F5BIGIPSSL加速全攻略.docx

《F5BIGIPSSL加速全攻略.docx》由会员分享，可在线阅读，更多相关《F5BIGIPSSL加速全攻略.docx（27页珍藏版）》请在课桌文档上搜索。

1、F5BIGIP-1.TMSS1.应用加速技术白皮书2007-10-0216:50:59作者：Netoo*;F5Jtetwrorks浏览次发；13文字大小；(AJ【中】【小】简介，FSB1.C1.P-1.n1.S$1.应用加速技术白皮书1SS1.加速原理1.1SS1.u要介绍SS1.是被谀计用来保证信息平安的一个惨仪.它依较于可*的TB林/来传珀数据，它的构点之一是独立于上层的应用层砂族(如：HnT.关健字1SS1.出火F5BIGIPISS1.加速原理I.1SS1.皆要介绍SS1.是被设计用来保证信息平安的一个林议，它依籁于可维的TCPifr议来传输数据.它的特点之一是独立于上层的应用层协议(如

2、：HTTP,等)，这些应用层冰议可以透明使地用SS1.悔议.SS1.苏汉可以林育一个对称加密算法和会话密钥.同时可以在通信之前认证效劳器的合法性。SS1.快或提供了一种“管道式平安”，它具有三个捋征：管道是保密的，保密性是递it使用加密技术来保证的，在逋过一个简单的握手过程之后获得一个共同的密机，作为对称加冬算法的密钥.首道是认证过的，效劳器端总是需要杷自己的证书里交给名户财.以便客户端对效劳器进行认证.效劳器可以选择是否需要客户端递交证书.管道是可教的，消息的传输包含了消息完整性检查。SS1.协议实际上由西个协议构成，位于下面的一层为SS1.记录协议(SS1.RecordProtoco1.)

3、,其上为SS1.控制协议(SS1.COntrO1.Protoco1.s),SS1.记录费议用于封装上层发送和接收的所有数据，当然包括SS1.控制冰议的ftJ8,SS1.控制费双包含：SS1.握手快议(SS1.1.IandShakCProtoco1.)SS1.宝钢交换协议(SS1.ChangeCiphersSpecification)SS1.报警协议(SS1.A1.ertProtoco1.)SS1.的握手过程是M立SS1.的主要加密和平安参数的过程，它是SS1.的控制协议执行的控制功能.握手过程表达在浏览器使用HTTPS访问WEB效劳器时.包活以下步骤：1浏览器向平安WEB效劳器发出一个HTTp

4、S的请求，比方：.2该WEB效劳器将它的证书送交给浏览器的SS1.模块。3浏览器检受效劳器递交的证书的有效性，比方有效日期和证书的蛰名等.如果该证书不是楼一个浏览器巳投信任的发证结为(CA)笫发的证书,浏览器将洋出一个对话框来提示用户是否信任该WEB站点证书.如果用户选择不信任该注书.谢究器会选择囱动中止该连接。I浏览6将把从WEB站点证书里取得的咕点名将和浏览错的UR1.里的域名相对照，如果相符，浏览器将认为站点为真正的站点。5浏览器将自己支杆的一系列算法发送给效劳器.6如果效劳母希夏客户端递交证书，浏览港将把自己的证书发送给效劳器，效劳器检查送交的迂书，并且检杳该证书是否为自己巴是信任的发

5、证机构(CA)发放的江书。如果不是.效劳器符自动中止该次埃接。7效劳器帮选择自己和客户端共同支持的加密算法，然后发送给客户转.8 浏览器产生一个会话击钥.然后把该第钥通过效劳器的公钥加密后传给效劳器。9 效劳器接收到该加过密的会话宝钢后用自己的私钥解密,得到会话冬制的明文。IO客户端和效劳器使用刚刚办薪的会话帝制对应用层的翁:据进行加解密，对传输的数抠进行平安保护.典量的SS1.应用部署如下:呻JtMrT1.W刚加*阳1.2 B1.GIPSS1.加速在SS1.处理过程中，所有的传输内容均采用加密算法处理.其中最重要的两个局部为SS1.握手时交换秘斩的非对称加密和数据传输时的对称.加雷。在现有的

6、系统中.通常非对成加密采用1024位的密钥进行加解密,因此对效劳器的CPU占用率非常高。在一台最新型号的双Xeon效劳器上，大约每秒钟400次非对称加解密就能导致CPU占用率100%.同时对称加密通常采用128位,殿高256位加密的加解密也会导致效劳赛CPU占用率居高不下，同样的效劳帮SS1.jft量大为能到达150Mbpso因此当我们在部署SS1.应用时,必须考虑到以下参数：TPS：TransectionPerSecond,也就是每秒钟完成的手对称加解密次数Bu1.k：SS1.对称加解密的吞吐能力,逋常以MhPS未迸行衡量，当SS1.的客户朗压力超it40OTPS时，单台效劳器就很难处理请求

7、了.因比，必须采用SS1.扣i设备来进行处理.B1GIP-1.TM/ACC系列可从录低2000TPS到61000TPS实现全硬件处理SS1.非对称加密和对称加密流量,其实现的结构如下:HTTPS作废证书验证CR1.DPServerHTTPBIGIP服务翳群组OCSPServerJJ证书发放，更新作改证书列表CAServer所有的SS1.流均在B1.GIP上终结,B1.GIP与效劳器之间可采用HrrP或者翦加落的SS1.进行逋讯.这样,就极大的减小了效劳罂埼对HTTPS处理的压力，可将效劳器的处理能力释放出来，更加专注的处理业务建辑.在B1.G1.P可处理单向SS1.连接,双向SS1.i1.接。

8、并且可同时处理多种类型和多个应用的SS1.加解密处理.采用B1.GIP实现SS1.加速的性能如下表:version9.0.4orgreaterBIG-IP1500v9BIG-IP3400v9BIGMP6400v9BIGMP6800v91.ayer4RequestsZSec60.000110.000220.000220.0001.ayer7RequestsZSec22.00050.00075.000110.000MaxThroughput500Mbs1Gbs1.7Gbs3.5GbsMaxCone.Connections4Mi1.1.ion4Mi1.1.ion8Mi1.1.ion8Mi1.1.io

9、nMaxSS1.TPS2.1005.10015.10020.100MaxSS1.Bu1.k500Mbs1Gbs2Gbs2GbsMaxSS1.CC100,000200,000500.000500.000MaxCompression100Mbs500Mbs2Gbs2Gbs在B1.GIP新的硬件平台B1.GIP8400和880Q上,SS1.加速的处理能力正会有成倍的提高.由于采用了独立的平安NP硬件加速SS1.流量，根本上对于SS1.的流量可实现零CPU占用率.因此，当采用内置模式时，SS1.加解髻动作根本不会影晌到负莫均南的处理能力.1.3 B1.G1.PSS1.加速产品系列产品型号配置功能BIG

10、IP3,100-ACC8个10/100/1000M电口，2个可选光纤接口自带500OTPSSS1.加速1.icense,带宽控制，50OMbPSHrrp压缩，内存CaCheB1.GIP1500-1.7M4个10/100/100OM电口,2个可选光纤接口臼等100TPSSS1.加速1.iCCnSC.效劳器负践均衙,最大支持2000TPS,500MbpsSS1.Bu1kBIGIP3100-1.118个10/100/100OM电口.2个可选光纤接口百号100TPSSS1.加速1.icense,效劳器负我均街，最大支持5000TPS,IGbpsSS1.Bu1.kBIGIP6400-1.TM16个10/

11、100/】OoOV电口.4个可选光纤接口g100TPSSS1.1.icense.效劳器负投均街.最大支持15OOOTPS,2GbpsSS1.Bu1.kB1.GIP6800-1.n1.6个10/100/10OOi(电口.4个可选光纤接口自带100TPSSS1.加速1.iCCnSc,效劳器负载均衡,最大支抖20I(KnPS,2GbpsSS1.Bu1.kB1.GIP8400-1JM12个10/100/100OM光/电口，2个可选IOG光纤接口自带100TPSSS1.1.icense,效劳器鱼能均衡，最大支持22000TpS,2.5GbpsSSI.Bu1.k除B1.G1.P3400-ACC之外，其他的

12、产品系列均可根据客户需求增加SS1.处理能力和选配其他功能模块，包括HrrP压境.内存CaChc.带宽控制、IPV6等.2主要实现功能2.1核心功能客户机到BIG1.P珀到珀加密通道B1.GIP采用标准的SS1.加密通道侍议.可以和标准的浏览器配合，支持SS1./T1.S各版本的济议标准,在客户埠和B1.G1.P之间建立平安的SS1.Zr1.S加密通道。保证在通道内传检的HTTP请求的平安性,实现时应用平安的完整保护.证书认证劝健在B1.G1.p中可导入X5O9证书,可实现单向认证、双向认证.BIGIp可以提供应客户珀囱身的证书以供客户潴认证.也可以要求客户埼提交证书进行险证.琰保SS1.交易

13、的完整性和不可蚊棱性.效劳器SS1.传输通常情况下，客户端与B1.G1.P采用SS1.芝接.B1.GIP与后台效劳器采用HnPiI按。在某些平安要求较诲的场合下，需要BKnP与后台效劳法也采用HTTPS加密传输，以保证数据传输的全路径平安加密传输。B1.G1.P可支持与后台效劳器多种加密算诙的连接方式。资源访问控制在InGIP中可对客户期可访问资深和不可访何资源进行灵活的定义访问权限控制.可通过案户端是否有证书.COOkie,访问的UR1.答迸行判断,然后盾定用户是否有对谈,源的访问权展。将不平安和越权访问直接进行控制.证书信息遗传由于信息平安的完整性要求，当效劳器端在收到用户请求时,需要对客

14、户端迸行再次确认。以瑜认用户是通过平安网关访问。B1.GIP可以将客户婚迁书进行解析,将效劳器所需要的所有信息以HTTPUR1.叁数或者HTTPHeadcr等方式传盘蛤后台效劳器，以提供效劳器二次认证的信息。多应用系统支持在B1.G1.P可以支朴不杀数量的应用系统，并且可以同时支持域向、双向认证方式.便于SS1.加解密的集中控制.同时，B1.G1.P还可以同时支拎指UTTPS应用如HTTP、SMTP.POP3.DNS等应用的集葬方式.提供用户最大的灵活性和平安性。完善的日志籍出在B1.G1.P上可提供多种类型的日志输出：用户访问日志：可以记录用户的所有访问HTTP请求,并将其存放在BIGIP或

15、者远端SySIog效劳界上.错误信息日志：用户未援交证书、提交证书过期或巴嫩消等,均将被BIGIP记录在日志中.以提供审计查询。管理员操作日志：将管理员的所有操作均记荥下来，以提供审计查询或系统配置回溯。系统日志：B1.GIP自身的系统运行状态,后潴效劳器的DoWMUP状态等.平安加密毁别控制BIG1.P可支挥以下加密协议：SS12T1.Sv1.SGCZftfRFC2246中描述的所有标准侍议扩彘和密码AES（在RFC3268中进行了指逑）从现有的128位加密方式一直到RES256位的扣定算法.BIGIP均可提供全硬件加速支持用户自定义功能BIGIP内置有iRu1.es可编程控制语言.具有50

16、多个事件、200多个西数,允许用户就流量进行任慝受理。典型的诂如客户满三.次握手完戌、SS1.握手、客户端证书提交、SS1.握手克成等BIG1.P均有对应的事件处理.并且丰富的函数和垃程也可以对数抠迸行灵活处理，比方查找.比对、修改等.然后可以根据查找比对的结果作出相应的处理。2.2 附加功能效劳器负我均衡和健康检查考虑到后台效劳器所承受的压力和冗余性.BIGIP可以在完成SS1.加解密的同聆,对后台效劳器进行负载均衡.同时也查效劳居的真实可用性.以确保交易的不间断性。效劳器慢启动和停机维护当后台右多台应用效劳器，新节点参加或者恢复时，BIGIP可以通过慢目动方式来保证效劳器的压力逐步增,以防

17、止新效劳器压力之我,当效劳信希要停机维护时，BIGIP可以允许当前的用户连接不中断，而新的清求分配到其他效劳器上。保证当前用户访问的不中断，这样.大大减小了维护的压力。应用兼容性BIG1.P可与多种应用系统迸行出合,具有极高的兼容性。现有的系统包括IIS.Apache.TOmCajeb1.ogic、WebSphere等系统BIGIP都可以实现无残的配合.多结捋支持B1.GIP可支持负我均衡内置SS1.加速方式以实现应用的统一管理.简羊维护。也可以支持SS1.加速外挂方式以实现系统良好的扩充性和高性能.灵活的CR1.验证机制BIGIP可支持3种方式的CR1.（用户巅消列表）检证文件方式：将CR1

18、.以文件方式加我到B1.G1.P内存中。OCSP：通过OCSP认证网美进行客户端证书认证.CR1.DP:4itCR1.DistributingPoint去读取U）AP或者HTTP效劳器上的CR1.列表。透明SS1.模式支持在透明SS1.加速模式中,客户婚通过域名HHPS支接访问后台的WEB效劳器.在流量通过BIGIP时.BIGIP截荻HrrPS流量，并对其进行密密,然后将请求发送到后端效劳器的HrrP端口。在效劳器处理完成后，将页面内容返回拾B1.GIP,由B1.G1.P进行加击后返回给CIien1.端.这样对于客户懦来说根本感觉不到B1.G1.P的存在。客户端IP透传B1.GIP可以不改变客

19、户端源地址直接将请求发送到效劳器上,以提供效劳器日志和审计裔要.也可以将客户潴源地址插入到IrnPHoader中提供应后台的效劳器进行处理。多CA支持在B1.GIP上的同一个虚姒效劳器中,可以支持多个CA所颁发的客户端证书认证、CR1.访问控制郛客户娓证书选算.多CA支持通常用于用户在不改变原有系统的情况下，叁加新的CR认证体系，而不让原有的用户再觉到任何改变.实现系统的透明迁移.应用优化在B1.G1.P中拥有许多专利技术的应用优化功能，包括TCPEXPress、HTTP压缩.HTTP缓存.访同城接聚合等。一方面提高了用户的响应速度，另一方而成小了效劳器端的压力.同时，HTTP压缩等功能迁减小

20、了带宽的占用，直接为企业减小了帝支租借费用。带宽控制B1.GIP灵活的七层带宽控制模块.可灵活的根据用户的特征、访问的应用等进行应用的优先级处理,提证关键业务的带宽使用.2.3 产品特性专用硬件平台提供高性能SS1.加速BKnP内置嬴速平安NP硬件处理芯片.可完全支持SS1.握手时的非对朝:加解帝左SS1.筠:据传输时的对环加解官.实现CPU的零占用率.透咫和兼容性BIGIP默认工作在透明模式.在效劳器端接收的HTTp请求看上去全部来源于真实的客户端.BIGIP极奇的兼容性.保证了和后台的多种业务系统对接时的易于部署。易用性B1.GIP具备iContro1.二次开发接口.用户可灵活实现B1.G

21、Ip上数据的采集和设备控制。5?洁的配置界面和对象式的ProfiIe定义也使管理变得轻松和简隼.商平安性强大的硬件平台和高效的软件设计，保证在BIG1.P后台的效劳器防止DDOS攻击.ASM模块的参加进一步保证了用户的系统免受各片针对HrrP应用的攻击手段.高可扩展性由于负伐均衡和SS1.加速功能的合二为一.B1.G1.P可以进行多种组合方式，倏保后台效劳的高可扩展性和自身的高可扩凝性。高可拿性完善的负较均衡算法.效劳据健康检查以及自身的高可用性没计，都充分保证了系统的高可靠性.3 BIG1.pSS1.加速典型部署结构3.1 内置SS1.加速的结料：如留：IrnPS流量到达B1.G1.P上的V

22、S.由VS处理之后转换成HTTP流量直接发往效劳器.效劳器处理完成后返回给BIG1.P,怵后由B1.G1.P加密后返回给用户。3.2 外挂SS1.加速器的结为：通常情况下，考由到系统的可护展位，可采用独立的设备分别实现效劳器的负岐均衡和SS1.加速,同时负责效劳器负技均衡的B1.G1.p1.ni也实现了SS1.加速用BIG1.PI.TM的负段均衡。建议的系统结为图如下：i1.证书发放.更新作废证书列表CAServer在外挂方式下，通禽加速器直接迎接在B1.G1.P上，这样可以节省核心交换机的满口，减少数据包的往返传输.垠据实际情况的不同,也可将加速器直接连接在主干交换机上。但无论如何连接，实际

23、的蚊据流程如下：上下的两台B1.C1.P1.TM实际力同一台设备。采月外挂方式下，HrrPS流量首先到达实现负城均街功能的B1.GIP1.TM.然后由BIG1.P1.TM分正到多台用于SS1.tP速的ACC3400或BIGIP1.TM上,在SS1.加速器处理完成后,将HTTP流量返回到负责负我均衡的B1.GIP1.TM,并由B1.GIP1.TM发往后端的效劳器.再后时效劳器处理处理完成后原0,4 SS1.的认证模式5 .1单向认证模式在来用单向认证时，主要是客户研验证效劳器癌是否合法.在速立SS1.握手的时候.效劳器将其证书传送给客户提专行验证。客户端主要险证有三个方面：1 .效劳器证书是否在

24、有效时间内即效劳器迂书的有效时间与当前时间相比较,如果日期.则认为该证书巳始失效。2 .效劳器证书中的域名是否与用户访何的域名一致即客户端访问的域名,如在浏览器中熄入：,则访问的域名为。效劳器的证书中的域名必须与此域名一致。3 .效劳器证书是否由浏览器认可的根证发放在主流的浏览赛软件包括IE和MoZiIa的板水中，均已经内置了全球主流的CA系统的根证书,用户也可以自行安袋可信任的根证书.比方（TCA、信安以及各地CA中心的自建票统的根证书.浏览器将使用内置的根证书对效劳器返回的效劳器证书进行航证.如果聆迂全部通过，则SS1.握手成功，浏览器杵直搔发送HTTP请求到效劳器请求内容.如果任何一项没

25、有通过，浏览区则会弹出错误提示，由用户选择是否雒续进行。该提示如下：其中,黄色带惊叹号的标志为殓证失敢.嫁色标志为脸证成功.单向认迂的流程出下:ServerC1.ientBIGIPTCP三次握手CIientHe1.1.oServerHe1.1.oServerCertificate虱握手完成HTTPRequestTCP三次握手HTTPRequestServerResponse4.2双向认证成式在双句认证梗武下,除客户端验证效劳器端是否合法外.效劳器端也需要做证客户提是否为合法用户。效劳器淤甯要安装籁发客户端证书的CA的根i书和审间证书，春求客户提报交客户婚证书,并通过巳好安装的根证书和中间迂书对

26、客户端证书迸行逐坡验证.以错定客户端是否为合法用户.由客户蟠连接一个双向认证模式的VS时，除了客户端就证效劳氏痛是否平安外，还需要进行以下步赛：1.客户端源出证书送择框，该证书选择框内列出效劳器端.也就是B1.G1.P上所支持的CA所发布的证书.2. 客户端选择证书然后提交。3. B1.GIP验证客户端找交的证书是否由所信任的CA所发布。4. 如果配置了证书撤消列表.B1.CIP将根据客户堵迁书中提供的CR1.发布点，验证客户墙提交的证书是否已羟被作废。如果作废成老证书巴廷过期.则B1.GIP将拒绝该用户登录.双向认证的流程如下:C1.ientBIGIPServerB!TCP=次握手.!C1.

27、ientHe1.1.o,ServerHe1.1.o一JServerCertificateIC1.ientCertificateISS1.握手完成:,HTTPRequest,TCP三次握手HTTPRequestServerResponse；ServerResponse现在国内的主流CA系统为CFCA和信安的证书系统。下面就针对这两种证书体系进行分别介绍.4. 2.ICFCA系统CFCA为银行业的官方证书机构，在圉内有较多的用户.CFCA的证书系统中，分为EntrUStCA和新的国产CA两个系统.其中EntrUStCA为3级结构，其结构如下:CFCA级证书体制国产CA为两级结构,结构如T：CFCA

28、两级证书体制在CFCAC1.ient证书进行验证的时候.B1.GIp需要进行多级认证.B1.GIP现支持的最大多级认辽深度为9级。以EntrUStCA三级证书为例，其验证流程如下：验证CIientCer1.ifiCate是否由PCA认可险证PCA是否由OCR认可验证RCA是否是自签发证书并存放在BIGIP的可信任证书列表(TrustedAuthorities)中。如果三圾认迂均通过，则险证该客户谛方合法客户.4.2.2信安系统信安的系统为单级证书体票，在各大银行通常是自建CA.所以通常情况下根证书均为粮行特有.在配置时甯要向客户配合提供根证书.在配置信安系统的时候，只帝要将提供的根证书配置为T

29、rUStedAUIhoritieS即可.注意根证书必须为PEU格式，经常可能能拿到手的证书为I)ER格式.5根本功能及配置5. I证书的导入5.1 .1效劳器证书的生成和导入如果由BIG1.P来生成效劳器证书需要通过以下步歌。选择1.OCa1.Traffic-)SS1.Certificates-)Create注意ComnonNamC一定要设置为准备用来使用的垓名。点击FiniSh,埃:点击DOWn1.oi1.dXinanSerVer.csr到本地硬卷，然后把CSr文件提交给CA,就可以得到相应的证书了.完成后，在SS1.CeritifiCateS的页面中能看到一个只有key的条目：Ccnmon

30、Wwte04pretonWnJn.JrvtrQmC*rwwIwrJetiConJCEncMeAKey10103102FSrwtwortJun3.201$S.CtftCcftftC4teAKe10101S2102f5juyfAn3.2016ramC4fW8FIocerosIkxattMMr)tfyCoMn7忆2016CA.StnvCtftf1.CM*KyWWWtStobcnCfcATKTeAMrr24.2WOCAJhw1.C1C4teBCARCAS4.2O22CFCAjChMnCeSS1.Certificates-Import选择导入的工程1.oca1.TrMcSS1.CrtfTateImpwt

31、SS1.Cc1tfctsandBteyv通常先导入迁书:在导入迁书成功后,再点击导入的证书怵后导入相应的key文件.5.1.2根证及中间证书的导入对于单级迁书模式，将PEM格式的根证直接导入即可:对于多级迁书模式，需要将在整个链上的多个证书进行BOUmnc。BOUnd1.e的方式为将多个证书触劭拷贝到一起,然后全部导入：BEGINCERTIFICATEMIICv1.)CCAiWgAwIBAgIEITx1qzANBgkqhkiG9三0BAW下ADAgMQSwCQYDVQwEWJDTJERM18GA1.1.!EChMIQOZDQSBSQOEui1.hcMII)IwNjOMI)czOTIwWhcNM

32、jINjAOMDguOT1.WwjAgMQsw1.X1.YDVQQGEwJDTjERMASGA1IEChM1.QOZDQSBSQOEWgZ8w1.)QYJKoZ1hvcNQEBBQAI)gY0AMIGJAoGBA1.jj9EbU1Rz6rj4a-12KpSB+j1.,qoHnkjmr3S69IMAicz9r6ZfFat1.SvjJAG4XJB69ejGczrP2Acp3JVyH3jDMXSa4EfEfEro111.I1.aWyjff1.Cs78oJMjGyiZT5CJ14gH6o9rVYMEr2PJH6a7SJKJPBiQzNh6h97gynIyJSCIiARMB1WGjggBBMIH+MBE

33、GCU-CGSAGGE1BAqQEAWIABzBCBgNVHR8E0zA5MDgNiIAZPDBr1.zE1.MAkGAIUEBhYC(KMXETAPBgNYBRoTcENGQoEgUkNBMQOuCwYDVQQDEvRIXJkwxMCeGAIUdEAQkMCKADz1*DINjAOMDczOTIwioEPMjAyMjA2MDQapzyKsKOIIQbrC5xT1.cE17n1.tZbJN44RbcevYcdAt3Sy0Aao0tG1.jBQFI0TFdMwHr8=ENDCERTIFICATEBEGINCERTIFICATEMnCCZCCACSHAW1BAkIEITyMXjANBRkqhkiG

34、%OBAQUFADAgMQSMQYDVQQGEUJDTjERWASGA1UEChHIQOZDQSBSQoEMhCNMDQwODEirMDgzNjM1.JIhcXMTQwNzI1.M1.YuMDAWWjAkMQsWOQYDVQQGEWJPTjEVMRMGAIUEehMMQoZDQSBURvNUIENBM1.GnIAoGCSqGSIbSDQEBAQ1.AA1.GNADCBiQKBQDYrs5OM7hq8yO1.zFjfN3UPQzGiBg1.k1.inPqJcSx7oRXey1.SWp1.1.1.1.thcfp9Gn7uXmtN1.6athr91YXzrB3Rcp53U3zqScGE9h2ktF(

35、J3SNdZP6cVSQ+27pAVWRUC+F6pmUsno+jd1.mftYjhKRV8yvCRpSV6HDzh1.K83xbkoCfiQIDQBo4G9MIG6MEIGA1.UdH*Q7MDk*N6IoDOkMTAvMQswCQYDVQQGEwJDTjERMASGA1UEChM1.QoZr)QSBSQoEXDTA1.BgNYBAKrBENSTDEWCWYDVRoPBAQDAEGMB8GA1.W1.wQYXBaAFACaNPJRVMUYXRuc(iEG3scBcBu8MB0GA1UdDxQWBBRGctw1.cp8CT1WDtYD5C9vpk7P0RTAHBgNVHRMIBTDQHiUGC

36、SqGS1b2fQd1.UQMMAOhBFYZ1.jADAgSQMAOGCSfIGSIb3I)QIIWAA1GB11U6910Y1.K+ayEvojzBHzozMfOaOaQWaEbii1+RJQ81VwWIIZOeaRTcJOxyiPoQ51)Zqh1.usXavFPX4Jm1.3H5PCnV5tF7tSO7vEghs8112IXxrOZCpK11CJVevN(IV9x09cD629NVJGf683raMx39Ft4IIQFiI1.T+ExbnSAWvYemPyOWENDCERTIFICATE导入后,BIGIP会自动识别其为一个BoimdIeCertificate：0rHCtfttrts:C

37、omcnNmOfr*CjaoniXn.SrwCBc&Ktywwwtfrr999cnAeCa10.2023XA.MO1C*AOCCAAOC“10.2023口GqJoetCwtnotcAKCAAKJ1.1口Cennctfe8yuwi19.201*:但人CwUCTrOtActfeftztfejj%a4.M323.X64203037同时，自动识别出口。UndIe中的各级证书.在处理多级迂书和多CA时，通常会用到BoundIe证书方式.5.2 CIientSS1.ProfiIe的配置C1.ientSS1.ProfiI。的配置,是应用SS1.加速功能中最更要的一个环节。5.3 .1单向认证方式单向认迂模式

38、下，霄耍配置的内容较少:Certificate：效劳器证书Key：效劳JS证书讨应的KeyChain:如果效劳器证书为多级证书体系，则将中间证书添加在这里。如果是单级证书体系,则不港要任何配置.5.2.2双向认证力式在双向认迁模式下.则将要配置B1.G1.P验证CIietn证书的局部:在双向认证时,需要配置以下内容：TrustedCertificateAuthorities：客户端证书的根证书C1.ientCertificate：这里有两种模式可以选择ReqUire:客户船必须提交证书,通常都采用这种方式ReqUeSt：客户研可提交证书，也可不提交证书AdvertisedCertificate

39、Authorities：在客户端连接时，效劳器发送到客户提的信息,该信息笠在客户院洋出的证书选择列表中只包含选中的根证书所焕发的客户墙证书.配置时注意如果有中间证书，则一定要选挣根证书和中间i书的Bound1.ct5.3 CR1.DP配置在国内现有系统中,多采用CRu)P方式进行客户端撤消证书强证。B1.G1.P可正置多个CR1.DP效劳器.并根据客户潴提交的注书信息CR1.DP说明去登找不同的CR1.DP效劳器.CRU)P配置步骤为：创立一个CRu)PServer：需要填入CR1.DPServerIP地址、端口，CR1.DPSOrVer的BaseDN。如果是信安系统.迂移要选择ReVerSe

40、IW为Enab1.e。创立一个CR1.DPConfiruation:寺要埴入CR1.Dp的更新间隔时间，通用为30分钟,即1800秒.并选择一个或多个CR1.DPServer,创立一个CRU)PPrOfiIc：选择一个CR1.DPConfigUra【ion并配置一个auihru1.e.通畲情况下均采用系统默认值.#CR1.DPpro关联:在VS配置的authenticationprofiIe中选择刚刚创立的CR1.DPProfi1.e.在比黄CR1.DP完成后，B1.CIP接收到客户端证书后，将根据迂书中的CRU)P信息查找相应的CR1.DP效劳器，并比较客户的SUbjCC1.是否存在于撤消列

41、表中。如果在强消列表中,即直接中断客户端连接。如果有特殊需求,也可以通4配置将来通过驻证的客户请求重定向到指定的错误页面上.5.4 AC1.访问控制在B1.G1.P中.可通过灵活的RUICS来实现用户的访问控制.通常访同控制可分为的种模式：允许指定的UR1.访问允许，关闭其他的所有UR1.访问关闭指定的UR1.访问允许，开放其他所有的UR1.访问典型的Ru1.es如下：if(Stheuristartswith*ccxnmonorSthcuristartswith/AdditiOna1.COde”(return)ifStheuristartswith*xxx.htm1.or$theuristar

42、tswith,eb(HTTP：redirect5.5 证书内容添加到HTTPHeader在实际应用中.通常需要将i书中的一些字段如SUbjCCI.ExpireDate,IssueDaIe等信息插入到HTTPhCadCr中，传递给后台的效劳器，以便于效劳器对用户进行识别.在B1.G1.P中可以将证书中的任何字段涿加到HrrPHeader并传递到后台效劳器。添加方法需要通过HneS进行Ru1.es实例如下：whenC1.1.ENTSS1.K1.IENTCERTsessionaddSS1.SS1.：SeSSiOnidSS1.：ccrtO)whenII11PREQ1.iEST(setidSS1.：se

43、ssionidsetcertsession1.ookupss1.Sid；HTTP：headerinsertsubjectX509：subject$certHTTP：headerinsertnotva1.id_beforeX509：not_va1.id_beforeScertHTTP:headerinsertnotva1.idafterX509：notva1.idafter$cert)该RU1.e运行后，在效劳舞墙收到的HTTP请求如下:GET/HTTP/1.1Accept：/Accept-!.anguiige：Zh-CnAccept-Encoding:gzip.def1.ateUser-Age

44、nt：Nozi1.1.a/4.0(compatib1.e：MSIE6.0：WindowsKT5.0)Host：192.168.150.17Connection：Keep-A1.ivesubject：/6二04350MO“OU二NETC0NNO=F5C=CNnotva1.idbefore：Feb2305:43:472005GMrnot-va1.id-aftcr：Feb2305:43:472007GMT叁考BKnPreferenceGuide.我们可以添加更多的内容到HTrPHeBder中.5.6 指定出辂贯而处理对于出错页面的兼理有两种方式直接由HTTP：response於理.Ru1.e如下：whenIrnP_RE（MJEST（HTTP：respond200c