Двойной активный WSA с балансировкой нагрузки F5 LTM.
-
Привет всем, Мы хотим настроить два устройства WSA Web Security Appliance за балансировщиком нагрузки F5 LTM. (См. приложение) Балансировщик нагрузки F5 не будет обрабатывать SSL-сертификат, поскольку он прослушивает порт 8080. Этот трафик будет отправлен на устройства WSA. Как нам обрабатывать SSL-проверку? Какие сертификаты следует использовать? Следует ли настроить один сертификат (с общим именем и двумя SAN для каждого имени устройства) и добавить этот сертификат к каждому WSA? Ваше мнение? Rockmaster
-
Я предполагаю, что вы используете явную переадресацию и вам необходимо сбалансировать нагрузку, а также обеспечить отказоустойчивость... Потому что, если один WSA может это сделать, вы можете использовать встроенные возможности отказоустойчивости. Если вы используете F5, сделайте его прозрачным, он не обрабатывает ничего, кроме того, какой WSA получает конкретный поток. Вам необходимо включить сохранение сеанса. WSA нуждаются в собственном сертификате... для этого мы выдаем промежуточный сертификат CA, подписанный нашим внутренним CA, потому что именно этим и занимается WSA... выдачей сертификатов для веб-сайтов, которые вы расшифровываете для внутреннего соединения, на лету.
-
Привет, Кен, Спасибо за информацию. Должен ли сертификат на каждом устройстве указывать на CN proxy.xyz.com и SAN, содержащие как PXY01, так и PXY02? С уважением Rockmaster
-
Насколько я знаю, нет... Имейте в виду, что на WSA может быть 3 сертификата... 1. Сертификат интерфейса управления, который является стандартным сертификатом веб-сервера и может иметь SAN в соответствии с требованиями. (мы используем один для управления на ESA, WSA, SMA и бета-версиях) 2. Сертификат прокси, используемый при использовании зашифрованных учетных данных, настроенный в разделе «Сеть/Аутентификация», когда вы устанавливаете флажок... IIRC должен соответствовать имени NetBios. 3. Сертификат HTTPS-прокси, который является сертификатом ПОДПИСИ, используемый для выдачи сертификатов для каждого веб-сайта, на котором вы выполняете дешифрование... WSA делает это на лету. Этот сертификат можно легко получить из двух мест: WSA может сгенерировать его, а затем вы развернете его на своих рабочих станциях в качестве доверенного корня, или из вашего собственного внутреннего ЦС, где вы выдаете новый «сертификат выдающего ЦС» и помещаете его на WSA (предположительно, ваши рабочие станции уже доверяют вашему корневому ЦС). Вы не можете просто купить веб-сертификат для этого. Надеюсь, это поможет! Кен
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти