OA办公系统SSL加速案例-孟祥坤

OA系统SSL双向认证配置手册孟祥坤|DollarMeng北京华胜天成科技股份有限公司2008年10月30日北京项目概述国内某大型企事业单位希望总部和异地的分支机构、上下级部门等保持实时联系，创造数字化办公环境，使自己身处异地仍能了解和处理单位事务，塑造企业文化的良好平台；建立企业内部信息门户，消除信息混乱；实现无纸化办公，降低办公与企业运营成本，提升管理水平。基于以上原因，启动OA办公自动化系统项目，其中选择使用F5-LTM实施负载均衡和SSL双向认证，后台为weblogic9.2,双向认证CA为CPCA。证书配置2.1服务器端证书生成和导入2.1.1CSR文件生成点击左侧导航条中的LocalTrafficSSLCertificates，点击Creat，其中Commonname可以填写域名，比如或者写域名对应的IP地址。点击Finished，出现如下页面：Download，然后点击Finished。这样就生成了CSR文件，提交给CPCA就可以申请Certificate。同时可以看到web_certificate_xizhan2对应的key文件：2.1.2导入CSR对应的Certificate文件点击Import，将CPCA颁发的Certificate导入：2.2客户端根证书生成和导入客户端PEM格式的根证书有CPCA提供，包括RCA和SCA两级，我们需要将两级内容粘在一起，如下图：然后整体复制粘贴到下图中的方框中，最后点击Import即可。2.3证书生成以后确认经过以上两步，可以看到客户端和服务器端证书全部导入成功，如下图所示：网络配置3.1vlan配置点击左侧的导航条，进入NetworkVLANs 点击右侧Creat按钮，可以对vlan进行配置，结果如下：3.2selfIP配置在划分完Vlan后，即可对每个vlan进行IP地址的定义。方法如下： 点击左侧导航条中的Networks—>SelfIPs配置结果如下：3.3route配置点击左侧导航条中的Networks—>Routes，配置结果如下：负载均衡配置4.1monitor配置其具体作用是为后台weblogic应用做健康检查，判断流量如何分发。创建monitor的方法如下：点击左侧的Localtraffic–>monitor,根据实际需要，我们将健康检查的时间改成30S和91S：最后点击Finished完成。4.2pool配置Pool是组合起来接收和处理流量的一组设备，如Web服务器。BIGIP系统将客户机流量请求发送到Pool成员中的任一服务器上，而不是发送到客户机请求指定的目的地IP地址（即下面提到的VirtualServer地址）。当创建负载均衡Pool时，将服务器（称作Pool成员 ）分配到pool中，然后将pool与BIGIP系统中的VirtualServer相关联。 配置pool的方法如下：点击左侧导航条中的LocalTrafficVirtualServersPools点击右侧的Creat，按照下图配置，同时在Newmemgers中添加后台实际成员，点击Finished4.3profile配置4.3.1web_80_httpprofile其作用是和HTTPVS关联实现页面redirect，把流量全部导向HTTPSVS。然后点击右侧的Creat，设置参数如下：4.3.2web_httpprofile其作用是和HTTPSVS关联实现SSLoffload，包括必要的clientheader和redirect/rewrite信息。然后点击右侧的Creat，设置参数如下：4.3.3cookiepersistprofile定制cookiepersistprofile的如下：点击左侧导航条中的LocalTrafficProfiles：点击右侧的Creat，最后点击Finished即可。4.3.4clientSSLprofile这个部分很重要，定制profile包含了Certificate和key信息，卸载weblogicSSL流量。然后点击右侧的Creat，设置参数如下：4.3.5oneconnectprofile作用是优化F5和后台的连接。常见oneconnectprofile的方法如下：点击左侧导航条中的LocalTrafficProfiles：然后点击右侧的Creat，设置参数如下：4.4iRule配置4.4.1redirectrule创建iRule的方法如下：点击左侧导航条的LocalTraffic->iRulet:然后点击Creat，填入如下内容，最后点击Finished4.4.2SSLcertificaterule点击左侧导航条的LocalTraffic->iRulet:然后点击Creat，填入如下内容，最后点击Finished。4.5virtualserver配置4.5.1httpvirtualserverVirtualServer为BIGIP上对外提供服务的地址加上服务端口，每个VirtualServer后对应一个或者多个Pool。BIGIP将从每个VirtualServer接收到的流量分配到一个或多个Pool中，然后按照Pool重的负载均衡算法分配到一个或多个真实的服务器上。客户访问的时候，习惯使用默认HTTP访问，因此我们要配置80端口的virtualserver，然后让连接通过redirectrule实现重定向： 创建VirtualServer的方法如下： 点击左侧导航条中的LocalTrafficVirtualServers:按照下图的配置参数，完成web_80_vs的配置工作，并且关联redirectrule实现重定向。4.5.2httpsvirtualserver访问web_80_vs的流量都会被导向这个HTTPSvirtualserver实现SSL双向认证和负载均衡。 点击左侧导航条中的LocalTrafficVirtualServers:按照图示配置，注意关联相关的profile，以期实现预期的功能。当然，我们需要关联SSL证书透传Subject信息的iRules，实现后台weblogic的二次认证。至此，我们基本完成了所有的配置过程。下面进行测试。最后测试5.1测试client端导入测试证书将客户端证书放置本地并且双击，就可以根据提示导入证书。点击“下一步“，看到：点击“下一步“，输入对应的密码：然后点击“下一步”，点击“下一步”，然后点击“完成”，可以看到证书导入成功的提示消息。5.2测试效果然后在IE浏览器地址栏输入http://.03,就可以实现重定向至03，并且让选择客户端证书，选