资源描述:
《华为vdesktop6000资料netscaler和wi之间ssl传输安全配置指导》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、产品名称Productname密级ConfidentialitylevelVdesktop6000秘密产品版本ProductversionTotal17pages共17贝V100R001C00Netscaler和WI之间SSL传输安全配置指导Preparedby拟制李佳乐Date口期2010-04-27Reviewedby审核DateH期Approvedby批准Date口期HUAWGIHuaweiTechnologiesCo.,Ltd.华为技术有限公司Allrightsreserved版权所有侵权必究(TST05T01V
2、2.0/IPD-PTM/forinternaluseonly)(TST05T01V2.0/IPD-PTM/仅供内部使用)修订记录Date日期RevisionVersion修订版本CRIDCR号SectionNumber修改章节ChangeDescription修改描述Author作者2010-04-271.00initial初稿完成李佳乐一、背景:4二、问题分析:4三、配置步骤:4Netscaler和WI之间SSL传输安全配置指导一、背景:冃前从Netscaler到WI的数据传输是明文传输,冃前当用户登录时,在WI上抓包
3、,可以查看到账号和密码的明文信息。二、问题分析:1、之前,TC到NetscalerZ间冇SSL加密,但是到Netscaler后会进行解密操作,将解密示的数据流以http的方式传输到Wl±,导致我们在WI上抓包时,可以抓到用户登录吋的用户名和密码明文,有极大的安全隐患。2•在Netscaler和WIZ间进行SSL传输安全配置后:TC的SSL加密数据流到Netscaler后不进行解密操作,Netscaler在接将数据流转给WI,到WI处进行解密操作。3.WI将数据传输到xmlservice服务器的过程屮,涉及到的敏感信息(用
4、户名和密码)并不是以明文传输的,而是以加密的形式传输的。故从TC到xmlserviceZ间的链路是无法用工具探索到明文传输的。三、配置步骤:1.putty登录10.85.132.139,备份配置文件ns.conf,如图所示(1)输入用户名(nsroot)和密码(nsroot)(2)输入shell(3)进入到nsconfig冃录,备份ns.conf配置文件。一10.85.132.139-PuTTY口叵冈loginas:nsrootl_JPassword:l
5、Lastlogin:TueApr2707:54:542010fro
6、m10.78・236・235Copyright(c)1980,1983,1986,1988,1990,1991,1993,1994.TheRegentsoftheUniversityofCalifornia.Allrightsreserved.Done>shell.Copyright(c)1992-2008TheFreeBSDProject.Copyright(c)1979,1980z1983,1986,1988,1989,1991,1992,1993,1994.TheRegentsoftheUniversityofCa
7、lifornia.Allrightsreserved.rootfiShii^IS#cd/rootfiShii^IS#Is•nsclircdevlibnsconfigtrap•snapetclibexecoptionalusrbinflashlogsprocvarcgi-binhomemanproxycolorfuliconsmntrootconfincludenetscalersbinrootSShi^IS#cdnsconfigrootSShi^IS#cpns•confns.conf.20100426[]2.登录Nets
8、caler:10.85.132.139(1)查找证书(右侧导航树-展开SSL文件夹-Certificates)(2)导出安全连接认证的(SSL或https)证书以及密钥点击左侧导航树上的“SSL”文件夹,在右侧单击“Exportpkcs#12”,出现导出对话框,如图所示:&3地Intranet文件(F)潴侑他)査看(V)收盜(A)IflCT)帮肋(H)Gjse▼O•回回☆咚G2▼◎同匚JittBgjDonen6r▼O2F▼:2]-u输入一个新的PKCS12filename,如netscaler.pfx,浏览刚查询到的证£
9、和keyfilename。输入一个导出密码(自己设定,如密码abcd@1234,后面还会使用到)KeyFileName*PEMPassphrasePKCS12FileName*netscaler.pfxCertificateFileName*/nsconfig/ssl/hetscalercer.cer/nsconfi