我对 Netscaler 中的 SSL 证书有疑问。是否可以在不进行任何 HTTPS 卸载的情况下将 SSL 证书绑定/包含在 Netscaler 中的 VIP 中?我正在后端服务器上进行 HTTPS 卸载。我需要这样做的原因是因为我想通过 Netscaler 将原始客户端 IP 地址发送回后端服务器,但目前我无法这样做,因为每个请求都经过加密,Netscaler 必须知道并能够解密 HTTPS 请求。
答案1
尽管在 Citrix NetScaler 上执行 SSL 卸载,然后在将流量发送到后端之前进行 SSL 加载,并再次在后端进行解密会抵消在 NetScaler 上执行 SSL 卸载所带来的性能提升,但这在具有严格加密/安全策略的环境中是一种常见的情况。
- 您必须将 SSL 证书绑定到负载平衡虚拟服务器(或内容交换虚拟服务器),并将类型设置为 SSL 以执行 SSL 卸载
- 如果您正在进行内容交换(使用内容交换策略将流量引导至正确的负载均衡器)。在这种情况下,负载均衡器本身可以是 HTTP 类型,因为此流量位于 NetScaler 内部,不会离开设备。
- 如果您正在进行简单的负载平衡,请确保您的虚拟服务器属于 SSL 类型。
- 连接到负载均衡器的服务/服务组必须是 SSL 类型才能执行 SSL 加载
但是正如您已经猜到的那样,需要在 NetScaler 上执行 SSL 卸载,因为否则您无法访问 L7 数据。