SSL基本结构的集中管理

发表于:2007-06-23来源:作者:点击数: 标签:
在企业环境中,采用SSL协议的Web 服务器 的 需求 正在逐步增加,需要更加强大和有效的SSL基本结构。这篇文章分析了通过对SSL基本结构的集中管理来减少结构的复杂性和整体成本的方法。 当公司有强烈的要求将基于Web的应用程序整合到他们的商业系统的时候, 他们

   
  在企业环境中,采用SSL协议的Web服务器需求正在逐步增加,需要更加强大和有效的SSL基本结构。这篇文章分析了通过对SSL基本结构的集中管理来减少结构的复杂性和整体成本的方法。

当公司有强烈的要求将基于Web的应用程序整合到他们的商业系统的时候, 他们可以使用SSL协议来保护应用程序和用户之间的信息的交换..这篇文章分析了当前基于SSLWeb站点的可测量性问题和整合的细节, 例如 DellTM PowerEdgeTM Load Balancing Server-BIG-IP® Powered (formerly Dell PowerApp.BIG-IP), 能与SSL管理进行整合。

评价普通SSL的实施

一部分SSL的实施是基于软件的解决方案.在这种实施中, 服务器通过SSL连接与客户端连接然后在软件级别上执行加密和解密. SSL握手, 实际上是客户端和服务器端协商使用哪种运算法则和密钥, 是一个处理器的操作. 因为执行握手过程和运行应用程序需要消耗大量的资源因此连接到这台服务器上的客户端的数量受到限制. 如果想连接更多的客户端需要更多的能力更强的服务器。

第二种SSL的实施是通过添加额外独立的SSL加速卡实现的, 例如roadcom CryptoNetXM 卡, 对于每个Web 服务器. SSL 通信量并不会对整个网络流量带来影响, 但是它加重了处理网络流量的服务器的负担. 使用加密方式通信的Web站点和Web应用程序可能会因为Web站点流量的增加而出现响应时间的延迟.为每个Web服务器增加SSL加速卡可以避免Web站点和Web应用程序出现这种延迟. 当SSL协商过程被SSL加速卡来进行处理后可以将服务器的处理器解脱出来用来处理其他的内容和应用程序。

为了管理更高级别的流量, 管理员能够将多个Web服务器组织成一个Web组(看 图1). 这个组中的每个Web服务器必须安装有内置的加速卡以便能够提供SSL握手的处理. 这种SSL基本结构比基于软件方式的SSL或使用加速卡的单个Web服务器的性能要好的多, 但是它也有以下的几个局限性。

 SSL基本结构的集中管理(图一)

图1:一个标准的SSL实施: Web服务器组

测量Web服务器组的局限性

因为许多服务器使用不同的加密技术来加密数据因此管理这样一个Web服务器组会花费比较大并比较复杂. 在一个传统的采用负载均衡的Web服务器阵列中, 每个处理加密数据的服务器要求有一个SSL加速卡和一个数字证书. 一个数字证书是被CA签署的一个电子认证标识. 在加密通信方面提供了身份一致性的验证.

为了从CA获得一个数字证书, 管理员必须创建一个公钥对和CSR, 然后提交这些项目给CA. 这个过程被Web组中的每个服务器重复进行. 数字证书仅仅是在有限的时间内是正确的, 当证书过期后管理员还必须重新获得证书.

不但管理这些支持 SSL 特性的服务器是耗时的、而且成本很高。技术的进步可以降低SSL 加速卡的成本,但是仍然很昂贵。并且每次认证到期后,都必须从CA 重新购买。这种花费成本极大的增加采购与管理支持SSL 特性的服务器成本。

将 SSL基础结构和BIG-IP整合在一起

一种集中和简单的管理SSL Web组的方式是通过Dell PowerEdge Load Balancing Server-BIG-IP Powered 实现负载均衡, 一般称之为BIG-IP. BIG-IP 是一个运行有BIG-IP 负载均衡软件的Dell PowerEdge服务器. 它通过SSL加速卡实现SSL的 off-loading 同时还可以实现应用层和IP层的负载均衡. 一般作为冗余对, 这个工具还提供了对关键Web结构的高可用性的保证.

通过允许SSL的终结,BIG-IP工具可以减少Web服务器组的管理性和成本. 使用SSL的终结,前端的BIG-IP加密从客户端接受的数据然后将它们发送到后端服务器. 后端服务器响应这个请求后将完成的请求发送给BIG-IP, BIG-IP再重新解密数据然后发送会客户端. 因为后台服务器并不是直接参与SSL的处理, 它们不要求SSL硬件或数字证书;BIG-IP在只有考虑冗余性时才要求SSL硬件和数字证书. 在可测量性方面, BIG-IP工具每秒钟最多能够管理到800个加密处理事务. SSL证书的集中管理减少了Web服务器组的复杂性和整体拥有成本.

在Web服务器环境中实现BIG-IP

大多数的BIG-IP把前端配置成一个应用服务器阵列. 这些服务器可能组成了一个数据库, cache池, 防火墙, 邮件交换组, 虚拟专用网络, 或Web服务器组. 这一部分详细解释一下管理员如何实现BIG-IP冗余的,一个处于活动状态另一个则处于备用状态, 前端的Web服务器组包括了两类服务器, 一类满足SSL的处理,另一类进行内容的解密. 图 2 显示了BIG-IP实现的例子.

SSL基本结构的集中管理(图二)

图2:使用BIG-IP实现SSL的集中管理

BIG-IP的网络设置

管理员必须首先配置BIG-IP对.使用Dell的快速部署工具, 管理员能配置基本的主机和网络信息, 例如VLAN, 主机名称,Web管理员的名称以及密码.

在这里例子中使用三个VLAN: 一个为外部的网络服务(自身的IP 153.142.10.111-112/255.255.255.0, 第二个 IP 153.142.10.115) 另外两个为内部网络服务自身的IP 192.168.10.101-102/255.255.255.0, 第二个 IP 192.168.10.100; 自身的IP 10.10.10.101-102/255.255.255.0, 第二个 IP 10.10.10.100). 自身的 IP是每个BIG-IP与VLAN通信的IP地址. 第二个IP是由冗余对中的活动的BIG-IP使用的与其他的服务器中的BIG-IP连接. 在两个内部的网络中, 一个 (192.168.10.X) 是与提供安全处理的电子商务服务器连接,另一个与提供解密内容的Web服务器连接.

网络管理员是在配置初始时定义的, 能通过任何网络访问BIG-IP配置工具. 这个基于Web的工具允许管理员创建缓冲池和虚拟服务器以及管理节点. 管理员也可以通过在一个内部网络中的主机的浏览器中输入https://192.168.10.100/ 或https://10.10.10.100/来访问这个活动的BIG-IP的配置工具.

一旦连接到配置工具, 管理员能够将后台的服务器组织到两个分别称为SECURE 和WEB 的不同的缓冲池中. SECURE 缓冲池包括IP地址为192.168.10.X 的服务器, 这种服务器能够运行应用程序和处理器从客户端收到的请求. WEB缓冲池由IP地址为10.10.10.X 的Web服务器组成, 这种服务器进行有规则的数据操作. 在BIG-IP上创建两个虚拟的服务器: VS1 (153.142.10.101) 驻留在前端的SECURE 缓冲池中,而VS2 (153.142.10.102) 驻留在前端的WEB缓冲池中. VS1和VS2的DNS名称分别为https://buy.compxyz.com 和 http://www.compxyz.com. 管理员现在可以通过将冗余的BIG-IP与活动的BIG-IP进行同步以便它们能够保持相同的状态.

当完成了BIG-IP系统的配置后, 管理员改变了后台Web服务器的默认网关以便使它指向BIG-IP的内部接口. 为了完成这个任务, 管理员将电子商务服务器的默认网关改为192.168.10.100 ,将Web服务器的默认网关改为10.10.10.100.

配置SSL终结

为了配置SSL 终结,管理员必须获得由CA认证的证书 并架设一个SSL代理. 管理员使用配置工具产生一个CSR并将它提交给CA. 当接收到一个正确的证书后, 管理员将它安装到一个BIG-IP上.

当在BIG-IP对上安装完了证书后, 管理员改变VS1的地址(就是驻留在前端的SECURE 池中的)为127.0.0.1. 管理员然后创建一个SSL代理给它分配一个IP地址为153.142.10.100; 它的目标虚拟服务器是VS1. 客户端也能够通过https://153.142.10.100/访问这个安全站点.当加密数据到达IP地址为153.142.10.100的SSL代理后,它首先解密,然后发送到VS1, 并最终转到SECURE 缓冲池.

提供持续性工作

配置的最后的步骤是提供这个Web服务器组的持续运行. 因为BIG-IP解密所有的数据,更多的持续性选项变得可用. BIG-IP能够持续的检测信息的 HTTP报头例如SSL 任务IDs 或 HTTP cookies. 更新的Microsoft IE浏览器 包括了一个安全功能,能够重新判断Web 服务器上的SSL任务的.

由于 BIG-IP 可以解密所有数据,因此就可以应用更多可用选项。BIG-IP 可以检查 HTTP 头并根据SSL 会话ID 或HHTP Cookies的信息完成连续执行操作。新版本的 Microsoft® Internet Explorer 浏览器包含安全特性可以与Web服务器的SSL 会话 ID 完成重新数据协商操作。该特性根据会话ID 持续运行因此不适合应用于电子商务Web站点,但是非常适用于负载均衡其它加密应用程序。

BIG-IP 工具提供了四种类型的基于HTTP cookie 的persistence:插入模式, 重写模式,被动模式, 和 细分模式 mode. 在插入模式中, BIG-IP创建和写cookie到服务器响应的HTTP报头中. 在重写模式中, 服务器创建cookie 但是被会被BIG-IP覆盖. 在被动模式中, 后台服务器创建cookie, 这中间包括了足够的供BIG-IP负载均衡流量的使用的信息.在细分模式中,BIG-IP 创建一个cookie 的细分以便返回的通信能够被传送到负载均衡组中的正确的服务器中.

为了避免对后台服务器的任何重新配置, 管理员选择插入模式cookie. 当一个客户返回到一个Web 站点时, 他通过cookie 就已经驻留在BIG-IP中了. 该站点的信息就已经存储在cookie 中, 当客户下次再访问这个站点时会很快的显示出来了. 管理员通过persistence 功能可以提供一个完整的电子商务站点了.

发现BIG-IP另外的好处

BIG-IP工具提供了几个SSL实施之外的功能.它能负载均衡各种不同类型的应用程序,,或后台数据库. 在一个单一的Web组中, 一个BIG-IP也能检测进入的通信的HTTP的报头然后将它们直接发送给不同类的服务器.

使用BIG-IP进行集中的SSL管理

Dell PowerEdge Load Balancing Server-BIG-IP Powered 提供了一种性价比很高的方法来管理当今复杂的Web服务器结构中的Web站点的加密性. 通过结合SSL证书管理, BIG-IP 帮助我们减少了复杂性和整体拥有成本; 通过对SSL流量的负载均衡, BIG-IP增加了Web站点的性能.

原文转自:http://www.ltesting.net