Skip to main content
Skip table of contents

Citrix Netscaler - Beispielkonfiguration für Reverse Proxy in IGEL UMS mit SSL Offloading

Dieser Artikel beschreibt eine mögliche Konfiguration der IGEL Universal Management Suite (UMS) und Citrix NetScaler für den Einsatz von SSL Offloading.

Die allgemeine Kompatibilität wurde mit den in diesem Artikel beschriebenen Konfigurationen getestet. Es kann jedoch auch andere Möglichkeiten zur Umsetzung der Konfiguration geben. Da es sich beim Reverse Proxy um eine externe Software handelt, kann kein vollständiger Support für jede Version angeboten werden.


Anforderungen

Die Anforderungen an die UMS sowie an die Zertifikatkonfiguration für den Reverse Proxy sind in UMS zur Integration von Reverse Proxy mit SSL Offloading konfigurieren zusammengefasst.

Prozessübersicht

Die Konfigurationsschritte für den Reverse Proxy umfassen:

UMS Server-Backend-Konfiguration (SSL)

Einen Server erstellen

  1. Fügen Sie eine Serverkonfiguration unter Traffic Management > Load Balancing > Servers hinzu.

    UMS Server-Backend-Konfiguration



    einen Server erstellen

Load-Balancing-Service und Monitor hinzufügen

Das UMS-Server-Backend muss als Service unter Traffic Management > Load Balancing > Services konfiguriert werden.

Services
  1. Klicken Sie auf Hinzufügen.

    Load-Balancing-Service

  2. Führen Sie die folgenden Schritte aus:

    • Wählen Sie die zuvor erstellte Serverdefinition aus.

    • Setzen Sie das Protokoll auf SSL.

    • Setzen Sie den Port auf UMS-Web-Port (8443) fest.

  3. Klicken Sie auf OK und überprüfen Sie die Einstellungen im Dialogfenster Load-Balancing-Service-Details.

    Load-Balancing-Service-Details

  4. In der Load Balancing Service Konfiguration fügen Sie einen Monitor für den UMS Service hinzu.

    Monitor für den UMS Service hinzufügen


  5. Klicken Sie auf Binding hinzufügen.

    Binding hinzufügen



  6. Legen Sie die folgenden Monitor-Einstellungen fest:

    • Setzen Sie den Typ auf HTTP.

    • Setzen Sie den Response Code auf 200.

    • Geben Sie bei HTTP Request: HEAD /ums/check-status ein.

    • Aktivieren Sie die Option Secure.

      Monitor-Einstellungen




  7. Unter SSL Profile klicken Sie auf Hinzufügen.
    Der Dialog zur Konfiguration des SSL-Profils wird geöffnet.

    SSL-Profile



  8. Setzen Sie den SSL Profile Type auf BackEnd.
    Wenn die Backend-Konfiguration erfolgreich ist, wird der Serverstatus im Dialogfenster Load-Balancing-Service-Details als "up" angezeigt.

    Load-Balancing-Service-Details als up

Eine Service-Gruppe hinzufügen

Das Backend-System kann zu einer Service-Gruppe zusammengefasst werden.

  1. Navigieren Sie zu Traffic Management > Load Balancing > Service Groups.

    Traffic Management - Load Balancing - Service Groups



  2. Klicken Sie auf Hinzufügen.

    Service Gruppe hinzufügen

  3. Setzen Sie das Protokoll auf SSL und klicken Sie auf OK.

  4. Der UMS-Server muss als Service Group Member hinzugefügt werden.


  5. Im Dialog Service Group Member erstellen setzen Sie folgende Werte:

    • Wählen Sie die Option Serverbasiert.

    • Unter Server auswählen wählen Sie die zuvor erstellte Service-Definition des UMS-Servers aus.

    • Tragen Sie unter Port den Wert 8443 ein.

      Service Gruppe Einstellungen

Konfiguration des virtuellen Servers

Der Listener im NetScaler wird als virtueller Server bezeichnet und kann unter Traffic Management > Load Balancing > Virtual Servers konfiguriert werden.

  1. Fügen Sie einen virtuellen Server hinzu.

  2. Legen Sie die folgenden Werte fest:

    • Setzen Sie das Protokoll auf SSL

    • Geben Sie die gewünschte IP-Adresse an

    • Setzen Sie den Port auf 443

      Virtueller Server Einstellungen


  3. Unter Services und Service Groups fügen Sie die zuvor erstellte Service-Gruppe hinzu.

    Services und Service Groups


Zertifikate hinzufügen

  1. Fügen Sie unter Zertifikat ein Serverzertifikat hinzu. Informationen zur Erstellung der Zertifikatskette und des Schlüssels finden Sie in UMS zur Integration von Reverse Proxy mit SSL Offloading konfigurieren.
    Für SSL-Offloading werden die Zertifikate und Schlüssel des UMS Web- / ICG-Servers zur SSL-Terminierung benötigt.

    Serverzertifikat

  2. Wählen Sie zunächst die Datei der Web-/ICG-Zertifikatskette aus und fügen Sie anschließend den entsprechenden Web-/ICG-Schlüssel hinzu.

    Web- ICG-Schlüssel

  3. Fügen Sie auch die Client-Zertifikatskette hinzu.

  4. Das exportierte EST-CA-Client-Zertifikat muss als CA-Zertifikat hinzugefügt werden.

    CA-Zertifikat

    CA-Zertifikat

  5. Unter SSL Ciphers fügen Sie TLSv1.3 hinzu.
    Die Verbindung vom Gerät erfordert die Verwendung von TLSv1.3.

    TLSv1.3

  6. Unter SSL-Parameter setzen Sie die folgenden Werte::

    • Aktivieren Sie die Client-Authentifizierung.

    • Setzen Sie Client-Zertifikat auf Optional.

    • Aktivieren Sie TLSv1.3 im Bereich Protokoll

      SSL-Parameter

SSL-Policy zur Weiterleitung des Client-Zertifikats konfigurieren

Fügen Sie unter AppExpert > Rewrite eine Rewrite-Aktion und eine zugehörige Policy hinzu.

  1. Erstellen Sie zunächst eine Rewrite-Aktion.

  2. Setzen Sie die folgenden Parameter:

    • Typ auf INSERT_HTTP_HEADER

    • Header Name entsprechend der in der UMS konfigurierten Einstellung

      Rewrite-Aktion Parameter

    • Der Ausdruck für die Aktion wird verwendet, um den richtigen Zertifikatwert einzufügen. Das weitergeleitete Zertifikat muss URL-codiert sein und korrekte Zeilenumbrüche enthalten:
      CLIENT.SSL.CLIENT_CERT.TO_PEM.REGEX_REPLACE(re! \s*!,"\n",ALL).REGEX_REPLACE(re!\bBEGIN\nCERTIFICATE\s*\b!,"BEGIN CERTIFICATE",ALL).REGEX_REPLACE(re!\bEND\nCERTIFICATE\s*\b!,"END CERTIFICATE",ALL).URL_RESERVED_CHARS_SAFE

      Dieser Ausdruck ist ein Beispiel und erfordert, dass die Option Insert Certificate Space unter Traffic Management > SSL Settings > Erweiterte SSL-Einstellungen ändern aktiviert ist.

      Insert Certificate Space


      Insert Certificate Space

  3. Erstellen Sie anschließend eine Rewrite-Policy.

  4. Wählen Sie unter Aktion die zuvor konfigurierte Aktion aus, um sie mit der Policy zu verknüpfen.

    Aktion

  5. Setzen Sie den Ausdruck auf:
    CLIENT.SSL.CLIENT_CERT.EXISTS
    Diese Policy-Ausdruck prüft, ob ein Client-Zertifikat vorhanden ist.

  6. Binden Sie die Rewrite-Policy an den Load-Balancing-Virtual-Server unter Policy Binding.

    Policy Binding


  7. Unter Profile wählen Sie HTTP-WebSocket im Bereich HTTP Profile und klicken auf Hinzufügen.

    HTTP-WebSocket

  8. Aktivieren Sie die Option WebSocket-Verbindungen zulassen.

    WebSocket-Verbindungen zulassen
JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.