OA办公系统SSL加速案.pdf

OA 系统 SSL 双向认证配置手册 孟祥坤 | Dollar Meng 北京华胜天成科技股份有限公司 2008 年10 月30 日 北京 一、 项目概述 国内某大型企事业单位希望总部和异地的分支机构、上下级部门等保持实时联 系，创造数字化办公环境，使自己身处异地仍能了解和处理单位事务，塑造企 业文化的良好平台；建立企业内部信息门户，消除信息混乱；实现无纸化办公， 降低办公与企业运营成本，提升管理水平。基于以上原因，启动OA 办公自动 化系统项目，其中选择使用F5-LTM 实施负载均衡和SSL 双向认证，后台为 weblogic 9.2,双向认证CA 为CPCA 。 二、 证书配置 2.1 服务器端证书生成和导入 2.1.1 CSR 文件生成 点击左侧导航条中的Local TrafficSSL Certificates， 点击Creat，其中Common name 可以填写域名，比如 或者写域 名对应的IP 地址。 点击Finished，出现如下页面： Download，然后点击Finished 。这样就生成了CSR 文件，提交给CPCA 就可以 申请Certificate 。同时可以看到web_certificate_xizhan2 对应的key 文件： 2.1.2 导入CSR 对应的Certificate 文件 点击Import ，将CPCA 颁发的Certificate 导入： 2.2 客户端根证书生成和导入 客户端PEM 格式的根证书有CPCA 提供，包括RCA 和SCA 两级，我们需要 将两级内容粘在一起，如下图： 然后整体复制粘贴到下图中的方框中，最后点击Import 即可。 2.3 证书生成以后确认 经过以上两步，可以看到客户端和服务器端证书全部导入成功，如下图所示： 三、 网络配置 3.1 vlan 配置 点击左侧的导航条，进入Network VLANs 点击右侧Creat 按钮，可以对vlan 进行配置，结果如下： 3.2 selfIP 配置 在划分完Vlan 后，即可对每个vlan 进行IP 地址的定义。方法如下： 点击左侧导航条中的Networks—Self IPs 配置结果如下： 3.3 route 配置 点击左侧导航条中的Networks—Routes ， 配置结果如下： 四、 负载均衡配置 4.1 monitor 配置 其具体作用是为后台weblogic 应用做健康检查，判断流量如何分发。 创建monitor 的方法如下： 点击左侧的Local traffic –monitor, 根据实际需要，我们将健康检查的时间改成30S 和91S ： 最后点击Finished 完成。 4.2 pool 配置 Pool是组合起来接收和处理流量的一组设备，如Web服务器。BIGIP系统将客户 机流量请求发送到Pool成员中的任一服务器上，而不是发送到客户机请求指定 的目的地IP地址（即下面提到的Virtual Server地址）。当创建负载均衡Pool 时，将服务器（称作Pool成员 ）分配到pool中，然后将pool与BIGIP系统中 的Virtual Server相关联。 配置pool的方法如下： 点击左侧导航条中的Local TrafficVirtual ServersPools 点击右侧的Creat，按照下图配置，同时在New memgers 中添加后台实际成员， 点击Finished 4.3 profile 配置 4.3.1 web_80_http profile 其作用是和HTTP VS 关联实现页面redirect ，把流量全部导向HTTPS VS 。 然后点击右侧的Creat ，设置参数如下： 4.3.2 web_http profile 其作用是和 HTTPS VS 关联实现 SSL offload，包括必要的 client header 和 redirect/rewrite 信息。 然后点击右侧的Creat ，设置参数如下： 4.3.3 cookie persist profile 定制cookie p