總體思路
==================================================================================
https訪問的處理:
由於HTTPS應用到達F5的數據都是密文,F5只能看到網絡層的地址,4—7層的內容無法看到,所以F5也無法像http應用一樣將客戶端地址插入到X_forward_for字段;
目前HTTPS應用的加解密工作都是由服務器自身完成的,為了保證F5能夠看到4—7層的數據,需要將加解密工作交給F5來做:
1)根證書和KEY文件導入F5設備,F5代替服務器同用戶端建立SSL通道;
2)F5將加密數據解密后通過X_forward_for功能插入用戶端源IP
3)業務部門將服務器上的443端口更改為80端口即取消證書加解密工作
此過程在原有服務器上進行證書撤銷操作,會影響到應用中斷,建議重新搭建2台提供相同業務的80端口服務器;
4)F5設備上配置一個測試VS關聯新搭建的80服務器及SSL策略,驗證F5是否可以成功發布HTTPS業務、HTTPS業務插入源地址等功能。即新建測試的vip,訪問端口為443,關聯SSL加解密策略,后端關聯80的POOL。
VS中
===================================================================
為了使f5能夠獲取https后端的真實IP,必須要將ssl證書導入到f5,服務器上的證書沒辦法自解密。
導出apache形式的證書:
得到三個如下文件:
在f5中導入:
輸入Key Name,點擊“瀏覽”,選中文件,點擊“import”。
選擇重復導入certificate,名字都取一樣的:vip-adjyc-com即可。
一次選擇Key,文件后綴.key,兩次選擇Certificate,文件后綴為.crt
證書已經成功導入F5中。
引用證書。
默認的clientssl需要添加新證書,刪掉原來的default.crt
創建vs-443端口,關聯80的pool,http profile選擇http(x-forwarded-for),ssl profile client選擇vip-adjyc-com
通過以上操作,服務器證書已經成功導入到F5設備中,並且成功引用到VS中,可以正常使用了。
服務器上的https配置就可以刪除了。只需要f5的ssl即可。