在CSS上配置URL和标题重写
您以前学到过,没有后端加密,真实服务器会收到ClearText请求并以ClearText中的HTML页面响应发送(步骤6-8图11-1.)。但是,如果HTML页面包含对其他站点的嵌入式HTML引用,则需要确保这些链接以“https://”为前缀而不是“http://”。否则,您的浏览器可能会在访问安全站点时为您提供错误。
例如,你的HTML页面可能包括以下链接:
< A HREF = " http://cisco.com/support.html " > < / >的支持
服务< A HREF = " http://cisco.com/services.html " > < / >
要通知您的HTTP服务器当前清晰的文件请求来自CSS SSL模块(在步骤6)并且不是客户端请求中,您可以配置CSS SSL模块以将HTTP标头添加到HTTP请求。例如,您可以添加包括SSL会话信息的HTTP标头。要使CSS插入SSL会话信息HTTP标头请求它代理的请求,请使用以下代理列表模式命令,如示例11-2说明:
SSL-Server.数字http-header会话
然后,您可以配置HTTP服务器以识别这些标头,并在嵌入式链接中包含“https://”而不是“http://”的HTML页面。
笔记 -您还可以配置CSS以将客户端和服务器证书插入使用的HTTP标头client-cert和server-cert关键字的ssl服务器http头代理命令列表。
此外,如果您的服务器将HTTP 300系列重定向到客户端,则应将CSS配置为在“位置:”重新定向方法的“位置:”标题中重写“http://”引用,以“https://”使用Proxy List命令:
SSL-Server.数字urlrewrite.数字主机名[sslport.港口{clearport港口}]
此命令使您可以指定要在HTTP 300系列重定向中重写的特定URL,包括确切的URL或使用通配符。没有通配符的条目优先于通配符条目,前缀通配符条目优先于后缀通配符。例如,您可以将CSS配置为重写“* .cisco.com”(前缀通配符)和“http://www.cisco.*”(后缀通配符)的所有重定向到命令:
SSL-Server 1 UrlRewrite 1 * .cisco.com SSL-Server 1 URLREWRITE 1 http://www.cisco.*
您还可以使用标准SSL端口(即端口443)或非标准SSL端口重写非标准明文HTTP端口(即端口80以外的任何端口)。例如,下面的命令将重写“http://www.cisco.com:81”为“https://http://www.cisco.com”:
Ssl-server 1 urlrewrite 1 http://www.cisco.com clearport 81
以下命令将“http://www.cisco.com”改写为“https://http://www.cisco.com:444”:
Ssl-server 1 urlrewrite 1 http://www.cisco.com sslport 444
以下命令重写“http://www.cisco.com:81”到“https:// http://www.cisco.com:444”:
SSL-Server 1 URLREWRITE 1 http://www.cisco.com SSLPORT 444 Clearport 81
笔记 -CSM和CSS都不支持重写直接嵌入在HTML页面中的HTTP url。
使用SSL配置内容服务模块
您还可以为SSL终止配置CSM-S。与使用SSL模块的CSS一样,您可以将现有的密钥和服务器证书导入CSM-S子卡,或者从CA生成新的密钥和请求服务器证书。
笔记 -您还可以使用CSM使用单独的SSL服务模块(SSLM)配置SSL终止。SSLM的配置与CSM-S相同。有关SSLM的更多信息,请参阅Cisco.com上的产品文档。
在CSM上创建和导入密钥和证书
要在CSM-S子卡上生成私钥/公钥对,使用以下命令:
Crypto密钥生成RSA常规键标签密钥标签[可出口] [模量大小]
例如,加密密钥生成命令生成示例11-3中的输出以生成调用的密钥对mycontentkey.CSM-S。如果希望能够从SSL子卡导出私钥,以便将来在CSM-S之外使用,则可以使用可出口关键字。
由例子配置CSM生成RSA密钥对
ssl-card(配置)#加密密钥生成rsa通用密钥标签mycontentkey可导出键的名称将是:MyContentKey为通用键选择360到2048的键模数的大小。选择大于512的关键模量可能需要几分钟。模量中有多少位[512]:1024生成RSA密钥…(好)。
要输入组织的CSR的信息,必须创建一个信任点,例如示例11-4说明。
剩下的例子在CSM-S上配置信任点
Crypto Ca TrustPoint MyContent-TrustPoint RsakeyPair MyContentKey串口主题名称C = US,ST =加利福尼亚州,CN = http://www.cisco.com,OU =网络工程,o = Cisco Systems,Inc。注册URL TFTP://10.1.1.1/1/cericates.
要为密钥对生成CSR,请使用命令:
Crypto CA注册trustpoint-name
例如,示例11-5显示生成密钥对请求的命令输出mycontentkey.例11-3之前生成的。
例子把在CSM-S上创建CSR
ssl-card(配置)#Crypto CA注册MyContent-TrustPoint%开始证书注册..%证书中的主题名称为:CN = http://www.cisco.com,OU =网络工程,o = Cisco Systems,Inc.%证书中的完全限定域名将是:http://www.cisco.com%证书中的主题名称将是:http://www.cisco.com%证书中的序列号将是:B0FFF22E%在主题中包含IP地址名称?[否]:没有显示证书请求终端?[是/否]:是证书请求如下:MIctCMtmZONOY + ybEHl / mX0RdqXFnivLBgNVBAYTAlVTMRAwDgYDVQQIEwdHZW9y DQ kW6Pa6mbjeUV1wffn2dtbKsmz7DnK2BVbml2ZXJzaXR5IG9 yRPs36ywGwDK3 aWExNTAzBgNVBAsTLFVuaXZlcnNpdHkgQ29tcHV0aW5nIGFuZCBOZXR3b3JraW5n IFNlcnZpY2VzMRYwFAYDVQQDEw13d3ctcy51Z2EuZWR1MIGdMA0GCSqGSIb3DQEB AQUAA4GLADCBhwKBgQDh3yRPs36ywGwDK3ZS3qaOoNraOFHkSNTsielHUMHxV1 / G N1E43 / bifEQJUvSw / nrkOQf3Ync8O / 39lelUTJeP6QZkX9Hg1XtuSUov3ExzT53l vbctCMtmZONOY + ybEHl / mX0RdqXFnivLpXohr7dJ5A1qHfjww / SLW8J / 7UXj1QIB A6AAMA0GCSqGSIb3DQEBBAUAA4GBAIEu35zoGmODCcwwNrTqZk3JQAjyONJxjjtd UQ + QLQcckO4aghBpcqsgLckW6Pa6mbjeUV1wffn2dtbKsmz7DnK2fwnyaBtxXMvi CC4o9uvW11i5TjdorfOdRI1lR0FrNAzf + 3GQUl1S2a83wagvFjo12yUCukrxBgyU bXbmNuJpkdsjdkjfkdjfkdfjdkfjdkfjdkfj --End - 这一行不是证书请求的一部分--- Redisplay注册请求?[是/否]:没有
如前所述,要申请服务器证书,必须将CSR发送到您选择的公共CA(如Verisign),或发送到您自己的私有CA(如Microsoft certificate Services)。如果您使用公共CA,一旦您收到服务器证书,您可以使用TFTP将它发送到CSM-SCrypto CA Import.命令,作为示例11-6说明。CSM-S使用使用该CSM-S在示例11-4中先前指定的TFTP服务器连接注册网址命令。使用之前,请确保您的证书在有效的TFTP服务器上存在Crypto CA Import.命令。
或者,如果您使用私有CA,则可以使用私有CA指定其URL注册网址命令,和Crypto CA Import.命令将连接到私有CA以下载服务器证书。
例子11:6在CSM-S上导入服务器证书
ssl-card(配置)#Crypto ca导入mycontent信任点证书%证书中的完全限定域名将是:ssl-card.cisco.com从TFTP服务器检索证书?[是/否]:是的%请求检索证书排队ssl-proxy(config)#loading mycontent-trustpoint.crt从10.1.1.1(通过Ethernet0 / 0.172):![OK - 1608 BYTES] SSL-PROXY(CONFIG)#* 11月25 21:52:36.299:%Crypto-6-Certreet:从证书颁发机构的证书SSL-Proxy(Config)#^ z
笔记 -请确保使用加密ca认证命令。也使用注册网址命令,确保CA的证书驻留在指定的TFTP服务器上。如果您正在使用自己的私有CA,则加密ca认证命令将从私有CA加载CA证书。
另外,如果您有现有的私钥和证书,则可以将它们导入SSL子卡。例如,要导入现有的PKCS#12密钥,您需要先前使用外部PKI系统生成PKCS#12文件。回想一下第8章中提到的PKCS#12文件可以包含私钥和服务器证书链。
然后,要将现有的私钥和服务器证书链从PKCS#12文件导入到CSM-S中,可以使用以下命令:
Crypto CA Import.trustpoint_label.pkcs12 {SCP:|FTP:|NVRAM:|RCP:|TFTP:} [pkcs12_filename.]pass_phrase
笔记 -使用Caurpt Ca Import.命令导入PKCS#12证书时,会自动生成信任点配置,以便在SSL代理服务中使用。在本节的后面,您将了解如何在SSL子卡上配置代理服务。
终止CSM-S上的SSL
既然您在SSL子卡上有私钥和服务器证书,您可以将CSM-S配置为终止SSL连接。您可以在NAT-Mode中配置内容切换(即,Content Switch将在步骤2中从SSL子卡的IP地址目的地-NAT客户端的请求图11-1.)或在调度模式(即,内容开关将数据包直接将数据包路由到SSL子卡而不DNATICE)。如果在NAT-Mode中配置内容开关,请确保将SSL子卡配置为DNAT将数据包返回到虚拟服务器IP地址。示例11-7示出了如何根据网络拓扑结构配置CSM以在调度模式下终止SSL连接图11-2.对于本节中的示例,SSL子卡场处于桥接模式,实服务器场处于路由器模式,如下所示图11-2说明。
桥接模式下的SSL子卡调度模式CSM
例子11-7配置CSM以网桥模式终止SSL
接口VLAN 10说明***客户端VLAN IP地址10.1.10.2接口FastEthernet 2/1说明*** WEB01 SwitchPort VLAN 30接口FastEthernet 2/2说明*** WEB02 SwitchPort VLAN 30 IP路由10.1.30.0 255.255.255.0 10.1。10.1 IP路由10.1.99.0 2555.255.255.0 10.1.10.1模块CSM 5 VLAN 10客户端IP地址10.1.10.1 255.255.255.0网关10.1.10.2 VLAN 20服务器IP地址10.1.10.1 255.255.255.0 VLAN 30服务器IP地址10.1.30.1 2555.255.255.0 vlan 99 server ip address 10.1.99.1 255.255.255.0 serverfarm ssl-accel-farm no nat server no nat client real 10.1.10.10 local inservice serverfarm webfarm nat server no nat client real 10.1.30.10 inservice real 10.1.30.11 inservice serverfarm forward-route no nat server no nat client predictor forward vserver https-vip virtual 10.1.10.100 tcp https vlan 10 serverfarm ssl-accel-farm inservice vserver http-vip virtual 10.1.10.100 tcp www serverfarm webfarm persistent rebalance inservice vserver direct-web virtual 10.1.30.0 255.255.255.0 any serverfarm forward-route inservice vserver direct-ssl virtual 10.1.99.0 255.255.255.0 any serverfarm forward-route inservice
这里有一些注意事项,以帮助您理解示例11-7中的配置。
回想第10章,配置网桥模式要求给客户端VLAN 10和服务器VLAN 20接口相同的IP地址(在例11-7中为10.1.10.1)。
使用没有nat服务器命令以防止CSM将客户端请求DNATION客户端请求到SSL子卡(因此启用调度模式处理)。
Virtual Server“HTTP-VIP”为来自SSL子卡转发的Uncecryded流量的流量服务。
命令vlan 10在"https-vip"虚拟服务器配置中,表示虚拟服务器只能接收VLAN 10的流量。
你需要包括当地的将SSL子卡配置为服务器场中的真实服务器时关键字。此关键字指示Real Server是SSL子卡而不是外部真实服务器的CSM。
“直接-类型“虚拟服务器是必要的,以便能够直接连接到安全的路由器模式真实服务器以进行测试。您还需要向MSFC添加一个静态路由,指向路由器的子网的CSM客户端IP地址 -模式实体(例如,IP路由10.1.30.0 255.255.255.0 10.1.10.1例11-7)。
VLAN 99用于使用Telnet管理SSL子卡。
由于SSL设备保留了数据包的源IP地址作为客户端的IP地址,因此CSM-S必须使用特殊路由进行实际服务器返回流量。如果CSM-S使用普通路由,则ClearText Real Server返回数据包直接路由到客户端,绕过SSL子卡。因此,CSM-S通过在连接流程期间跟踪SSL子卡的第2层MAC地址,将后端真实服务器返回到SSL子卡。
例11-8给出了CSM-S终止时对应的SSL子卡配置。而对于CSM-S,您不必直接使用IP地址配置SSL模块,您必须使用IP地址和默认网关配置CSM-S子卡。SSL子卡是网络上的一个单独的TCP/IP主机,因此,它响应ARP请求。您还必须通过Telnet通过单独的命令行接口单独管理它。
例11 - 8为SSL终止配置SSL子卡