的雙Xeon服務(wù)器上，大約每秒鐘400次非對稱加解密就能導(dǎo)致CPU占用率100%。同時(shí)對稱加密通常采用128位，最高256位加密的加解密也會(huì)導(dǎo)致服務(wù)器CPU占用率居高不下，同樣的服務(wù)器SSL流量大約能達(dá)到150Mbps。因此當(dāng)我們在部署SSL應(yīng)用時(shí)，必須考慮到以下參數(shù)：

TPS：TransectionPerSecond，也就是每秒鐘完成的非對稱加解密次數(shù)

Bulk：SSL對稱加解密的吞吐能力，通常以Mbps來進(jìn)行衡量。

當(dāng)SSL的客戶端壓力超過400TPS時(shí)，單臺服務(wù)器就很難處理請求了。因此，必須采用SSL加速設(shè)備來進(jìn)行處理。BIGIP-LTM/ACC系列可從最低2000TPS到64000TPS實(shí)現(xiàn)全硬件處理SSL非對稱加密和對稱加密流量。其實(shí)現(xiàn)的結(jié)構(gòu)如下：

所有的SSL流量均在BIGIP上終結(jié)，BIGIP與服務(wù)器之間可采用HTTP或者弱加密的SSL進(jìn)行通訊。這樣，就極大的減小了服務(wù)器端對HTTPS處理的壓力，可將服務(wù)器的處理能力釋放出來，更加專注的處理業(yè)務(wù)邏輯。在BIGIP可處理單向SSL連接，雙向SSL連接。并且可同時(shí)處理多種類型和多個(gè)應(yīng)用的SSL加解密處理。采用BIGIP實(shí)現(xiàn)SSL加速的性能如下表：

在BIGIP新的硬件平臺BIGIP8400和8800上，SSL加速的處理能力還會(huì)有成倍的提高。由于采用了獨(dú)立的安全NP硬件加速SSL流量，基本上對于SSL的流量可實(shí)現(xiàn)“零”CPU占用率。因此，當(dāng)采用內(nèi)置模式時(shí)，SSL加解密動(dòng)作基本不會(huì)影響到負(fù)載均衡的處理能力。

1.3

BIGIPSSL加速產(chǎn)品系列產(chǎn)品型號

配置

功能

BIGIP3400-ACC

8個(gè)10/100/1000M電口，2個(gè)可選光纖接口

自帶5000TPSSSL加速License，帶寬控制，500MbpsHTTP壓縮，內(nèi)存Cache

BIGIP1500-LTM

4個(gè)10/100/1000M電口，2個(gè)可選光纖接口

自帶100TPSSSL加速License，服務(wù)器負(fù)載均衡，最大支持2000TPS，500MbpsSSLBulk

BIGIP3400-LTM

8個(gè)10/100/1000M電口，2個(gè)可選光纖接口

自帶100TPSSSL加速License，服務(wù)器負(fù)載均衡，最大支持5000TPS，1GbpsSSLBulk

BIGIP6400-LTM

16個(gè)10/100/1000M電口，4個(gè)可選光纖接口

自帶100TPSSSL加速License，服務(wù)器負(fù)載均衡，最大支持15000TPS，2GbpsSSLBulk

BIGIP6800-LTM

16個(gè)10/100/1000M電口，4個(gè)可選光纖接口

自帶100TPSSSL加速License，服務(wù)器負(fù)載均衡，最大支持20100TPS，2GbpsSSLBulk

BIGIP8400-LTM

12個(gè)10/100/1000M光/電口，2個(gè)可選10G光纖接口

自帶100TPSSSL加速License，服務(wù)器負(fù)載均衡，最大支持22000TPS，2.5GbpsSSLBulk除BIGIP3400-ACC之外，其他的產(chǎn)品系列均可根據(jù)客戶需求增加SSL處理能力和選配其他功能模塊，包括HTTP壓縮、內(nèi)存Cache、帶寬控制、IPV6等。

2

主要實(shí)現(xiàn)功能

2.1

核心功能

客戶機(jī)到BIGIP端到端加密通道

BIGIP采用標(biāo)準(zhǔn)的SSL加密通道協(xié)議?？梢院蜆?biāo)準(zhǔn)的瀏覽器配合，支持SSL/TLS各版本的協(xié)議標(biāo)準(zhǔn)。在客戶端和BIGIP之間建立安全的SSL/TLS加密通道。保證在通道內(nèi)傳輸?shù)腍TTP請求的安全性，實(shí)現(xiàn)對應(yīng)用安全的完整保護(hù)。

證書認(rèn)證功能

在BIGIP中可導(dǎo)入X509證書，可實(shí)現(xiàn)單向認(rèn)證、雙向認(rèn)證。BIGIP可以提供給客戶端自身的證書以供客戶端認(rèn)證。也可以要求客戶端提交證書進(jìn)行驗(yàn)證。確保SSL交易的完整性和不可抵賴性。

服務(wù)器SSL傳輸

通常情況下，客戶端與BIGIP采用SSL連接，BIGIP與后臺服務(wù)器采用HTTP連接。在某些安全要求較高的場合下，需要BIGIP與后臺服務(wù)器也采用HTTPS加密傳輸，以保證數(shù)據(jù)傳輸?shù)娜窂桨踩用軅鬏敗IGIP可支持與后臺服務(wù)器多種加密算法的連接方式。

資源訪問控制

在BIGIP中可對客戶端可訪問資源和不可訪問資源進(jìn)行靈活的定義訪問權(quán)限控制。可通過客戶端是否有證書、Cookie、訪問的URL等進(jìn)行判斷，然后確定用戶是否有對該資源的訪問權(quán)限。將不安全和越權(quán)訪問直接進(jìn)行控制。

證書信息透傳

由于信息安全的完整性要求，當(dāng)服務(wù)器端在收到用戶請求時(shí)，需要對客戶端進(jìn)行再次確認(rèn)。以確認(rèn)用戶是通過安全網(wǎng)關(guān)訪問。BIGIP可以將客戶端證書進(jìn)行解析，將服務(wù)器所需要的所有信息以HTTPURI參數(shù)或者HTTPHeader等方式傳遞給后臺服務(wù)器，以提供服務(wù)器二次認(rèn)證的信息。

多應(yīng)用系統(tǒng)支持

在BIGIP可以支持不限數(shù)量的應(yīng)用系統(tǒng)，并且可以同時(shí)支持單向、雙向認(rèn)證方式。便于SSL加解密的集中控制。同時(shí)，BIGIP還可以同時(shí)支持非HTTPS應(yīng)用如HTTP、SMTP、POP3、DNS等應(yīng)用的集群方式。提供用戶最大的靈活性和安全性。

完善的日志輸出

在BIGIP上可提供多種類型的日志輸出：用戶訪問日志：可以記錄用戶的所有訪問HTTP請求，并將其存放在BIGIP或者遠(yuǎn)端Syslog服務(wù)器上。

錯(cuò)誤信息日志：用戶未提交證書、提交證書過期或已吊銷等，均將被BIGIP記錄在日志中，以提供審計(jì)查詢。

管理員操作日志：將管理員的所有操作均記錄下來，以提供審計(jì)查詢或系統(tǒng)配置回溯。

系統(tǒng)日志：BIGIP自身的系統(tǒng)運(yùn)行狀態(tài)，后端服務(wù)器的Down/UP狀態(tài)等。

安全加密級別控制

BIGIP可支持以下加密協(xié)議：

SSLv2

TLSv1

SGC/設(shè)置

RFC2246中描述的所有標(biāo)準(zhǔn)協(xié)議擴(kuò)展和密碼

AES（在RFC3268中進(jìn)行了描述）

從現(xiàn)有的128位加密方式一直到AES256位的加密算法，BIGIP均可提供全硬件加速支持

用戶自定義功能

BIGIP內(nèi)置有iRules可編程控制語言，具有50多個(gè)事件、200多個(gè)函數(shù)，允許用戶對流量進(jìn)行任意處理。典型的諸如客戶端三次握手完成、SSL握手、客戶端證書提交、SSL握手完成等BIGIP均有對應(yīng)的事件處理。并且豐富的函數(shù)和過程也可以對數(shù)據(jù)進(jìn)行靈活處理，比如查找、比對、修改等，然后可以根據(jù)查找比對的結(jié)果作出相應(yīng)的處理。

2.2

附加功能

服務(wù)器負(fù)載均衡和健康檢查

考慮到后臺服務(wù)器所承受的壓力和冗余性，BIGIP可以在完成SSL加解密的同時(shí)，對后臺服務(wù)器進(jìn)行負(fù)載均衡，同時(shí)檢查服務(wù)器的真實(shí)可用性。以確保交易的不間斷性。

服務(wù)器慢啟動(dòng)和停機(jī)維護(hù)

當(dāng)后臺有多臺應(yīng)用服務(wù)器，新節(jié)點(diǎn)加入或者恢復(fù)時(shí)，BIGIP可以通過慢啟動(dòng)方式來保證服務(wù)器的壓力逐步增加，以避免新服務(wù)器壓力過載。當(dāng)服務(wù)器需要停機(jī)維護(hù)時(shí)，BIGIP可以允許當(dāng)前的用戶連接不中斷，而新的請求分配到其他服務(wù)器上。保證當(dāng)前用戶訪問的不中斷，這樣，大大減小了維護(hù)的壓力。

應(yīng)用兼容性

BIGIP可與多種應(yīng)用系統(tǒng)進(jìn)行配合，具有極高的兼容性?，F(xiàn)有的系統(tǒng)包括IIS、Apache、TomCat、WebLogic、WebSphere等系統(tǒng)BIGIP都可以實(shí)現(xiàn)無縫的配合。

多結(jié)構(gòu)支持

BIGIP可支持負(fù)載均衡內(nèi)置SSL加速方式以實(shí)現(xiàn)應(yīng)用的統(tǒng)一管理，簡單維護(hù)。也可以支持SSL加速外掛方式以實(shí)現(xiàn)系統(tǒng)良好的擴(kuò)充性和高性能。

靈活的CRL驗(yàn)證機(jī)制

BIGIP可支持3種方式的CRL（用戶吊銷列表）驗(yàn)證文件方式：將CRL以文件方式加載到BIGIP內(nèi)存中。

OCSP：通過OCSP認(rèn)證網(wǎng)關(guān)進(jìn)行客戶端證書認(rèn)證。

CRLDP：通過CRLDistributingPoint去讀取LDAP或者HTTP服務(wù)器上的CRL列表。

透明SSL模式支持

在透明SSL加速模式中，客戶端通過域名HTTPS直接訪問后臺的WEB服務(wù)器。在流量通過BIGIP時(shí)，BIGIP截獲HTTPS流量，并對其進(jìn)行解密，然后將請求發(fā)送到后端服務(wù)器的HTTP端口。在服務(wù)器處理完成后，將頁面內(nèi)容返回給BIGIP，由BIGIP進(jìn)行加密后返回給Client端。這樣對于客戶端來說根本感覺不到BIGIP的存在。

客戶端IP透傳

BIGIP可以不改變客戶端源地址直接將請求發(fā)送到服務(wù)器上，以提供服務(wù)器日志和審計(jì)需要，也可以將客戶端源地址插入到HTTPHeader中提供給后臺的服務(wù)器進(jìn)行處理。

多CA支持

在BIGIP上的同一個(gè)虛擬服務(wù)器中，可以支持多個(gè)CA所頒發(fā)的客戶端證書認(rèn)證、CRL訪問控制和客戶端證書選擇。多CA支持通常用于用戶在不改變原有系統(tǒng)的情況下，加入新的CA認(rèn)證體系，而不讓原有的用戶感覺到任何改變。實(shí)現(xiàn)系統(tǒng)的透明遷移。

應(yīng)用優(yōu)化

在BIGIP中擁有許多專利技術(shù)的應(yīng)用優(yōu)化功能，包括TCPExpress、HTTP壓縮、HTTP緩存、訪問鏈接聚合等。一方面提高了用戶的響應(yīng)速度，另一方面減小了服務(wù)器端的壓力。同時(shí)，HTTP壓縮等功能還減小了帶寬的占用，直接為企業(yè)減小了帶寬租借費(fèi)用。

帶寬控制

BIGIP靈活的七層帶寬控制模塊，可靈活的根據(jù)用戶的特征、訪問的應(yīng)用等進(jìn)行應(yīng)用的優(yōu)先級處理，保證關(guān)鍵業(yè)務(wù)的帶寬使用。

2.3

產(chǎn)品特性

專用硬件平臺提供高性能SSL加速

BIGIP內(nèi)置高速安全NP硬件處理芯片，可完全支持SSL握手時(shí)的非對稱加解密和SSL數(shù)據(jù)傳輸時(shí)的對稱加解密。實(shí)現(xiàn)CPU的”零”占用率。

透明和兼容性

BIGIP默認(rèn)工作在透明模式，在服務(wù)器端接收的HTTP請求看上去全部來源于真實(shí)的客戶端。BIGIP極高的兼容性，保證了和后臺的多種業(yè)務(wù)系統(tǒng)對接時(shí)的易于部署。

易用性

BIGIP具備iControl二次開發(fā)接口，用戶可靈活實(shí)現(xiàn)BIGIP上數(shù)據(jù)的采集和設(shè)備控制。簡潔的配置界面和對象式的Profile定義也使管理變得輕松和簡單。

高安全性

強(qiáng)大的硬件平臺和高效的軟件設(shè)計(jì)，保證在BIGIP后臺的服務(wù)器避免DDOS攻擊。ASM模塊的加入進(jìn)一步保證了用戶的系統(tǒng)免受各種針對HTTP應(yīng)用的攻擊手段。

高可擴(kuò)展性

由于負(fù)載均衡和SSL加速功能的合二為一，BIGIP可以進(jìn)行多種組合方式，確保后臺服務(wù)的高可擴(kuò)展性和自身的高可擴(kuò)展性。

高可靠性

完善的負(fù)載均衡算法、服務(wù)器健康檢查以及自身的高可用性設(shè)計(jì)，都充分保證了系統(tǒng)的高可靠性。

3

BIGIPSSL加速典型部署結(jié)構(gòu)

3.1

內(nèi)置SSL加速的結(jié)構(gòu)：

如圖：HTTPS流量到達(dá)BIGIP上的VS，由VS處理之后轉(zhuǎn)換成HTTP流量直接發(fā)往服務(wù)器，服務(wù)器處理完成后返回給BIGIP，然后由BIGIP加密后返回給用戶。3.2

外掛SSL加速器的結(jié)構(gòu)：

通常情況下，考慮到系統(tǒng)的可擴(kuò)展性，可采用獨(dú)立的設(shè)備分別實(shí)現(xiàn)服務(wù)器的負(fù)載均衡和SSL加速，同時(shí)負(fù)責(zé)服務(wù)器負(fù)載均衡的BIGIPLTM也實(shí)現(xiàn)了SSL加速用BIGIPLTM的負(fù)載均衡。建議的系統(tǒng)結(jié)構(gòu)圖如下：

在外掛方式下，通常加速器直接連接在BIGIP上，這樣可以節(jié)省核心交換機(jī)的端口，減少數(shù)據(jù)包的往返傳輸。根據(jù)實(shí)際情況的不同，也可將加速器直接連接在主干交換機(jī)上。但無論如何連接，實(shí)際的數(shù)據(jù)流程如下：上下的兩臺BIGIPLTM實(shí)際為同一臺設(shè)備。采用外掛方式下，HTTPS流量首先到達(dá)實(shí)現(xiàn)負(fù)載均衡功能的BIGIPLTM，然后由BIGIPLTM分配到多臺用于SSL加速的ACC3400或BIGIPLTM上，在SSL加速器處理完成后，將HTTP流量返回到負(fù)責(zé)負(fù)載均衡的BIGIPLTM，并由BIGIPLTM發(fā)往后端的服務(wù)器，再后端服務(wù)器處理處理完成后原路返回。

4

SSL的認(rèn)證模式

4.1

單向認(rèn)證模式

在采用單向認(rèn)證時(shí)，主要是客戶端驗(yàn)證服務(wù)器端是否合法。在建立SSL握手的時(shí)候，服務(wù)器將其證書傳送給客戶端進(jìn)行驗(yàn)證?？蛻舳酥饕?yàn)證有三個(gè)方面：1、

服務(wù)器證書是否在有效時(shí)間內(nèi)

即服務(wù)器證書的有效時(shí)間與當(dāng)前時(shí)間相比較，如果過期，則認(rèn)為該證書已經(jīng)失效。

2、

服務(wù)器證書中的域名是否與用戶訪問的域名一致

即客戶端訪問的域名，如在瀏覽器中填入:，則訪問的域名為。服務(wù)器的證書中的域名必須與此域名一致。

3、

服務(wù)器證書是否由瀏覽器認(rèn)可的根證發(fā)放

在主流的瀏覽器軟件包括IE和Mozila的版本中，均已經(jīng)內(nèi)置了全球主流的CA系統(tǒng)的根證書。用戶也可以自行安裝可信任的根證書，比如CFCA、信安以及各地CA中心的自建系統(tǒng)的根證書。瀏覽器將使用內(nèi)置的根證書對服務(wù)器返回的服務(wù)器證書進(jìn)行驗(yàn)證。如果驗(yàn)證全部通過，則SSL握手成功，瀏覽器將直接發(fā)送HTTP請求到服務(wù)器請求內(nèi)容。如果任何一項(xiàng)沒有通過，瀏覽器則會(huì)彈出錯(cuò)誤提示，由用戶選擇是否繼續(xù)進(jìn)行。該提示如下：

其中，黃色帶驚嘆號的標(biāo)志為驗(yàn)證失敗。綠色標(biāo)志為驗(yàn)證成功。單向認(rèn)證的流程如下：

4.2

雙向認(rèn)證模式

在雙向認(rèn)證模式下，除客戶端驗(yàn)證服務(wù)器端是否合法外，服務(wù)器端也需要驗(yàn)證客戶端是否為合法用戶。服務(wù)器端需要安裝頒發(fā)客戶端證書的CA的根證書和中間證書，要求客戶端提交客戶端證書，并通過已經(jīng)安裝的根證書和中間證書對客戶端證書進(jìn)行逐級驗(yàn)證。以確定客戶端是否為合法用戶。當(dāng)客戶端連接一個(gè)雙向認(rèn)證模式的VS時(shí)，除了客戶端驗(yàn)證服務(wù)器端是否安全外，還需要進(jìn)行以下步驟：1、

客戶端彈出證書選擇框，該證書選擇框內(nèi)列出服務(wù)器端，也就是BIGIP上所支持的CA所發(fā)布的證書。

2、

客戶端選擇證書然后提交。

3、

BIGIP驗(yàn)證客戶端提交的證書是否由所信任的CA所發(fā)布。

4、

如果配置了證書吊銷列表，BIGIP將根據(jù)客戶端證書中提供的CRL發(fā)布點(diǎn)，驗(yàn)證客戶端提交的證書是否已經(jīng)被作廢。如果作廢或者證書已經(jīng)過期，則BIGIP將拒絕該用戶登錄。雙向認(rèn)證的流程如下：

現(xiàn)在國內(nèi)的主流CA系統(tǒng)為CFCA和信安的證書系統(tǒng)。下面就針對這兩種證書體系進(jìn)行分別介紹。4.2.1

CFCA系統(tǒng)

CFCA為銀行業(yè)的官方證書機(jī)構(gòu)，在國內(nèi)有較多的用戶。CFCA的證書系統(tǒng)中，分為EntrustCA和新的國產(chǎn)CA兩個(gè)系統(tǒng)。其中EntrustCA為3級結(jié)構(gòu)，其結(jié)構(gòu)如下：國產(chǎn)CA為兩級結(jié)構(gòu)，結(jié)構(gòu)如下：

在對CFCAClient證書進(jìn)行驗(yàn)證的時(shí)候，BIGIP需要進(jìn)行多級認(rèn)證。BIGIP現(xiàn)支持的最大多級認(rèn)證深度為9級。以EntrustCA三級證書為例，其驗(yàn)證流程如下：

驗(yàn)證ClientCertificate是否由PCA認(rèn)可

驗(yàn)證PCA是否由OCA認(rèn)可

驗(yàn)證RCA是否是自簽發(fā)證書并存放在BIGIP的可信任證書列表（TrustedAuthorities）中。如果三級認(rèn)證均通過，則驗(yàn)證該客戶端為合法客戶。4.2.2

信安系統(tǒng)

信安的系統(tǒng)為單級證書體系，在各大銀行通常是自建CA。所以通常情況下根證書均為銀行特有，在配置時(shí)需要向客戶配合提供根證書。在配置信安系統(tǒng)的時(shí)候，只需要將提供的根證書配置為TrustedAuthorities即可。注意根證書必須為PEM格式，經(jīng)?？赡苣苣玫绞值淖C書為DER格式。

5

基本功能及配置

5.1

證書的導(dǎo)入

5.1.1

服務(wù)器證書的生成和導(dǎo)入

如果由BIGIP來生成服務(wù)器證書

需要通過以下步驟。

選擇LocalTraffic-〉SSLCertificates-〉Create

注意CommonName一定要設(shè)置為準(zhǔn)備用來使用的域名。

點(diǎn)擊Finish繼續(xù)：

點(diǎn)擊DownloadXin_an_server.csr到本地硬盤，然后把csr文件提交給CA，就可以得到相應(yīng)的證書了。

完成后，在SSLCeritificates的頁面中能看到一個(gè)只有key的條目：

在從CA得到證書后，導(dǎo)入到相應(yīng)的名字即可。

如果已經(jīng)具備服務(wù)器證書和私鑰

需要通過以下步驟進(jìn)行導(dǎo)入

選擇LocalTraffic->SSLCertificates->Import

選擇導(dǎo)入的項(xiàng)目

通常先導(dǎo)入證書：

在導(dǎo)入證書成功后，再點(diǎn)擊導(dǎo)入的證書然后導(dǎo)入相應(yīng)的key文件。5.1.2

根證及中間證書的導(dǎo)入

對于單級證書模式，將PEM格式的根證直接導(dǎo)入即可：

對于多級證書模式，需要將在整個(gè)鏈上的多個(gè)證書進(jìn)行Boundle。Boundle的方式為將多個(gè)證書粘貼拷貝到一起，然后全部導(dǎo)入：

BEGINCERTIFICATE

MIICvDCCAiWgAwIBAgIEPPx1qzANBgkqhkiG9w0BAQUFADAgMQswCQYDVQQGEwJD

TjERMA8GA1UEChMIQ0ZDQSBSQ0EwHhcNMDIwNjA0MDczOTIwWhcNMjIwNjA0MDgw

OTIwWjAgMQswCQYDVQQGEwJDTjERMA8GA1UEChMIQ0ZDQSBSQ0EwgZ8wDQYJKoZI

hvcNAQEBBQADgY0AMIGJAoGBALjj9EbWFRz6rj4a42KpSB+jPqoHnkjmr3S69P4A

icz9r6ZfFat1SvjJAG4XjB69ejGczrP2Acp3JVyH3jDMXSa4EfEfw/Erom1ILaWy

jKTl/Cs78oJMjGyiZT5CJ14gH6o9rVYMEr2FjH6a7SJKJ/P/YBiQzNh6h97gynIy

J5ChAgMBAAGjggEBMIH+MBEGCWCGSAGG+EIBAQQEAwIABzBCBgNVHR8EOzA5MDeg

NaAzpDEwLzELMAkGA1UEBhMCQ04xETAPBgNVBAoTCENGQ0EgUkNBMQ0wCwYDVQQD

EwRDUkwxMCsGA1UdEAQkMCKADzIwMDIwNjA0MDczOTIwWoEPMjAyMjA2MDQwODA5

MjBaMAsGA1UdDwQEAwIBBjAfBgNVHSMEGDAWgBQAmjTyUflTFGF0bnKhBt7HgXAb

vDAdBgNVHQ4EFgQUAJo08lH5UxRhdG5yoQbex4FwG7wwDAYDVR0TBAUwAwEB/zAd

BgkqhkiG9n0HQQAEEDAOGwhWNi4wOjQuMAMCBJAwDQYJKoZIhvcNAQEFBQADgYEA

Jv+gsBZv4egVVt7qPYUM8M0rfT2TjUd/vm7l7kmfGHLz2hJR2fMhgMXo8sxPBA6D

L3ZW08X+UA5Gsa34enwtkDEVTe1Nvpz6L+W1C9hWpzyKsK0HQbrC5xTLAcEl7nlt

Zb/JN44RbcevYcdAt3SyOAaoOtGljBQwFI0TFdMwHrg=

ENDCERTIFICATE

BEGINCERTIFICATE

MIICezCCAeSgAwIBAgIEPPyMXjANBgkqhkiG9w0BAQUFADAgMQswCQYDVQQGEwJD

TjERMA8GA1UEChMIQ0ZDQSBSQ0EwHhcNMDQwODEwMDgzNjM3WhcNMTQwNzI1MTYw

MDAwWjAkMQswCQYDVQQGEwJDTjEVMBMGA1UEChMMQ0ZDQSBURVNUIENBMIGfMA0G

CSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYrs50M7hq8y0LzFjfN3UPQzGiBg1kLinP

qJcSx7oRXey15WpLLMLthcfp9Gn/7uXmtNL6athr91YXzrB3Rcp53U3zqScGE9h2

ktFQ3SNdZP6c/VSQ+27pAVxWRUC+F6pmUsno+jd1mftYjhKRV8yvCRpSV6HDzhLK

83xbkoCfiQIDAQABo4G9MIG6MEIGA1UdHwQ7MDkwN6A1oDOkMTAvMQswCQYDVQQG

EwJDTjERMA8GA1UEChMIQ0ZDQSBSQ0ExDTALBgNVBAMTBENSTDEwCwYDVR0PBAQD

AgEGMB8GA1UdIwQYMBaAFACaNPJR+VMUYXRucqEG3seBcBu8MB0GA1UdDgQWBBRG

ctwlcp8CTlWDtYD5C9vpk7P0RTAMBgNVHRMEBTADAQH/MBkGCSqGSIb2fQdBAAQM

MAobBFY2LjADAgSQMA0GCSqGSIb3DQEBBQUAA4GBAJ69l0Y1K+ayEvojzBHfzozM

f0a0aQMaEbiil+RJQ8lvwWHZOeaRTcJOxyiPoQ5DZqhEusXavFPX4J/mE3H5PCnV

5tF7tSO7vEguhs8m2IXxrOZCpKmCJVevNdV9x0m9eD629NVJGf683raMx39Ft4HQ

FaLT+EXbnSAWvYemPyOW

ENDCERTIFICATE

導(dǎo)入后，BIGIP會(huì)自動(dòng)識別其為一個(gè)BoundleCertificate:

同時(shí)，自動(dòng)識別出Boundle中的各級證書。在處理多級證書和多CA時(shí)，通常會(huì)用到Boundle證書方式。5.2

ClientSSLProfile的配置

ClientSSLProfile的配置，是應(yīng)用SSL加速功能中最重要的一個(gè)環(huán)節(jié)。

5.2.1

單向認(rèn)證方式

單向認(rèn)證模式下，需要配置的內(nèi)容較少：

Certificate:服務(wù)器證書

Key:服務(wù)器證書對應(yīng)的Key

Chain:如果服務(wù)器證書為多級證書體系，則將中間證書添加在這里。如果是單級證書體系，則不需要任何配置。

5.2.2

雙向認(rèn)證方式

在雙向認(rèn)證模式下，則需要配置BIGIP驗(yàn)證Client證書的部分：在雙向認(rèn)證時(shí)，需要配置以下內(nèi)容：

TrustedCertificateAuthorities：客戶端證書的根證書

ClientCertificate：這里有兩種模式可以選擇

Require:客戶端必須提交證書，通常都采用這種方式

Request:客戶端可提交證書，也可不提交證書

AdvertisedCertificateAuthorities：在客戶端連接時(shí)，服務(wù)器發(fā)送到客戶端的信息，該信息使在客戶端彈出的證書選擇列表中只包含選中的根證書所頒發(fā)的客戶端證書。配置時(shí)注意如果有中間證書，則一定要選擇根證書和中間證書的Boundle。

5.3

CRLDP配置

在國內(nèi)現(xiàn)有系統(tǒng)中，多采用CRLDP方式進(jìn)行客戶端吊銷證書驗(yàn)證。BIGIP可配置多個(gè)CRLDP服務(wù)器，并根據(jù)客戶端提交的證書信息CRLDP說明去查找不同的CRLDP服務(wù)器。CRLDP配置步驟為：

創(chuàng)建一個(gè)CRLDPServer：需要填入CRLDPServerIP地址、端口，CRLDPServer的BaseDN。如果是信安系統(tǒng)，還需要選擇ReverseDN為Enable。

創(chuàng)建一個(gè)CRLDPConfiruation：需要填入CRLDP的更新間隔時(shí)間，通常為30分鐘，即1800秒，并選擇一個(gè)或多個(gè)CRLDPServer。

創(chuàng)建一個(gè)CRLDPProfile：選擇一個(gè)CRLDPConfiguration并配置一個(gè)authrule，通常情況下均采用系統(tǒng)默認(rèn)值。

將CRLDPprofile與VS關(guān)聯(lián)：在VS配置的authenticationprofile中選擇剛才創(chuàng)建的CRLDPProfile。在配置CRLDP完成后，BIGIP接收到客戶端證書后，將根據(jù)證書中的CRLDP信息查找相應(yīng)的CRLDP服務(wù)器，并比較客戶的Subject是否存在于吊銷列表中。如果在吊銷列表中，則直接中斷客戶端連接。如果有特殊需求，也可以通過配置將未通過驗(yàn)證的客戶請求重定向到指定的錯(cuò)誤頁面上。

5.4

ACL訪問控制

在BIGIP中，可通過靈活的Rules來實(shí)現(xiàn)用戶的訪問控制，通常訪問控制可分為兩種模式：

允許指定的URI訪問允許，關(guān)閉其他的所有URI訪問

關(guān)閉指定的URI訪問允許，開放其他所有的URI訪問

典型的Rules如下：if{$the_uristarts_with"/common"or$the_uristarts_with"/AdditionalCode"}{

return

}

if{$the_uristarts_with"/xxx.html"or$the_uristarts_with"/eb"}{

HTTP::redirect"8/err.html"

}

5.5

證書內(nèi)容添加到HTTPHeader

在實(shí)際應(yīng)用中，通常需要將證書中的一些字段如subject，ExpireDate，IssueDate等信息插入到HTTPheader中，傳遞給后臺的服務(wù)器，以便于服務(wù)器對用戶進(jìn)行識別。

在BIGIP中，可以將證書中的任何字段添加到HTTPHeader并傳遞到后臺服務(wù)器。添加方法需要通過rules進(jìn)行。Rules實(shí)例如下：whenCLIENTSSL_CLIENTCERT{

sessionaddssl[SSL::sessionid][SSL::cert0]

}whenHTTP_REQUEST{

setid[SSL::sessionid]

setcert[sessionlookupssl$id]

HTTP::headerinsertsubject[X509::subject$cert]

HTTP::headerinsertnot_valid_before[X509::not_valid_before$cert]

HTTP::headerinsertnot_valid_after[X509::not_valid_after$cert]

}該Rule運(yùn)行后，在服務(wù)器端收到的HTTP請求如下：GET/HTTP/1.1

Accept:*/*

Accept-Language:zh-cn

Accept-Encoding:gzip,deflate

User-Agent:Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)

Host:7

Connection:Keep-Alive

subject:/CN=04350140n/OU=NET_CONN/O=F5/C=CN

not_valid_before:Feb2305:43:472005GMT

not_valid_after:Feb2305:43:472007GMT參考BIGIPreferenceGuide，我們可以添加更多的內(nèi)容到HTTPHeader中。

5.6

指定出錯(cuò)頁面處理

對于出錯(cuò)頁面的處理有兩種方式

直接由HTTP::response處理。

Rule如下：whenHTTP_REQUEST{

HTTP::respond200content"<html><head><title>ApologyPage</title></head><body>抱歉，您訪問的頁面未經(jīng)授權(quán)。.<p></body></html>"

}

通過HTTPredirect實(shí)現(xiàn)：Rule如下：

whenHTTP_REQUEST{

HTTP::redirect8/err.html

}

5.7

同VS多CA支持

在一些系統(tǒng)中，由于歷史原因，可能會(huì)需求同一個(gè)VS支持兩套或多套CA系統(tǒng)。

服務(wù)器證書處理

在任何情況下，針對一個(gè)VS，服務(wù)器證書只能有一個(gè)。

服務(wù)器中間證書處理

由于服務(wù)器證書只有一個(gè)，所以服務(wù)器中間證書也只能有一個(gè)，將相應(yīng)的服務(wù)器中間證書配置到Chain即可。

客戶端證書根證處理

對客戶端證書的根證書，則需要將多個(gè)CA的根證書包括中間證書，全部Boundle到一個(gè)CABoundle中。并添加在TrustedAuthorities中。

客戶端彈出證書選擇框處理

客戶端彈出證書選擇框是由AdvertaiseCertificate配置選項(xiàng)所決定，在此應(yīng)當(dāng)和TrustedAutorities選擇同樣的CABoundle。

CRLDP的處理

配置多個(gè)CRLDPServer，添加到同一個(gè)CRLDPConfiguration中，BIGIP可以根據(jù)客戶端證書提供的CRLDistributionPoint自動(dòng)選擇相應(yīng)的CRLDPServer來進(jìn)行驗(yàn)證。5.8

透明SSL處理

在透明SSL模式下，需要通配符證書支持，比如*.，則所有和后綴的域名，均用此服務(wù)器證書可以驗(yàn)證通過。

在透明SSL模式下，BIGIP需進(jìn)行以下配置：

1、

導(dǎo)入通配符證書

以下是一個(gè)標(biāo)準(zhǔn)的通配符證書：