SSL Offloading Citrix Netscaler

Este post no viene a ser una receta a seguir sino una guia que se puede utilizar e ir cambiando configuración según las necesidades de quien lee el mismo.

SSL Offloading es una característica que nos permite eliminar la carga que nos conlleva realizar el proceso de encriptacion y decriptacion en el server http, este proceso sera realizado por el appliance con posee procesadores dedicados para tal funcion y asi poder aliviar la carga del procesador del servidor.

Existen diferentes tipos de configuracion del SSL Offloading, la que realizaremos en este post será la configuración simple con la creación de una autoridad certificadora (CA) en el mismo Netscaler que detallaremos a continuación:

SSL Offloading  simple

El flujo del trafico es de la siguiente  forma, el cliente se conecta via https hacia el virtual server y del virtual server hacia los servidores HTTP van en texto simple.

requisitos:

  1. Necesitamos contar con un servidor web para probar el uso del ssl offloading.
  2. Citrix Netscaler

Pasos:

1.Habilitar SSL Offloading

  1. Ingresar al appliance a traves de la interface web
  2. Ir a Configuration -> settings -> Configure basic features y alli hacer check en la opcion SSL Offloading (con esto no tendras que reiniciar el appliance)

2.Debemos tener creados los server de no ser así crearlos

3.Crear los Services

  1. Ir a Configuration -> SSL Offloading -> Services alli hacemos click en ADD, esto nos desplegara una ventana donde se deben llenar El nombre del Services, seleccionar el server hacia el cual se dirige el trafico colocar el tipo de tráfico (HTTP) y el número de puerto que será el por defecto (80)
  2. Realizar el paso anterior tantas veces como server tengamos para balancear.

4. Configuracion del virtual server basado en SSL

  1. Ir a Configuration -> SSL Offloading -> Virtual Server, allí haremos click en ADD lo que nos desplegara la ventana para la creacion del mismo, en la que llenaremos los siguientes campos: Name: Nombre del virtaul server, Protocol: protocolo a balancear (SSL), IP Address: Ip por la cual se publicará el servicio, Port: puerto port el cual escucha el servicio (443), en la pestaña services ubicada en la parte inferior seleccionaremos los recientemente creados.
  2. Al terminar esta configuracion verá el services Down pero eso es por la ausencia de certificado que resolveremos en pasos siguientes.

5. Crear la llave RSA (CA)

  1. Ir a Configuration -> SSL hacer click en Create RSA Key, allí se desplegará una ventana donde nos pedirá los datos Key filename: Aquí le colocaremos el nombre que queramos que tenga la llave, Key size: colocaremos la longitud de la llave.

6. Crear el Certificate Signing request (CSR) para (CA)

  1.   Ir a Configuration -> SSL hacer click en Create CSR, aquí llenaremos los campos de la siguiente forma, Request File Name: colocaremos el nombre del archivo donde se alojara el CSR, Key file name: colocaremos el nombre de la llave que creamos en el paso 5, adicionamente hay que llenar campos que corresponden a datos d la organizacion

7. Crear el certificado de la autoridad certificadora (CA)

  1. Ir a Configuration -> SSL hacer click en Create Certificate, se selecciona root en la seccion certificate type luego llenaremos los siguientes campos, Certificate File Name: se coloca el nombre que llevara el certificado, Certificate Request File Name: aqui colocamos elarchivo creado en el paso 6, Key File Name: aquí solocamos el archivo creado en el paso 5, Valid period: colocaremos el tiempo en que este certificado será valido y hacemos click en aceptar.

8. Instalar Certificado

  1. hacer click en Configuration -> SSL -> certificate luego hacer click en install, alli colocar el nombre que se le quiere dar al certificate-key par y seleccionar los archivos anteriormente creados en los campos donde nos solicitan el certificado y la llave de la autoridad certificadora

9. Crear la llave RSA (CA)

  1. Ir a Configuration -> SSL hacer click en Create RSA Key, allí se desplegará una ventana donde nos pedirá los datos Key filename: Aquí le colocaremos el nombre que queramos que tenga la llave, Key size: colocaremos la longitud de la llave.

10. Crear el Certificate Signing request (CSR) para el servidor

  1.   Ir a Configuration -> SSL hacer click en Create CSR, aquí llenaremos los campos de la siguiente forma, Request File Name: colocaremos el nombre del archivo donde se alojara el CSR, Key file name: colocaremos el nombre de la llave que creamos en el paso 5, adicionamente hay que llenar campos que corresponden a datos d la organizacion

11. Crear el certificado para el vserver

  1. Ir a Configuration -> SSL hacer click en Create Certificate, se selecciona server en la seccion certificate type luego llenaremos los siguientes campos, Certificate File Name: se coloca el nombre que llevara el certificado, Certificate Request File Name: aqui colocamos elarchivo creado en el paso 6, Key File Name: aquí solocamos el archivo creado en el paso 5, Valid period: colocaremos el tiempo en que este certificado será valido y hacemos click en aceptar.

12. Instalar Certificado

  1. hacer click en Configuration -> SSL -> certificate luego hacer click en install, alli colocar el nombre que se le quiere dar al certificate-key par y seleccionar los archivos anteriormente creados en los campos donde nos solicitan el certificado y la llave de la autoridad certificadora

13. Enlazar Virtual Server con el certificado creado.

  1. Ir a SSL Offloading -> virtual server se hace click en el virtual server creado y se selecciona open
  2. ya en la ventana de edicion se va hacia la pestaña SSL settings
  3. En la parte izquierda de la pantalla se desplega una columna donde se verá certificado creado para el servidor se selecciona y se hace click en add.
  4. hacer click en aceptar y ya estará configurado nuestro vserver con un certificado creado por nosotros

 

error: sync has files ssl Warning: Command failed on secondary node, but succeeded on primary node. Configuration will be synchronized to ensure secondary and primary have same configuration

Fuentes:

http://docs.citrix.com/en-us/netscaler/10-1/ns-tmg-wrapper-10-con/ns-ssl-wrapper-con-10/ns-ssl-config-secure-cs-vserver-tsk.html

Anuncios

Publicado el abril 5, 2016 en Uncategorized. Añade a favoritos el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: