从F5配置指南查看SSL解密原理

一、解密原理

我们都知道，目前IDS等网络产品均面临着全面https流量的影响，虽然提高了网站的安全性，但是同时也被不法分子利用。为了检测这些加密流量，可以说是煞费苦心。现状分析：

https://f5.com/Portals/1/PDF/security/F5_IDC_Report_The%20Blind%20State%20of%20Rising%20SSL%20Traffic.pdf

目前最常想到的就是利用中间人技术去破解，但是面临一个问题 就是如何做到我们的证书被浏览器信任。浏览器内置一些根证书用以区分自签名证书和权威证书。

F5产品就是这么一款号称解密ssl流量的设备。

他的做法是：

1. 生成服务器证书请求，配置证书参数。

2.将证书请求文件(.csr文件)提交给天威诚信或者沃通，并等待证书的签发。

3. 然后在f5上安装申请下来的证书。

因为他自申请的证书获得了权威CA机构的认证，所以他在中间人的时候就会被浏览器信任，所以到达欺骗解密的目的。

二、下面 看一下 沃通配置流程

F5安装配置SSL证书方法指南（普通版）

几种格式文件的说明：

csr——>在F5上生成的文件。包含了域名、公司名、部门名、城市、邮箱等信息。

crt/cer——>公钥，证书文件，由权威证书机构颁发。

key——>私钥，与csr配套生成，成对使用。

例：

1_root_bundle.crt——>证书链（包含证书的树型结构，追溯至根证书机构）

2_test_wosign.com.crt——>公钥（证书机构使用私钥对你的csr进行签名）

3_test_wosign.com.key——>私钥（与公钥配套使用）

1、安装SSL证书环境

1.1 SSL证书安装环境简介

F5设备一台

SSL证书一张(备注：本指南使用s.wosign.com域名,OV SSL证书进行操作,通用其它版本证书)

1.2网络环境要求

请确保站点是一个合法的外网可以访问的域名地址，可以正常通过或 http：//XXX 进行正常访问。

2、SSL证书安装

2.1 获取SSl证书

成功在沃通CA申请证书后，会得到一个有密码的压缩包文件，输入证书密码后解压得到五个文件：

for Apache、for IIS、for Ngnix、for Tomcat、for Other Server，这个是证书的几种格式，F5 上需要用到for Apache格式的证书。

图 1

2.2 解压证书文件

解压Apache文件可以看到 3 个文件。包括公钥、私钥、证书链，如图 2

图 2

2.3 安装SSL证书

1）导入证书公钥

如果是导入已经存在的域，则根据之前其他 F5 上的命名规则填写名称，如果为新建则使用如下命名规则，域名_ssl_版本和根证书_域名_版本，例如：login_ssl_v3 和parent_login_v3，Improt Type 选择“certificate”,找到 test.wosign.com.crt 公钥,选择“Improt”

2）导入证书的私钥

如果是导入已经存在的域，则根据之前其他 F5 上的命名规则填写名称，如果为新建则必须与证书名称相同，例如：证书名称为 login_ssl_v3，key 的名称也与证书名相同，Improt Type 选择“key”, 找到test.wosign.com.key 私钥,选择“Improt”

3）导入CA中级证书

选择 Local Traffic-〉SSL Certificates 在 SSL Certificate List 主界面点击右上角“Import”，将压缩包的root_bundle.crt 使用“Certificate”方式导入。导入成功后，F5 将自动识别导入的证书为 Certificate Bundle。

4）配置服务器证书

选择“Local Traffic”-“Vitual Servers”-“Profiles”

选择“Proflie”中，“SSL”下的“Clent”进入“Client SSL Profile”设置

如果您需要为站点配置一个全新的SSL证书，则您需要新建一个Client SSL Profile。如果您需要为一个已有证书的站点更新服务器证书，则仅需点击已存在的 Profile，进行编辑更新操作即可。

在新建的 Profile 中，选择当前 Profile 所使用的证书(Certificate)、私钥(key)，以及在 Chian 处，设置与该证书应用相关联的证书链(之前导入的中级 CA 证书)。完成后，选择“Update”保存。

在证书成功配置后，需要创建一个 443 端口的 Virtual Server，并加载上面的 Client SS Profile 对应该站点启用SSL证书。

2.4 测试SSL证书

在浏览器地址栏输入：https://s.wosign.com (申请证书的域名)测试您的 SSL 证书是否安装成功，如果成功，则浏览器地址栏后方会显示一个安全锁标志。测试站点证书的安装配置。

3、安装安全签章

(目前该安全签章只支持 OV 级以上证书使用)

3.1 安装中文签章

(注意：签章的显示需要外网环境，且 https 使用 443 端口)

您购买了 WoSign SSL 证书后，将免费获得一个能直观地显示贵网站的认证信息的可信网站安全认证标识，能大大增强用户的在线信任，促成更多在线交易。所以，建议您在安装成功 SSL 证书后马上在网站的首页和其他页面中添加如下代码动态显示可信网站安全认证标识：

<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" SRC="https://seal.wosign.com/tws.js"></SCRIPT>

3.2 安装英文签章

如果您希望在英文页面显示认证标识，则在英文页面添加如下代码：

<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" SRC="https://seal.wosign.com/tws-en.js"></SCRIPT>

详细请访问：https://www.wosign.com/support/siteseal.htm

4、SSL证书备份

请保存好收到的证书压缩包文件及密码，以防丢失。

5、SSL证书恢复

重复2.3操作即可。

三、参考地址

F5 BIGIP 白皮书： https://wenku.baidu.com/view/4b4937c3d5bbfd0a79567395.html

VeriSign SSL证书安装配置指南（F5）：http://www.ert7.com/install/sslinstall/3763.html

F5证书配置： http://blog.51cto.com/jiangyuchen/1865598

F5官方文档：https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication