产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

开始使用SSL转发代理特性

2021年9月14日
由:
C

重要的

  • OCSP检查需要通过互联网连接来检查证书的有效性。如果您的设备不能通过NSIP地址从互联网访问,请添加访问控制列表(acl)来执行从NSIP地址到子网IP (SNIP)地址的NAT转换。SNIP必须能够访问互联网。例如,

    add ns acl a1允许-srcIP =  -dest " != " 10.0.0.0-10.255.255.255 add rnat rnat -1 a1 bind rnat rnat -1 - apply acls
  • 指定用于解析域名的DNS服务器。
  • 确保设备上的日期与NTP服务器同步。如果日期未同步,则设备无法有效验证源服务器证书是否已过期。

在使用SSL正向代理特性之前,需完成以下任务:

  • 以显式或透明方式添加代理服务器。
  • 启用SSL拦截。
    • 配置SSL配置文件。
    • 向代理服务器添加SSL策略并将其绑定。
    • 添加并绑定用于SSL拦截的CA证书密钥对。

注意:

以透明代理模式配置的ADC设备只能拦截HTTP和HTTPS协议。要绕过telnet等其他协议,必须在代理虚拟服务器上添加以下侦听策略。

虚拟服务器现在只接受HTTP和HTTPS传入流量。

设置CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)“< !——NeedCopy >

您可能需要配置以下功能,具体取决于您的部署:

  • 认证服务(推荐)—对用户进行认证。如果没有身份验证服务,用户活动将基于客户端IP地址。
  • URL过滤-通过类别,信誉评分和URL列表过滤URL。
  • 分析——在Citrix应用交付管理(ADM)中查看用户活动、用户风险指标、带宽消耗和事务分解。

注意:SSL转发代理实现了最典型的HTTP和HTTPS标准,并遵循了类似的产品。此实现没有考虑特定的浏览器,并且与大多数常见浏览器兼容。SSL正向代理已在常用浏览器以及最新版本的Google Chrome、Internet Explorer和Mozilla Firefox上进行了测试。

SSL正向代理向导

SSL正向代理向导为管理员提供了通过web浏览器管理整个SSL正向代理部署的工具。它帮助指导客户快速启动SSL转发代理服务,并通过遵循一系列定义良好的步骤帮助简化配置。

  1. 导航到“安全> SSL正向代理”.在开始,点击SSL正向代理向导

    新向导

  2. 按照向导中的步骤配置部署。

向透明代理服务器添加侦听策略

  1. 导航到“安全>SSL正向代理”>代理虚拟服务器.选择透明代理服务器,单击编辑

  2. 编辑基本设置,并按更多的

  3. 听着优先,输入“1”。

  4. 聆听策略表达,输入如下表达式:

    (CLIENT.TCP.DSTPORT.EQ (80) | | CLIENT.TCP.DSTPORT.EQ (443) < !——NeedCopy >

    该表达式假定HTTP和HTTPS流量的标准端口。如果您配置了不同的端口,例如HTTP为8080,HTTPS为8443,请修改表达式以反映这些端口。

限制

在集群设置、管理分区和Citrix ADC FIPS设备中不支持SSL转发代理。

开始使用SSL转发代理特性
2021年9月14日
由:
C
2021年9月14日
由:
C

在本文中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -思杰系统有限公司版权所有。