Konfigurieren von Zertifikaten für den Arbeitslastenausgleich

Dieser Abschnitt enthält Informationen zu zwei optionalen Aufgaben zum Sichern von Zertifikaten:

• Konfigurieren der Überprüfung eines Zertifikats von einer vertrauenswürdigen Behörde

• Konfigurieren , um das standardmäßige WLB-selbstsignierte Zertifikat zu überprüfen

Überblick

und Workload Balancing kommunizieren über HTTPS. Folglich erstellt der Assistent während der Konfiguration des Arbeitslastenausgleichs automatisch ein selbstsigniertes Testzertifikat. Mit diesem selbstsignierten Testzertifikat können Workload Balancing eine SSL-Verbindung zu herstellen .

Hinweis:

Das selbstsignierte Zertifikat ist ein Platzhalter zur Erleichterung der HTTPS-Kommunikation und stammt nicht von einer vertrauenswürdigen Zertifizierungsstelle. Für zusätzliche Sicherheit empfiehlt es sich, ein Zertifikat zu verwenden, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde.

Standardmäßig erstellt Workload Balancing diese SSL-Verbindung automatisch mit. Sie müssen keine Zertifikatkonfigurationen während oder nach der Konfiguration für den Workload Balancing durchführen, um diese SSL-Verbindung zu erstellen.

Um jedoch ein Zertifikat einer anderen Zertifizierungsstelle zu verwenden, z. B. ein signiertes Zertifikat einer kommerziellen Behörde, müssen Sie den Arbeitslastenausgleich konfigurieren und verwenden.

Unabhängig davon, welches Zertifikat der Workload Balancing verwendet, überprüft die Identität des Zertifikats standardmäßig nicht, bevor die Verbindung zum Workload Balancing hergestellt wird. Um die Suche nach einem bestimmten Zertifikat zu konfigurieren, müssen Sie das Stammzertifikat exportieren, das zum Signieren des Zertifikats verwendet wurde, in das Zertifikat kopieren und so konfigurieren , dass es überprüft wird, wenn eine Verbindung zum Arbeitslastenausgleich hergestellt wird. In diesem Szenario fungiert als Client und Arbeitslastenausgleich als Server.

Abhängig von Ihren Sicherheitszielen haben Sie folgende Möglichkeiten:

• Konfigurieren Sie , um das selbstsignierte Testzertifikat zu überprüfen. Siehe Konfigurieren zum Überprüfen des selbstsignierten Zertifikats.

• Konfigurieren Sie , um ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle zu überprüfen. Weitere Informationen finden Sie unter Konfigurieren , um ein Certificate-Authority Certificate zu überprüfen.

Konfigurieren , um das selbstsignierte Zertifikat zu überprüfen

Sie können konfigurieren, um sicherzustellen, dass das selbstsignierte WLB-Zertifikat authentisch ist, bevor Workload Balancing eine Verbindung herstellen kann.

Wichtig:

Um das selbstsignierte WLB-Zertifikat zu überprüfen, müssen Sie mithilfe des Hostnamens eine Verbindung zum Workload Balancing herstellen. Um den Hostnamen des Workload Balancing zu finden, führen Sie denhostname Befehl auf der virtuellen Appliance aus.

Wenn Sie den Arbeitslastenausgleich so konfigurieren möchten, dass das selbstsignierte WLB-Zertifikat überprüft wird, führen Sie die folgenden Schritte aus.

So konfigurieren Sie die Überprüfung des selbstsignierten Zertifikats:

1. Kopieren Sie das selbstsignierte Zertifikat von der virtuellen Appliance Workload Balancing in den Poolmaster. Das selbstsignierte WLB-Zertifikat wird unter /etc/ssl/certs/server.pemgespeichert. Führen Sie auf dem Poolmaster Folgendes aus, um das Zertifikat zu kopieren:

   scp root @wlb -ip: / etc/ssl/certs/server .pem.
   

2. Wenn Sie eine Meldung erhalten, die besagt, dass die Authentizität vonwlb-ip nicht hergestellt werden kann, geben Sie ein,yes um fortzufahren.

3. Geben Sie bei Aufforderung zum Workload Balancing Virtual Appliance Root-Kennwort ein. Das Zertifikat wird in das aktuelle Verzeichnis kopiert.

4. Installieren Sie das Zertifikat. Führen Sie denpool-certificate-install Befehl aus dem Verzeichnis aus, in das Sie das Zertifikat kopiert haben. Zum Beispiel:

   xe pool-certificate-install filename = server.pem
   

5. Überprüfen Sie, ob das Zertifikat ordnungsgemäß installiert wurde, indem Sie denpool-certificate-list Befehl auf dem Poolmaster ausführen:

   xe-pool-Zertifikatliste
   

   Wenn Sie das Zertifikat korrekt installiert haben, enthält die Ausgabe dieses Befehls das exportierte Stammzertifikat (z. B. server.pem). Wenn Sie diesen Befehl ausführen, werden alle installierten SSL-Zertifikate aufgelistet, einschließlich des gerade installierten Zertifikats.

6. Synchronisieren Sie das Zertifikat vom Master mit allen Hosts im Pool, indem Sie denpool-certificate-sync Befehl auf dem Poolmaster ausführen:

   xe-pool-Zertifikat-Synchronisierung
   

   Wennpool-certificate-sync Sie den Befehl auf dem Master ausführen, werden die Zertifikat- und Zertifikatsperrlisten auf allen Poolservern mit dem Master synchronisiert. Dadurch wird sichergestellt, dass alle Hosts im Pool dieselben Zertifikate verwenden.

   Es gibt keine Ausgabe von diesem Befehl. Der nächste Schritt funktioniert jedoch nicht, wenn dieser nicht erfolgreich funktioniert hat.

7. Weisen Sie an, das Zertifikat zu überprüfen, bevor Sie eine Verbindung mit der virtuellen Appliance für den Workload Balancing herstellen. Führen Sie den folgenden Befehl auf dem Poolmaster aus:

   xe pool-param-set wlb-verify-cert = true uuid = uuid_of_pool
   

   Tipp:

   Durch Drücken der Tabulatortaste wird automatisch die UUID des Pools aufgefüllt.

8. (Optional) Führen Sie die folgenden Schritte aus, um zu überprüfen, ob dieses Verfahren erfolgreich funktioniert hat:

   1. Um zu testen, ob das Zertifikat mit den anderen Hosts im Pool synchronisiert wurde, führen Sie denpool-certificate-list Befehl auf diesen Hosts aus.

   2. Um zu testen, ob das Zertifikat überprüft wurde, führen Sie denpool-param-get Befehl mit dem Parameterparam-name = wlb-verify-cert aus. Zum Beispiel:

      xe pool-param-get param-name = wlb-verify-cert uuuid = uuid_of_pool
      

Konfigurieren der Überprüfung eines Zertifikatstellenzertifikats

Sie können konfigurieren , um ein Zertifikat zu überprüfen, das von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde.

Für Zertifikate vertrauenswürdiger Stellen ist ein exportiertes Zertifikat oder eine Zertifikatkette (die Zwischen- und Stammzertifikate) im PEM-Format erforderlich, das den öffentlichen Schlüssel enthält.

Wenn Sie möchten, dass der Workload Balancing ein Zertifikat für vertrauenswürdige Autorität verwendet, gehen Sie wie folgt vor:

1. Beziehen Sie ein signiertes Zertifikat von der Zertifizierungsstelle. Siehe Aufgabe 1: Beschaffen eines Zertifikatautoritätszertifikats.

2. Befolgen Sie die Anweisungen in Task 2: Angeben des neuen Zertifikats, um das neue Zertifikat anzugeben und anzuwenden.

3. Installieren Sie die erhaltenen Zertifikate und aktivieren Sie die Zertifikatüberprüfung auf dem Poolmaster. Siehe Aufgabe 3: Importieren der Zertifikatkette in den Pool.

Stellen Sie vor Beginn dieser Aufgaben Folgendes sicher:

• Sie kennen die IP-Adresse für den Poolmaster.

• kann den Hostnamen des Workload Balancing auflösen. (Sie können beispielsweise versuchen, den FQDN für den Workload Balancing über die Konsole für den Poolmaster zu pingeln.)

Wichtig:

Wenn Sie eine IP-Adresse zum Herstellen einer Verbindung mit dem Workload Balancing verwenden möchten, müssen Sie diese IP-Adresse beim Erstellen des Zertifikats als alternativer Antragstellername (Subject Alternative Name, SAN) angeben.

Aufgabe 1: Beschaffung eines Zertifikatstellenzertifikats

Um ein Zertifikat von einer Zertifizierungsstelle zu erhalten, müssen Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) generieren. Das Generieren einer CSR für die virtuelle Appliance Workload Balancing ist ein Prozess mit zwei Aufgaben. Sie müssen (1) einen privaten Schlüssel erstellen und (2) diesen privaten Schlüssel verwenden, um die CSR zu generieren. Sie müssen beide Verfahren auf der virtuellen Appliance „Workload Balancing“ ausführen.

Richtlinien für die Angabe des allgemeinen Namens

Der Common Name (CN), den Sie beim Erstellen einer CSR angeben, muss exakt mit dem FQDN Ihrer virtuellen Workload Balancing-Appliance und dem FQDN oder der IP-Adresse übereinstimmen, die Sie im Dialogfeld Mit WLB-Server verbinden im Feld Adresse angegeben haben.

Um sicherzustellen, dass der Name übereinstimmt, geben Sie den allgemeinen Namen anhand einer der folgenden Richtlinien an:

• Geben Sie dieselben Informationen für den allgemeinen Namen des Zertifikats an, wie Sie im Dialogfeld Verbindung mit WLB-Server herstellen angegeben haben. Wenn Ihre virtuelle Appliance zum Beispiel den Namen „Workload Balancing“ trägtwlb-vpx.yourdomain, geben Siewlb-vpx.yourdomainim Feld „Verbindung zum WLB-Server herstellen“ an und geben Sie beim Erstellen des CSRwlb-vpx.yourdomainals allgemeinen Namen an.

• Wenn Sie Ihren Pool mit Workload Balancing über eine IP-Adresse verbunden haben, verwenden Sie den FQDN als allgemeinen Namen, und geben Sie die IP-Adresse als alternativen Antragstellernamen (Subject Alternative Name, SAN) an. Dies funktioniert jedoch möglicherweise nicht in allen Situationen.

Hinweis:

Die Zertifikatüberprüfung ist eine Sicherheitsmaßnahme, die unerwünschte Verbindungen verhindert. Daher müssen Workload Balancing-Zertifikate strenge Anforderungen erfüllen, da die Zertifikatüberprüfung nicht erfolgreich ist und die Verbindung nicht zugelassen wird. Ebenso müssen Sie die Zertifikate für die erfolgreiche Zertifikatüberprüfung an den jeweiligen Speicherorten speichern, an denen die Zertifikate gefunden werden sollen.

So erstellen Sie eine Datei mit einem privaten Schlüssel:

1. Erstellen Sie eine private Schlüsseldatei:

   openssl genrsa -des3 out privatekey.pem 2048
   

2. Entfernen Sie das Passwort:

   openssl rsa -in privatekey.pem out privatekey.nop.pem
   

Hinweis:

Wenn Sie das Kennwort falsch oder inkonsistent eingeben, erhalten Sie möglicherweise einige Meldungen, die darauf hinweisen, dass ein Fehler bei der Benutzeroberfläche vorliegt. Sie können die Nachricht ignorieren und den Befehl einfach erneut ausführen, um die private Schlüsseldatei zu erstellen.

So generieren Sie die CSR:

1. CSR generieren:

   1. Erstellen Sie den CSR mit dem privaten Schlüssel:

      openssl req -new -key privatekey.nop.pem out csr
      

   2. Befolgen Sie die Anweisungen, um die Informationen anzugeben, die für die Generierung des CSR erforderlich sind:

      Ländername. Geben Sie die Ländercodes des SSL-Zertifikats für Ihr Land ein. Beispielsweise CA für Kanada oder JM für Jamaika. Eine Liste der Ländercodes des SSL-Zertifikats finden Sie im Internet.

      Landes- oder Provinzname (vollständiger Name). Geben Sie das Bundesland oder die Provinz ein, in dem sich der Pool befindet. Zum Beispiel Massachusetts oder Alberta.

      Ortsname. Der Name der Stadt, in der sich der Pool befindet.

      Organisationsname. Der Name Ihres Unternehmens oder Ihrer Organisation.

      Name der Organisationseinheit. Geben Sie den Namen der Abteilung ein. Dieses Feld ist optional.

      Gemeinsamer Name. Geben Sie den FQDN Ihres Workload Balancing-Servers ein. Dies muss mit dem Namen übereinstimmen, den der Pool für die Verbindung mit dem Workload Balancing verwendet.

      E-Mail-Adresse. Diese E-Mail-Adresse ist im Zertifikat enthalten, wenn Sie es generieren.

   3. Geben Sie optionale Attribute an, oder klicken Sie auf Eingabetaste, um diese Informationen zu überspringen.

      Die CSR-Anforderung wird im aktuellen Verzeichnis gespeichert und benanntcsr.

2. Zeigen Sie den CSR im Konsolenfenster an, indem Sie die folgenden Befehle in der Konsole der Workload Balancing Appliance ausführen:

   katze csr
   

3. Kopieren Sie die gesamte Zertifikatsanforderung, und fordern Sie das Zertifikat mithilfe der CSR von der Zertifizierungsstelle an.

Aufgabe 2: Angeben des neuen Zertifikats

Gehen Sie wie folgt vor, um den Workload Balancing mithilfe eines Zertifikats von einer Zertifizierungsstelle anzugeben. Mit diesem Verfahren werden die Stamm- und (falls verfügbar) Zwischenzertifikate installiert.

So geben Sie ein neues Zertifikat an:

1. Laden Sie das signierte Zertifikat, das Stammzertifikat und, falls die Zertifizierungsstelle über eines verfügt, das Zwischenzertifikat von der Zertifizierungsstelle herunter.

2. Wenn Sie die Zertifikate nicht auf die virtuelle Appliance „Workload Balancing“ heruntergeladen haben. Führen Sie einen der folgenden Schritte aus:

   1. Wenn Sie die Zertifikate von einem Windows-Computer auf die Workload Balancing-Appliance kopieren, verwenden Sie WinSCP oder ein anderes Kopierdienstprogramm, um die Dateien zu kopieren.

   Für den Hostnamen können Sie die IP-Adresse eingeben und den Port standardmäßig belassen. Der Benutzername und das Kennwort sind in der Regel root und das Kennwort, das Sie während der Konfiguration festgelegt haben.

   1. Wenn Sie die Zertifikate von einem Linux-Computer auf die Workload Balancing-Appliance kopieren, verwenden Sie SCP oder ein anderes Kopierdienstprogramm, um die Dateien in das Verzeichnis Ihrer Wahl auf der Workload Balancing-Appliance zu kopieren. Zum Beispiel:

      scp root_ca.pem root @wlb -ip: / path_on_your_WLB
      

3. Führen Sie auf der virtuellen Appliance Workload Balancing den Inhalt aller Zertifikate (Stammzertifikat, Zwischenzertifikat (falls vorhanden) und signiertes Zertifikat) in einer Datei zusammen. Zum Beispiel:

   cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem
   

4. Benennen Sie das vorhandene Zertifikat und den Schlüssel mit dem Befehl move um:

   mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig
   mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig
   

5. Kopieren Sie das zusammengeführte Zertifikat:

   mv server.pem /etc/ssl/certs/server.pem
   

6. Kopieren Sie den zuvor erstellten privaten Schlüssel:

   mv privatekey.nop.pem /etc/ssl/certs/server.key
   

7. Machen Sie den privaten Schlüssel nur durch root lesbar. Verwenden Siechmod den Befehl, um Berechtigungen zu korrigieren.

   chmod 600 /etc/ssl/certs/server.key
   

8. Neustartstunnel:

   Killall Stunnel
   Stunnel
   

Aufgabe 3: Importieren der Zertifikatkette in den Pool

Nachdem Sie Zertifikate erhalten haben, müssen Sie die Zertifikate in den Poolmaster importieren (installieren) und die Hosts im Pool synchronisieren, um diese Zertifikate zu verwenden. Anschließend können Sie so konfigurieren, dass die Identität und Gültigkeit des Zertifikats jedes Mal überprüft wird, wenn der Workload Balancing eine Verbindung zu einem Host herstellt.

1. Kopieren Sie das signierte Zertifikat, das Stammzertifikat und, falls die Zertifizierungsstelle über eines verfügt, das Zwischenzertifikat von der Zertifizierungsstelle auf den Poolmaster.

2. Installieren Sie das Stammzertifikat auf dem Poolmaster:

   xe pool-certificate-install filename = root_ca.pem
   

3. Installieren Sie ggf. das Zwischenzertifikat auf dem Poolmaster:

   xe pool-certificate-install filename = intermediate_ca.pem
   

4. Überprüfen Sie beide ordnungsgemäß installierten Zertifikate, indem Sie diesen Befehl auf dem Poolmaster ausführen:

   xe-pool-Zertifikatliste
   

   Wenn Sie diesen Befehl ausführen, werden alle installierten SSL-Zertifikate aufgelistet. Wenn die Zertifikate erfolgreich installiert wurden, werden sie in dieser Liste angezeigt.

5. Synchronisieren Sie das Zertifikat auf dem Poolmaster mit allen Hosts im Pool:

   xe-pool-Zertifikat-Synchronisierung
   

   Wennpool-certificate-sync Sie den Befehl auf dem Master ausführen, werden die Zertifikate und Zertifikatsperrlisten auf allen Poolservern mit dem Poolmaster synchronisiert. Dadurch wird sichergestellt, dass alle Hosts im Pool dieselben Zertifikate verwenden.

6. Weisen Sie an, ein Zertifikat zu überprüfen, bevor Sie eine Verbindung mit der virtuellen Appliance für den Workload Balancing herstellen. Führen Sie den folgenden Befehl auf dem Poolmaster aus:

   xe pool-param-set wlb-verify-cert = true uuid = uuid_of_pool
   

   Tipp:

   Durch Drücken der Tabulatortaste wird automatisch die UUID des Pools aufgefüllt.

7. Wenn Sie vor der Aktivierung der Zertifikatüberprüfung im Dialogfeld Mit WLB verbinden eine IP-Adresse angegeben haben, werden Sie möglicherweise aufgefordert, den Pool erneut mit dem Workload Balancing zu verbinden.

   Geben Sie in diesem Fall den FQDN für die Workload Balancing Appliance im Feld Adresse des Dialogfelds Mit WLB verbinden genau so an, wie er im Common Name (CN) des Zertifikats angezeigt wird . (Sie müssen den FQDN eingeben, da der allgemeine Name und der Name, der für die Verbindung verwendet wird, übereinstimmen müssen.)

Tipps zur Fehlerbehebung

• Wenn der Pool nach der Konfiguration der Zertifikatüberprüfung keine Verbindung zum Workload Balancing herstellen kann, überprüfen Sie, ob der Pool eine Verbindung herstellen kann, wenn Sie die Zertifikatüberprüfung deaktivieren (indem Sie ausführenxe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool). Wenn eine Verbindung mit der Überprüfung deaktiviert ist, liegt das Problem in Ihrer Zertifikatkonfiguration. Wenn keine Verbindung hergestellt werden kann, liegt das Problem entweder in den Anmeldeinformationen für den Arbeitslastenausgleich oder in der Netzwerkverbindung.

• Einige kommerzielle Zertifizierungsstellen stellen stellen Tools bereit, um das korrekt installierte Zertifikat zu überprüfen. Erwägen Sie, diese Tools auszuführen, wenn diese Verfahren nicht helfen, das Problem zu isolieren. Wenn für diese Tools die Angabe eines SSL-Ports erforderlich ist, geben Sie Port 8012 oder den Port an, den Sie während der Konfiguration des Arbeitslastenausgleichs festgelegt haben.

• Wenn nach Befolgen dieser Verfahren auf der Registerkarte WLB eine Fehlermeldung angezeigt wird, die besagt, dass die Verbindung mit dem WLB-Server ein Fehler aufgetreten ist, besteht möglicherweise ein Konflikt zwischen dem allgemeinen Namen im Zertifikat und dem Namen der virtuellen Appliance für den Workload Balancing. Der Name des Arbeitslastenausgleichs der virtuellen Appliance und der allgemeine Name des Zertifikats müssen exakt übereinstimmen.