将https的ssl证书导入F5,以获取客户端真实IP

Posted xiaomai-rhce

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了将https的ssl证书导入F5,以获取客户端真实IP相关的知识,希望对你有一定的参考价值。

总体思路

==================================================================================

https访问的处理: 

  由于HTTPS应用到达F5的数据都是密文,F5只能看到网络层的地址,4—7层的内容无法看到,所以F5也无法像http应用一样将客户端地址插入到X_forward_for字段;

  目前HTTPS应用的加解密工作都是由服务器自身完成的,为了保证F5能够看到4—7层的数据,需要将加解密工作交给F5来做:

  1)根证书和KEY文件导入F5设备,F5代替服务器同用户端建立SSL通道;

  2)F5将加密数据解密后通过X_forward_for功能插入用户端源IP

  3)业务部门将服务器上的443端口更改为80端口即取消证书加解密工作

  此过程在原有服务器上进行证书撤销操作,会影响到应用中断,建议重新搭建2台提供相同业务的80端口服务器;

  4)F5设备上配置一个测试VS关联新搭建的80服务器及SSL策略,验证F5是否可以成功发布HTTPS业务、HTTPS业务插入源地址等功能。即新建测试的vip,访问端口为443,关联SSL加解密策略,后端关联80的POOL。

   VS中

  技术图片

===================================================================

为了使f5能够获取https后端的真实IP,必须要将ssl证书导入到f5,服务器上的证书没办法自解密。

导出apache形式的证书:

技术图片

得到三个如下文件:

技术图片

在f5中导入:

 

 

技术图片

 

输入Key Name,点击“浏览”,选中文件,点击“import”。

技术图片

选择重复导入certificate,名字都取一样的:vip-adjyc-com即可。

一次选择Key,文件后缀.key,两次选择Certificate,文件后缀为.crt

证书已经成功导入F5中。

技术图片

引用证书。

技术图片

默认的clientssl需要添加新证书,删掉原来的default.crt

技术图片

技术图片

创建vs-443端口,关联80的pool,http profile选择http(x-forwarded-for),ssl profile client选择vip-adjyc-com

技术图片

 

技术图片

通过以上操作,服务器证书已经成功导入到F5设备中,并且成功引用到VS中,可以正常使用了。

服务器上的https配置就可以删除了。只需要f5的ssl即可。

以上是关于将https的ssl证书导入F5,以获取客户端真实IP的主要内容,如果未能解决你的问题,请参考以下文章

F5配置SSL

将 SSL 证书添加到 JRE 以访问 HTTPS 站点

如何在Nginx中添加SSL证书以支持HTTPS协议访问

网站开启ssl证书有啥优势?

计算机网络基础

如何在Nginx中添加SSL证书以支持HTTPS协议访问