OA办公系统SSL加速案例-孟祥坤.docVIP

OA系统

SSL双向认证配置手册

孟祥坤|DollarMeng

北京华胜天成科技股份

2008年10月30日北京

工程概述

国内某大型企事业单位希望总部和异地的分支机构、上下级部门等保持实时联系，创造数字化办公环境，使自己身处异地仍能了解和处理单位事务，塑造企业文化的良好平台；建立企业内部信息门户，消除信息混乱；实现无纸化办公，降低办公与企业运营本钱，提升管理水平。基于以上原因，启动OA办公自动化系统工程，其中选择使用F5-LTM实施负载均衡和SSL双向认证，后台为weblogic9.2,双向认证CA为CPCA。

证书配置

2.1效劳器端证书生成和导入

2.1.1CSR文件生成

点击左侧导航条中的LocalTraffic?SSLCertificates，

点击Creat，其中Commonname可以填写域名，比方f5或者写域名对应的IP地址。

点击Finished，出现如下页面：

Download，然后点击Finished。这样就生成了CSR文件，提交给CPCA就可以申请Certificate。同时可以看到web_certificate_xizhan2对应的key文件：

2.1.2导入CSR对应的Certificate文件

点击Import，将CPCA颁发的Certificate导入：

2.2客户端根证书生成和导入

客户端PEM格式的根证书有CPCA提供，包括RCA和SCA两级，我们需要将两级内容粘在一起，如下列图：

然后整体复制粘贴到下列图中的方框中，最后点击Import即可。

2.3证书生成以后确认

经过以上两步，可以看到客户端和效劳器端证书全部导入成功，如下列图所示：

网络配置

3.1vlan配置

点击左侧的导航条，进入Network?VLANs

点击右侧Creat按钮，可以对vlan进行配置，结果如下：

3.2selfIP配置

在划分完Vlan后，即可对每个vlan进行IP地址的定义。方法如下：

点击左侧导航条中的Networks—SelfIPs

配置结果如下：

3.3route配置

点击左侧导航条中的Networks—Routes，

配置结果如下：

负载均衡配置

4.1monitor配置

其具体作用是为后台weblogic应用做健康检查，判断流量如何分发。

创立monitor的方法如下：

点击左侧的Localtraffic–monitor,

根据实际需要，我们将健康检查的时间改成30S和91S：

最后点击Finished完成。

4.2pool配置

Pool是组合起来接收和处理流量的一组设备，如Web效劳器。BIGIP系统将客户机流量请求发送到Pool成员中的任一效劳器上，而不是发送到客户机请求指定的目的地IP地址〔即下面提到的VirtualServer地址〕。当创立负载均衡Pool时，将效劳器〔称作Pool成员 〕分配到pool中，然后将pool与BIGIP系统中的VirtualServer相关联。

配置pool的方法如下：

点击左侧导航条中的LocalTraffic?VirtualServers?Pools

点击右侧的Creat，按照下列图配置，同时在Newmemgers中添加后台实际成员，点击Finished

4.3profile配置

4.3.1web_80_profile

其作用是和VS关联实现页面redirect，把流量全部导向SVS。

然后点击右侧的Creat，设置参数如下：

4.3.2web_profile

其作用是和SVS关联实现SSLoffload，包括必要的clientheader和redirect/rewrite信息。

然后点击右侧的Creat，设置参数如下：

4.3.3cookiepersistprofile

定制cookiepersistprofile的如下：

点击左侧导航条中的LocalTraffic?Profiles：

点击右侧的Creat，最后点击Finished即可。

4.3.4clientSSLprofile

这个局部很重要，定制profile包含了Certificate和key信息，卸载weblogicSSL流量。

然后点击右侧的Creat，设置参数如下：

4.3.5oneconnectprofile

作用是优化F5和后台的连接。

常见oneconnectprofile的方法如下：

点击左侧导航条中的LocalTraffic?Profiles：

然后点击右侧的Creat，设置参数如下：

4.4iRule配置

4.4.1redirectrule

创立iRule的方法如下：

点击