使用F5 BigIP设置SSL/TLS

更新时间：2025-09-26 来源：ssltrust 作者：ssltrust

F5 的 BigIP 是一款功能强大且广受欢迎的负载均衡平台。虽然一开始如何安全地配置负载均衡器使其按照预期运行可能会让人感到困惑，但一旦掌握了窍门，它就会成为目前最稳定的选择之一

F5 的 BigIP 是全球领先的负载均衡平台之一。BigIP 旗下拥有众多产品选项，可作为 TMOS（BigIP 所基于的底层 Linux 操作系统）的插件。从负载均衡的角度来看，最常见的是 LTM（本地流量管理器），它可以充当 SSL/TLS 连接的终止或非终止代理；以及 GTM（全局流量管理器），它是一款基于智能 DNS 的负载均衡器。虽然也有例外，但 LTM 最常用于物理站点内服务器之间的负载均衡，而 GTM 通常用于站点之间的负载均衡。

在 LTM 模块中，“节点”（用其 IP 表示的服务器）被分组到包含“池成员”（一个节点加一个端口）的“池”中。“池”绑定到“虚拟服务器”（VIP），这些虚拟服务器定义了 BigIP 在接收特定目的地流量时的行为方式。另一方面，GTM 由“宽 IP”代替“虚拟服务器”组成。您可以将宽 IP 视为跨实体（无论是单个服务器还是物理站点）的 IP。一种流行的策略是将 LTM 和 GTM 结合起来，其中 LTM VIP 是 GTM 通过其宽 IP 进行“扩展”的对象。

保护管理接口

F5 BigIp 安全登录 F5 的管理界面本身应该通过可信的 SSL/TLS 证书来保护。

初始设置期间，您可以在“设置实用程序”->“设备证书”下进行配置。初始设置完成后，您可以在“证书管理”->“设备证书管理”->“设备证书”下找到它。

F5 BigIp 配置 SSL 设备证书选择“导入”，您将进入一个可以上传公钥/私钥对的界面。您可以选择“证书和密钥”，这将允许您以 Base64 格式上传单独的证书和密钥（这里没有二进制证书！）

进口证书或者，如果您想在 Windows 机器上生成 CSR，导入响应，并导出 .PFX 文件（PCKS#12），F5 也会接受这种格式。

导入 PFX 证书选择您要申请的有效证书并刷新页面后，F5 将使用您的新证书对为管理界面提供服务。

LTM 中的 SSL/TLS

在 F5 的 LTM 中，SSL/TLS 证书选项是“SSL 配置文件”的一个方面，可以在“本地流量”->“配置文件”->“SSL”下定义。在这里，我们可以选择创建“客户端”或“服务器”配置文件。

F5 中的“服务器”与“客户端”的命名规则可能会让初学者感到困惑。这是因为在典型的终止 TLS 代理中，代理在请求生命周期的不同阶段同时扮演着客户端和服务器的角色！

客户端配置文件定义了 F5 如何处理入站请求。另一方面，服务器配置文件定义了 F5 与“真实”服务器通信时的行为。F5 正在进行一场激烈的模仿游戏，从服务器的角度假装是客户端，从客户端的角度假装是服务器。当然，可以在企业边缘终止流量，并通过 HTTP 等明文将流量转发到真实服务器，但这是不可取的。

客户端和服务器配置文件“链接”到虚拟服务器以定义它们的行为方式。

创建新的虚拟服务器

首先，确保已创建池并将其链接到相应的支持节点。如果需要，可以在“本地流量”->“节点”下创建节点，在“本地流量”->“池”下创建池。我们需要从虚拟服务器中选择池。

现在，您将看到以下内容。突出显示的是标准配置中常用的选项：

在 f5 中创建虚拟机为您的虚拟服务器提供一个人类可读的名称。

类型决定了虚拟服务器是充当终止代理还是非终止代理。“标准”类型的 VIP 将终止其收到的任何 SSL/TLS 流量，并根据下方“SSL 配置文件（客户端）”下的配置重新终止。请注意，该配置文件位于下方，与图中所示的“HTTP 配置文件”不同。

性能 – 第 4 层允许您的虚拟服务器充当非终止 SSL/TLS 代理。实际上，这意味着后端客户端直接负责终止，而 F5 则按原样传输加密流量。

请注意，您选择的负载均衡策略（类型）会影响您使用粘性会话的能力。在偏离“标准”设置之前，请仔细研究！

目标地址应为 F5 负责的地址空间中未使用的 IP。它可以是任何 IP，F5 将在网络上假定此 IP。这是为服务创建的任何 DNS 条目都应指向的地址——该 IP 将托管由一个或多个池成员支持的服务。

服务端口是用于监听目标地址连接的端口。例如，对于 HTTPS，请选择 443。该端口不必与后备池上选择的端口相同。虚拟服务器通过 443 端口接收流量，并最终发送到“真实”服务器的 8443 端口，这两者之间没有任何限制。

f5虚拟机选择SSL 在这里我们将为客户端和服务器选择 SSL 配置文件。

客户端配置文件通常是自定义的，并使用用于访问虚拟服务器的 DNS 名称的有效 SSL/TLS 密钥对创建。通常，我们会使用通配符证书来实现此目的，并在多个虚拟服务器之间重复使用该配置文件。在客户端 SSL 配置文件的“高级”配置下，我们还可以定义链接到该配置文件的虚拟服务器支持哪些密码！

服务器配置文件通常设置为“serverssl”，它将验证 F5 是否可以构建指向真实后端服务器提供的证书的有效链。在有时使用自签名证书的实验室环境中，“Server-insecure-compatible”将跳过这些检查。在“Server”配置文件中，我们还可以指定用于SNI 的主机头。这使我们能够在同一后端服务器的 IP + 端口组合上托管多个独立的服务。

F5 GTM 和 SSL/TLS

值得注意的是，F5 的 GTM 没有 SSL/TLS 的概念，因为它是一个纯粹基于 DNS 的负载均衡器。它的工作原理是，以一种策略性的方式响应 DNS 查询，将给定主机名的流量路由到完全不同的 IP 地址。因此，SSL/TLS 不会被终止——它始终由后端服务器处理。

结论

F5 的 BigIP 是一款功能强大且广受欢迎的负载均衡平台。虽然一开始如何安全地配置负载均衡器使其按照预期运行可能会让人感到困惑，但一旦掌握了窍门，它就会成为目前最稳定的选择之一。虽然 HAProxy 等开源解决方案在功能集方面正在迎头赶上，但它们缺乏 F5 为其产品系列提供的专业完善和世界一流的支持。