上一篇
f5ssl证书配置
将证书及私钥上传至F5,配置SSL profiles,绑定至虚拟服务器以启用HTTP
F5 SSL证书配置详解
证书准备阶段
获取证书文件
- 从CA机构下载以下文件:
- 服务器证书(
.crt或.pem) - 中间证书链(如有)
- CA根证书(可选,部分CA已包含在操作系统中)
- 服务器证书(
- 确保证书格式为PEM(Base64编码),若为PFX格式需转换为PEM。
- 从CA机构下载以下文件:
生成CSR(若需自签发证书)
- 在F5设备上通过命令行生成密钥并创建CSR:
openssl genrsa -out server.key 2048 # 生成私钥 openssl req -new -key server.key -out server.csr # 生成CSR
- 在F5设备上通过命令行生成密钥并创建CSR:
F5配置步骤
上传证书到F5
- 登录F5管理界面 → Local Traffic → SSL Certificates → Upload。
- 填写证书名称(需符合F5命名规则,如
ssl_cert_example)。 - 上传服务器证书、中间证书链(合并为一个文件)和私钥。
创建密钥(若未自动关联)
- 进入 SSL Keys → Create。
- 选择加密算法(如
rsa或ecdsa),设置密钥长度(如2048位)。 - 绑定私钥文件(若已上传则直接关联)。
配置服务器SSL协议
- 进入 SSL Profiles → Create。
- 配置关键参数:
| 参数 | 推荐值 |
|———————|————————————————————————|
| Server Certificate | 选择已上传的证书 |
| Key | 关联已创建的密钥 |
| Ciphers | 选择高强度加密套件(如TLS_AES_256_GCM_SHA384) |
| Protocols | 禁用SSLv3,启用TLSv1.2+(建议清除旧协议) |
| Client Authentication | 如需双向认证,启用并配置CA证书链 |
绑定SSL Profile到Virtual Server
- 进入 Virtual Servers → 编辑目标虚拟服务器。
- 在 Resources → Security → Server SSL 中选择已创建的SSL Profile。
客户端SSL配置(可选)
若需客户端证书认证:
- 将客户端证书上传至F5的 CA Certificates。
- 在SSL Profile的 Client Authentication 中启用强制验证。
- 配置客户端信任链(确保客户端安装对应的CA证书)。
常见问题与解决方案
| 问题描述 | 解决方案 |
|---|---|
| 浏览器提示证书不受信任 | 检查中间证书链是否完整,确保所有中间CA证书已上传并关联到服务器证书 |
| HTTPS访问出现500/502错误 | 验证私钥是否匹配证书,检查SSL Profile的加密套件是否与客户端兼容 |
| 证书频繁过期警告 | 启用F5的证书自动更新功能(需CA支持)或设置监控告警 |
相关问题与解答
问题1:如何验证F5中的SSL证书是否生效?
解答:
- 使用在线工具(如
https://www.ssllabs.com/ssltest/)检测域名的SSL状态。 - 在F5上查看 Monitor → SSL Certificates,确认证书剩余有效期。
- 通过命令行测试连接(如
openssl s_client -connect yourdomain.com:443)。
问题2:F5如何配置OCSP装订(Stapling)以加速证书验证?
解答:
- 在SSL Profile的 Advanced 设置中启用 OCSP Stapling。
- 确保F5设备能访问OCSP响应器(CA提供的URL)。
- 保存配置后,客户端访问时会自动携带OCSP响应,减少验证延迟
