資安管理 SSL/TLS (3)

教學目標

初步了解企業中針對 Windows 伺服器整合 F5 負載平衡的網路設備進行安全連線時可能會遇到的問題。

重點概念

首先企業中若有 F5 負載平衡的網路設備,則通常會將憑證設定至 F5 負載平衡的網路設備中,像是 BIG-IP 系統。同時企業中的客戶端將會自動匯入 F5 上受信任的根憑證,此時當我們開啟 Internet Explorer 瀏覽器時就會顯示安全鎖頭至瀏覽列右方中,代表伺服器的這個連線經過加密。但是企業中的伺服器通常不會匯入 F5 上受信任的根憑證,此時我們只需將 F5 上受信任的根憑證、中繼憑證和網站憑證匯出之後,直接開啟憑證檔,然後點選「一般」頁籤中的「安裝憑證」鈕按照順序安裝至伺服器中即可,建議點選存放位置為「本機電腦」,以及其中受信任的根憑證則在透過憑證匯入精靈進行憑證匯入時,針對憑證存放區則建議將憑證放入「受信任的根憑證授權單位」中,至於其它憑證則自動根據憑證類型來選取憑證存放區,當憑證正確匯入伺服器之後,此時當我們開啟 Internet Explorer 瀏覽器時就會顯示安全鎖頭至瀏覽列右方中,代表伺服器的這個連線經過加密。

接著企業通常會有從 F5 負載平衡的網路設備匯出憑證的標準流程,此時可能會發生匯出憑證格式不正確,造成無法正常將憑證匯入網站系統解決方案中。憑證主要有 Base64 編碼和二進位編碼兩種格式,當我們透過記事本開啟憑證檔時,若憑證檔內容為「——-BEGIN CERTIFICATE——- … ——-END CERTIFICATE——-」,則代表憑證檔為 Base64 編碼格式,反之為二進位編碼格式。然而若發生匯出憑證格式不正確時,則只需要直接開啟憑證檔,然後點選「詳細資料」頁籤中的「複製到檔案」鈕就能夠直接轉換 Base64 編碼或二進位編碼格式,以利解決無法正常將憑證匯入網站系統解決方案中。

再來企業中所簽發的網站憑證通常會有憑證路徑,我們僅需要直接開啟憑證檔,然後點選「憑證路徑」頁籤就能夠了解網站憑證所對應的憑證路徑,以及確認憑證狀態是否沒有問題。此外我們還能夠點選憑證路徑中的根憑證和中繼憑證之後點選「檢視憑證」鈕確認憑證資訊,其中包括發給、簽發者、有效期、… 等詳細資訊。

最後企業中若有 F5 負載平衡的網路設備,則在導入網站系統解決方案需要設定 HTTPS 安全連線時,建議以 F5 負載平衡的網路設備當成反向伺服器,直接將網站系統 HTTP 連線對應至 F5 負載平衡的網路設備的 HTTPS 安全連線,就能夠將網站系統解決方案設定為 HTTPS 安全連線,請注意並非所有網站系統解決方案皆能在設定完成 F5 負載平衡的網路設備之後,正常使用網站系統,通常還會需要進行網站系統相關設定,但是至少能夠正常透過 Internet Explorer 瀏覽器輸入 F5 負載平衡的網路設備的對應網址顯示網站系統的首頁畫面,同時在網址列右方顯示安全鎖頭,並且在點選安全鎖頭之後點選「檢視憑證」鈕之後,點選「憑證路徑」頁籤確認憑證狀態是否沒有問題。此方式將會有三大優點,分別為:

  1. 網站憑證發佈至客戶端,則直接以企業標準流程為主,確保客戶端瀏覽器開啟網站系統時顯示安全連線。
  2. 網站系統若需要增加網站伺服器時,則無需重新簽發網站憑證,以利憑證的集中進行管理。
  3. 網站系統無需進行 HTTPS 握手的安全協定,以利維持效能的同時又能夠讓使用者安心使用網站系統。

總結企業中針對 Windows 伺服器整合 F5 負載平衡的網路設備進行安全連線時可能會遇到許多問題,包括伺服器中瀏覽器無法正常顯示正確憑證資訊、憑證匯出檔案格式不確認、憑證路徑無法正常顯示、… 等憑證問題,此時我們僅需透過 Windows 伺服器內建的功能就能夠解決上述的問題。此外若是瀏覽器顯示未受信任的憑證或憑證錯誤的訊息時,則不會影響網站系統的運作,但是若網站系統解決方案中有需要客戶端應用程式或網站應用程式進行安全連線時,就需要將憑證匯入至伺服器中,請注意不同網站系統解決方案匯入憑證的方式皆不相同,並且可能需要按照順序匯入根憑證、中繼憑證和網站憑證,以利網路系統的所有功能正常運作。

相關資源