把用户访问https的流量负载到http服务器

可以把用户访问https的流量负载到http服务器不，如何做呢

可以，深信服 AD 完全支持：对外 HTTPS、对内 HTTP，也就是在 AD 上做SSL 卸载，把解密后的明文 HTTP 流量负载到后端 80 端口的 HTTP 服务器上。

一、原理

客户端 → HTTPS(443) → AD（SSL 卸载解密）→ HTTP(80) → 后端服务器

回包：服务器 → HTTP → AD（加密）→ HTTPS → 客户端

二、前提

AD 有SSL 卸载授权（必须）

准备好域名 SSL 证书（PEM/PFX，含私钥）

后端服务器只监听80 端口 HTTP，不用 HTTPS

三、配置步骤（深信服 AD 7.x/8.x）

1. 导入 SSL 证书

系统 → 证书管理 → SSL 证书 → 新增

名称：随便（如www_cert）

证书文件 + 私钥文件：上传你的域名证书

密码：填证书密码（无则空）→ 提交

2. 新建后端节点池（HTTP）

应用负载 → 节点池 → 新增

名称：web_http_pool

负载算法：轮询 / 加权轮询 / 最小连接等

节点：添加后端服务器 IP，端口80，健康检查选HTTP（路径/）→ 提交

3. 配置 SSL 卸载（核心）

应用负载 → SSL 卸载 → 新增

名称：ssl_offload_443

虚拟 IP：对外 VIP（如203.0.113.10）

端口：443

证书：选择刚导入的www_cert

转发模式：SSL 卸载（客户端 HTTPS→服务器 HTTP）

目标节点池：选web_http_pool

端口映射：外部 443 → 内部80 → 提交

4. 新建 HTTPS 虚拟服务

应用负载 → 虚拟服务 → 新增

类型：SSL 卸载

名称：vs_https_443

VIP：同 SSL 卸载的 VIP

端口：443

关联 SSL 卸载：选ssl_offload_443

会话保持：按需开启（如 Cookie）→ 提交

5. （关键）HTTP 应答改写（防混合内容报错）

后端页面若含http://绝对链接，浏览器会报 “混合内容”，需改写为https://。

应用负载 → 优化策略 → HTTP 改写策略 → 新增

名称：http2https

改写类型：应答改写

匹配条件：应答实体 / 头部含http://

改写内容：http:// → https://（用正则：http://([a-zA-Z0-9\.:]+) → https://$1）

前置策略：绑定到虚拟服务vs_https_443

四、验证

浏览器访问：https://域名

AD 日志：应用负载 → 日志 → SSL 卸载 / 负载调度，确认解密 + 转发正常

后端服务器：抓包看只有80 端口 HTTP流量

五、常见坑

无 SSL 授权：必须购买 / 临时授权，否则无法配置 SSL 卸载

证书不匹配：域名、SAN、私钥必须一致

混合内容报错：务必做应答改写，把页面内http://改成https://

后端 302 跳转 HTTP：改写Location头部，把http://→https://

深信服 AD 外网 HTTPS 443 负载内网 HTTP 80 最简配置清单

前置条件

AD 已激活SSL 卸载授权

域名 SSL 证书（公钥 + 私钥）准备完毕

后端服务器仅开80 端口 HTTP，关闭 443

一、导入 SSL 证书

菜单：系统 → 证书管理 → SSL 证书

新增证书，自定义名称

上传证书公钥+私钥文件

填写证书密钥密码（无则留空）

提交保存

二、创建后端 HTTP 节点池

菜单：应用负载 → 节点池

新建节点池

调度算法：轮询 / 加权轮询

添加后端服务器 IP，端口填 80

健康检查：HTTP 路径/

保存

三、配置 SSL 卸载（核心）

菜单：应用负载 → SSL 卸载

新建卸载策略

填写对外VIP 地址

外部端口：443

绑定刚才导入的域名证书

转发模式：SSL 卸载（客户端 HTTPS 转内网 HTTP）

关联第二步建好的 HTTP 节点池

内网转发端口：80

开启会话保持（建议 Cookie）

提交生效

四、创建虚拟服务

菜单：应用负载 → 虚拟服务

服务类型：SSL 卸载

绑定同 VIP、端口 443

关联上一步 SSL 卸载策略

其余默认，保存启用

五、必配解决跳转 / 混合内容报错

菜单：应用负载 → 优化策略 → HTTP 改写

请求头改写：

匹配Location跳转头，http://替换为https://

响应内容改写：

页面内所有http://全局替换https://

策略绑定到 443 虚拟服务

六、放行防火墙策略

菜单：网络 → 防火墙策略

放行外网→VIP 443 端口

放行 AD 内网段→后端服务器 80 端口

七、测试验证

浏览器https://域名正常访问

后端服务器抓包仅看到 80 明文流量

AD 负载日志查看调度分发正常

常见故障速排

配置报错：缺少 SSL 卸载授权

访问打不开：防火墙未放通 443

页面错乱：未做 HTTP 转 HTTPS 内容改写

跳转变回 http：没改写 302 跳转头