WEB¶

Обзор¶

SSL-профили и SNI-профили используются в системе балансировки нагрузки для настройки обработки соединений TLS/SSL. Они определяют, какие сертификаты, протоколы и алгоритмы шифрования должны использоваться при установке frontend-соединений (между клиентом и ADC) и backend-соединений (между ADC и Worker).

SSL-профиль поддерживает такие функции, как:

TLS-терминация
Выбор сертификата на основе SNI
Проверка клиентского сертификата (mTLS)
Управление версией TLS и шифрами
Безопасное взаимодействие с backend-серверами

Использование на frontend¶

SSL-профили на frontend используются для:

TLS-терминация и выбор сертификата. ADC принимает зашифрованные соединения и расшифровывает их на уровне приложения. SSL-профили определяют, какой сертификат используется — либо по умолчанию, либо выбранный на основе имени хоста SNI, предоставленного клиентом.
mTLS-аутентификация. Если включена, профиль принудительно проверяет клиентский сертификат с использованием доверенной цепочки сертификатов удостоверяющего центра (CA).
Управление версией TLS и шифрами. SSL-профили позволяют ограничивать или требовать использование конкретных версий TLS (например, отключение TLS 1.0) и контролировать разрешённые наборы шифров.
Поддержка доменных политик TLS. SNI-профили можно привязать для сопоставления отдельных доменных имён с разными сертификатами, доверенными цепочками CA и настройками TLS.

Чтобы применить SSL-профили на frontend, назначьте их сервису.

Использование на backend¶

SSL-профили на backend используются, когда ADC подключается к backend-серверам по протоколу TLS. Они поддерживают:

Повторное шифрование. Обеспечивает шифрование данных не только между клиентом и ADC, но и между ADC и backend-сервером.
Проверка сертификатов backend-серверов. SSL-профиль позволяет ADC проверять сертификат backend-сервера по доверенной цепочке CA, обеспечивая взаимодействие только с доверенными системами.
Представление клиентских сертификатов (mTLS). ADC может представить свой сертификат при подключении к backend-сервисам, требующим mTLS-аутентификации.
Управление версиями TLS и шифрами. Backend SSL-профили позволяют контролировать, какие версии TLS и какие наборы шифров разрешены.

Для применения SSL-профилей на backend назначьте их Target-группам или отдельным Workers для детального управления.

Настройка¶

В боковом меню выберите SSL Profiles.

Над таблицей расположена панель действий с кнопками New row, Rollback, Apply changes и Settings.

Чтобы создать SSL-профиль, нажмите кнопку New row — в таблице появится новая строка для заполнения. После внесения всех параметров нажмите Apply changes для сохранения.

Чтобы удалить SSL-профиль, нажмите значок корзины в строке нужного профиля, а затем Apply changes.

Чтобы отменить незафиксированные изменения, нажмите Rollback.

Кнопка Settings позволяет настроить видимость колонок таблицы.

Примечание

Имена SSL-профилей используют формат partition/name (например, default/my-ssl-profile).

Таблица содержит следующие колонки:

Поле	Описание
Name	Имя SSL-профиля
SNI profile	Один или несколько SNI-профилей для расширенной обработки сертификатов на основе SNI. Отображается как вложенный список
Servername	Список доменных имён (SNI) и связанных сертификатов. Отображается как вложенный список
Certificate	SSL-сертификат по умолчанию, используемый для сервиса
Client certificate	Клиентский сертификат для Worker (используется в соединениях mTLS)
CA verify	Цепочка сертификатов для проверки Worker
Verify depth	Глубина проверки Worker
Verify client	Режим проверки клиентского сертификата: `off` — не проверять (по умолчанию) `on` — требовать и проверять клиентский сертификат с использованием цепочки CA `optional` — проверять, если предоставлен
Client renegotiation	Управление повторным согласованием TLS со стороны клиента
No verify worker	Пропустить проверку сертификата Worker
Cert chain	Цепочка сертификатов, отправляемая вместе с SSL-сертификатом
CA chain	Доверенная цепочка CA для верификации сертификата сервера
Cipher raw	Ввод шифров вручную (TLS 1.0–1.2)
Cipher value	Список разрешённых шифров (TLS 1.0–1.2) из предопределённых вариантов
Ciphersuite raw	Ввод наборов шифров TLS 1.3 вручную
Ciphersuite value	Список разрешённых наборов шифров TLS 1.3 из предопределённых вариантов
Max protocol	Максимальная версия криптографического протокола
Min protocol	Минимальная версия криптографического протокола

SNI-профиль¶

SNI-профили (Server Name Indication Profile) позволяют сопоставлять доменные имена с конкретными сертификатами и настройками TLS.

Примечание

SNI-профиль сам по себе неактивен. Он должен быть привязан к SSL-профилю, чтобы вступить в силу, либо на frontend-соединении (клиентская сторона), либо на backend-соединении (исходящее), в зависимости от того, где применяется SSL-профиль.

В боковом меню выберите SNI Profiles.

Над таблицей расположена панель действий с кнопками New row, Rollback, Apply changes и Settings.

Чтобы создать SNI-профиль, нажмите кнопку New row — в таблице появится новая строка для заполнения. После внесения всех параметров нажмите Apply changes для сохранения.

Чтобы удалить SNI-профиль, нажмите значок корзины в строке нужного профиля, а затем Apply changes.

Чтобы отменить незафиксированные изменения, нажмите Rollback.

Примечание

Имена SNI-профилей используют формат partition/name (например, default/my-sni-profile).

Таблица SNI-профилей содержит следующие колонки:

Поле	Описание
Name	Имя SNI-профиля
Servername	Список доменных имён (SNI) и связанных сертификатов. Отображается как вложенный список
Cert chain	Дополнительная цепочка сертификатов, отправляемая вместе с SSL-сертификатом из записи servername
CA chain	Доверенная цепочка CA для верификации сертификата сервера
Cipher raw	Ввод шифров вручную (TLS 1.0–1.2)
Cipher value	Список разрешённых шифров (TLS 1.0–1.2) из предопределённых вариантов
Ciphersuite raw	Ввод наборов шифров TLS 1.3 вручную
Ciphersuite value	Список разрешённых наборов шифров TLS 1.3 из предопределённых вариантов
Max protocol	Максимальная версия криптографического протокола
Min protocol	Минимальная версия криптографического протокола