シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ACE: SSL の基本設定

    ACE Connection Handling within  the Cisco  Application Control Engine Module Hardware に記載されているように、crypto chip が搭載されており、SSL 通信を高速に復号化することが可能です。 また、ACE で復号化を行うことで ACE - server 間は平文で通信可能となり、server への負荷を軽減することができます。

    ssl_basic_01.png

    ACE client からの SSL 通信を終端せず、client - server 間で SSL 通信を行うことも可能ですが、ここでは、上図のように ACE SSL 通信を終端した場合の設定について説明します。

    ACE では下記手順で設定を行うことで SSL 処理可能になります。

    1) cert/key import

    2) ssl-proxy service の設定

    3) policy-map の該当 class ssl-proxy service を適用

    # 構成

    ssl_basic_02.png

    # ACE 設定


    ACE20/Admin# crypto import terminal cert.pem

    !___ 証明書の import

    Please enter    PEM formatted data. End with "quit" on a new line.

    -----BEGIN CERTIFICATE-----

    MIIDEjCCAnsCCQDr6c7BldcySTANBgkqhkiG9w0BAQUFADCBhDELMAkGA1UEBhMC

    SlAxDjAMBgNVBAgTBVRva3lvMREwDwYDVQQHEwhTaGluanVrdTEOMAwGA1UEChMF

    Y2lzY28xDDAKBgNVBAsTA1RBQzERMA8GA1UEAxMIeXVzaGltYXoxITAfBgkqhkiG

    9w0BCQEWEnl1c2hpbWF6QGNpc2NvLmNvbTAeFw0xMDA4MDkwMjQzMDhaFw0xMDA5

    MDgwMjQzMDhaMIGRMQswCQYDVQQGEwJKUDEOMAwGA1UECBMFVG9reW8xETAPBgNV

    BAcTCFNoaW5qdWt1MRUwEwYDVQQKEwxDaXNjb1N5c3RlbXMxEjAQBgNVBAsTCUph

    cGFuLVRBQzERMA8GA1UEAxMIeXVzaGltYXoxITAfBgkqhkiG9w0BCQEWEnl1c2hp

    bWF6QGNpc2NvLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANzs

    HEssS8Ihz2ijLJeWJgbLE6BaRZMHgI2OyMLL5mH4nlyBtvvBCdMPCVj6bDU+ErZ/

    onl6cLJ7E1w5TGJp2WHbIoTlftO36oG1Yim1w1Idm0PnjZHSFSz6fXoz50dK2eIl

    70DFZ3nLdSCtPB4zlbuIqhizvCDQN06TxKvQOA+oVr7n2AEWv0trX4DO4FPz1YS4

    QWOwNUnb7KbVAorrayb5S5EqfDu5VC11LOwiNy7aA9kFtRsdXTZ+c2cbw3RxsxNf

    Z6v309lAWxEFZ7jVwZoYmZSUnoAzSU+Ro3xNXS6ICBZM4J/wfroRYo5WKa7JFPc6

    PYv9CRjN7Y5QP5PomecCAwEAATANBgkqhkiG9w0BAQUFAAOBgQC4kFcRDrbs9SHQ

    LBlqWlSWawawWGrFuNl3B8lxw09U32hrbRirlDhOaVUNZ2qKdDiR7lM9Cj5k08GQ

    RRZkSGx2B9phiku3CyzZRk6MgO/doMDh5onp8ZVKV1NFONnC4Kd90GB3x2z6F/Ph

    fXTEOieQobyBrpaqS/XIyjv//9pa2g==

    -----END CERTIFICATE-----

    quit

    ACE20/Admin# crypto import terminal key.pem    passphrase cisco

    !___ 鍵の import

    Please enter    PEM formatted data. End with "quit" on a new line.

    -----BEGIN RSA PRIVATE KEY-----

    Proc-Type: 4,ENCRYPTED

    DEK-Info: DES-EDE3-CBC,428B97AA6B951FDF

    ctmvkTnJn4WR85zrTLrAhX37WvCyCbzvdV39g5AoFJosGaHA55BQxalPUTsfE0Vy

    EfAg/aSdywxAOeDMrQ+CnMBOoS8AU2So5CFML1YqfcUZevipJHNHOfiXgAHut3OG

    QfB33YfqawFON0HuyQdOIP0kC6hRROm/gRwwn7E7Jjrg/YMfHy3SrwtHXz8wUUJy

    xtBhwdsC/oTb2bFN6A0hUxKdH8LLmhzKekHrIzt/X9RM96VnttDxF+we9Qdv1D2D

    P2J7gc9dokvYVV4Z676I0aobPyO1vZaTxoUwuwlNbPgg1ugUSCM8PDY0JyWcLYmg

    r/5iTApznDUqU3wc8gD5MfB8PQVVI/W2WaukOBO5qoufrLQwVfW8W8qGnEnKI51v

    bNO6ykOGjNLtwgsbuyAliz6rrhVzelZf7oroXKYLGyq9B3KGx9LlVwJRCmvbYKOE

    fSwlAs8Aq8N+DSGMHr+KvXZUoQTTQBNXK4mOtWlJo2EWDjsIiWuaeBkSNhXwZPp1

    YuKi7D1SCnHCsXklp3/I+KmE2E65mZm5/aEZVgVYHhBRSuOSSq4NCW6LIBh2pggF

    B25qXO66c7g5A2lpzahtA0eXPrF154CVHjgWz89Fxsek9T2a0awgnQES6ecPZD5I

    jzhLRhCb5h9gTDhiRMT59Nt3xp6vKyIKY56d2lOzTqbRsILMg3OVGyEDywXmghkO

    cd5DZwt0Y3RzVIow4q5DenTMFyBnbueyqnOBCDOOpDpgJd+S9tauOWtJzC/PAS6h

    KZcUJ3uP2gIWBGdNCj1nyALa2nvWh5VO8mRjtwBmOt7eKfkwlncivLgyJADBr1lz

    DE6vD+862+CnZH43F+KYwS8U2AHeEtvDSsWoZ1T2QQ/w26DQPWLKXnRDjHMwBNVZ

    6zpvxOYPGj+bZXdeKbCeOLIiXiEHyWy7ACqVcTku5nJRpoM2A0dDqJyR5136Eh00

    PRsIBoM0AVXM/agmaMVjgnjB0rb2VNqHrUgHyP57l1VxyKarfeibRS/3ute9bjkx

    doldUuvKMEcS4XYvnkUxgj03KwhtJPXCwuLou2jHqpuo5LXfygsu2Xbvhljwt1kc

    txYr3K+JpLNWklw9Ia3DMnAbDM59IQ9xvO1Fhzs7L1cNhzD4NVkZBeWNwqYM6qvZ

    bQXSfX9fgoQo+Xz2waGAAB5LQ0I2dpoQPhodmdHy1Mdro7I+ntdQInQtsdej82DD

    dTA0+ZFiCjCjhxIGo65luDESA9UeLUKmFOOuJxfnhQjHVLDxKmKs06N67a0XrKWK

    fQzzt7DGVIKoeGqq6uc2c63LodpVXucxxC55uHNnOP5f16e4/R/rj+jephdcRA1+

    /aiY2D4rbjPntjqsMUbrRbS9fAZEaOrE4BzXw8BOf6RT8bbQCDRjf8Iq15+XvbsG

    MDdkmSh1/Ku02CurORUiQkWT98n9iUfGDl1Hvd6NncadQ/30vTbBoVd3J5P8IJfX

    OGcwgFeV92i6HwYkqmKS7uosGOAWYXTO8cT6i8XdJdU2kiuZBiSMa3NDdidzOhXQ

    PyuVtT3rH1SAIp6yfasW7ukzpR3QKJNbk7Fn5a3W8zUx5++b8aTpAg==

    -----END RSA PRIVATE KEY-----

    quit

    ACE20/Admin#

    ACE20/Admin# show run

    Generating    configuration....

    hostname    ACE20

    boot system    image:c6ace-t1k9-mz.A2_3_1.bin

    access-list    all line 8 extended permit ip any any

    rserver host    sv1

      ip address 192.168.72.11

      inservice

    rserver host    sv2

      ip address 192.168.72.12

      inservice

    serverfarm    host sf

      rserver sv1 80

    !___ server との通信は 443 ではなく 80 を使うため port# の設定が必要

        inservice

      rserver sv2 80

        inservice

    ssl-proxy    service ssl

      key key.pem

      cert cert.pem

    class-map    match-all vip

      2 match virtual-address 192.168.71.100 tcp    eq https

    policy-map    type loadbalance first-match lb

      class class-default

        serverfarm sf

    policy-map    multi-match client-vips

      class vip

        loadbalance vip inservice

        loadbalance policy lb

        loadbalance vip icmp-reply

        ssl-proxy server ssl

    access-group    input all

    interface    vlan 771

      ip address 192.168.71.250 255.255.255.0

      service-policy input client-vips

      no shutdown

    interface    vlan 772

      ip address 192.168.72.250 255.255.255.0

      no shutdown

    今回の構成では、ACE vip 宛てには port#443 (ssl) access しますが、ACE から server への access port#80 (clear text) を使用します。 そのため、serverfarm 上で rserver port# を設定する必要があります。 設定しなかった場合、ACE から server 宛ての access に使用される dest port 443 のままとなってしまいます。

    上記構成/設定で client から GET request を送信すると、下記出力のように server からの http response が確認できます。

    # client から vip 宛てに ssl を用いて GET request を送信


    client:/# openssl s_client -connect    192.168.71.100:443 -CAfile rootCAcert.pem

    CONNECTED(00000003)

    depth=1    /C=JP/ST=Tokyo/L=Shinjuku/O=cisco/OU=TAC/CN=yushimaz/emailAddress=yushimaz@cisco.com

    verify    return:1

    depth=0    /C=JP/ST=Tokyo/L=Shinjuku/O=CiscoSystems/OU=Japan-TAC/CN=yushimaz/emailAddress=yushimaz@cisco.com

    verify    return:1

    ---

    Certificate    chain

    0    s:/C=JP/ST=Tokyo/L=Shinjuku/O=CiscoSystems/OU=Japan-TAC/CN=yushimaz/emailAddress=yushimaz@cisco.com

       i:/C=JP/ST=Tokyo/L=Shinjuku/O=cisco/OU=TAC/CN=yushimaz/emailAddress=yushimaz@cisco.com

    ---

    Server    certificate

    -----BEGIN    CERTIFICATE-----

    MIIDEjCCAnsCCQDr6c7BldcySTANBgkqhkiG9w0BAQUFADCBhDELMAkGA1UEBhMC

    SlAxDjAMBgNVBAgTBVRva3lvMREwDwYDVQQHEwhTaGluanVrdTEOMAwGA1UEChMF

    Y2lzY28xDDAKBgNVBAsTA1RBQzERMA8GA1UEAxMIeXVzaGltYXoxITAfBgkqhkiG

    9w0BCQEWEnl1c2hpbWF6QGNpc2NvLmNvbTAeFw0xMDA4MDkwMjQzMDhaFw0xMDA5

    MDgwMjQzMDhaMIGRMQswCQYDVQQGEwJKUDEOMAwGA1UECBMFVG9reW8xETAPBgNV

    BAcTCFNoaW5qdWt1MRUwEwYDVQQKEwxDaXNjb1N5c3RlbXMxEjAQBgNVBAsTCUph

    cGFuLVRBQzERMA8GA1UEAxMIeXVzaGltYXoxITAfBgkqhkiG9w0BCQEWEnl1c2hp

    bWF6QGNpc2NvLmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBANzs

    HEssS8Ihz2ijLJeWJgbLE6BaRZMHgI2OyMLL5mH4nlyBtvvBCdMPCVj6bDU+ErZ/

    onl6cLJ7E1w5TGJp2WHbIoTlftO36oG1Yim1w1Idm0PnjZHSFSz6fXoz50dK2eIl

    70DFZ3nLdSCtPB4zlbuIqhizvCDQN06TxKvQOA+oVr7n2AEWv0trX4DO4FPz1YS4

    QWOwNUnb7KbVAorrayb5S5EqfDu5VC11LOwiNy7aA9kFtRsdXTZ+c2cbw3RxsxNf

    Z6v309lAWxEFZ7jVwZoYmZSUnoAzSU+Ro3xNXS6ICBZM4J/wfroRYo5WKa7JFPc6

    PYv9CRjN7Y5QP5PomecCAwEAATANBgkqhkiG9w0BAQUFAAOBgQC4kFcRDrbs9SHQ

    LBlqWlSWawawWGrFuNl3B8lxw09U32hrbRirlDhOaVUNZ2qKdDiR7lM9Cj5k08GQ

    RRZkSGx2B9phiku3CyzZRk6MgO/doMDh5onp8ZVKV1NFONnC4Kd90GB3x2z6F/Ph

    fXTEOieQobyBrpaqS/XIyjv//9pa2g==

    -----END    CERTIFICATE-----

    subject=/C=JP/ST=Tokyo/L=Shinjuku/O=CiscoSystems/OU=Japan-TAC/CN=yushimaz/emailAddress=yushimaz@cisco.com

    issuer=/C=JP/ST=Tokyo/L=Shinjuku/O=cisco/OU=TAC/CN=yushimaz/emailAddress=yushimaz@cisco.com

    ---

    No client    certificate CA names sent

    ---

    SSL handshake    has read 894 bytes and written 428 bytes

    ---

    New,    TLSv1/SSLv3, Cipher is RC4-MD5

    Server public    key is 2048 bit

    Compression:    NONE

    Expansion:    NONE

    SSL-Session:

        Protocol  : TLSv1

        Cipher    : RC4-MD5

        Session-ID:

        Session-ID-ctx:

        Master-Key:    C75F97384C64510C5B9A8A31F434FF052C40D5CC551C3DFD3A3A0C0AB358C2C9CB3F1B67561607E6E096EE4E23FCF10B

        Key-Arg   : None

        Start Time: 1281325643

        Timeout   : 300 (sec)

        Verify return code: 0 (ok)

    ---

    GET / HTTP/1.0

    Host:a

    HTTP/1.1    200 OK

    !___ http response

    Date: Mon, 09    Aug 2010 03:47:28 GMT

    Server:    Apache/1.3.34 (Debian)

    Last-Modified:    Sun, 11 Jul 2010 22:07:36 GMT

    ETag:    "2da7b5-4-4c3a40a8"

    Accept-Ranges:    bytes

    Content-Length:    4

    Connection:    close

    Content-Type:    text/html; charset=iso-8859-1

    sv1

    closed

    client:/#

    #  capture

    ssl_basic_03.png

    ACE は、上記のように、client - ACE 間で connection を終端した (3 way  handshake, SSL handshake を行った No.1 - 11) 後、ACE - server 間で connection を張ります(No.12 - 14)

    また、SSL 通信の場合、ACE encrypt/decrypt を行うため、すべての通信が ACE で終端されます。(Full  proxy)

バージョン履歴
改訂番号
1/1
最終更新:
‎08-09-2010 09:30 PM
更新者:
 
添付
タグ(2)