-
-
-
-
-
-
-
-
-
-
-
-
-
开始使用SSL转发代理
-
此内容已被机器动态翻译。
diesel Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde。(Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique。(非条款responsabilité)
Este artículo lo ha traducido una máquina形式上dinámica。(通报法律)
此内容已动态机器翻译。放弃
このコンテンは動的に機械翻訳されています。免責事項
此内容已被机器动态翻译。
此内容已被机器动态翻译。
此内容已被机器动态翻译。
这篇文章是机器翻译的。
柴油Artikel wurde maschinell übersetzt。(Haftungsausschluss)
Ce article a été traduit automatiquement。(非条款responsabilité)
Este artículo ha sido traducido automáticamente。(通报法律)
この記事は機械翻訳されています。免責事項
이기사는기계번역되었습니다。
Este artigo foi traduzido automaticamente。
这篇文章已经过机器翻译.放弃
翻译失败!
从SSL转发代理特性开始
重要的:
OCSP检查需要internet连接来检查证书的有效性。如果不能通过NSIP地址从internet访问您的设备,请添加访问控制列表(acl)以执行从NSIP地址到子网IP (SNIP)地址的NAT。SNIP必须能够访问internet。例如,
add ns acl a1 ALLOW -srcIP =
-destIP " != " 10.0.0.0-10.255.255.255 add rnat rnat -1 a1 bind rnat rnat -1 - apply acls - 指定DNS名称服务器进行域名解析。
- 确保设备上的日期与NTP服务器同步。如果日期没有同步,设备就不能有效地验证源服务器证书是否过期。
在使用SSL正向代理特性之前,需要完成以下任务:
- 以显式或透明方式添加代理服务器。
- 启用SSL拦截。
- 配置SSL配置文件。
- 向代理服务器添加并绑定SSL策略。
- 添加并绑定用于SSL拦截的CA证书密钥对。
注意:
配置为透明代理模式的ADC设备只能拦截HTTP和HTTPS协议。要绕过任何其他协议(如telnet),必须在代理虚拟服务器上添加以下侦听策略。
虚拟服务器现在只接受HTTP和HTTPS传入流量。
set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"“< !——NeedCopy >
您可能需要配置以下功能,这取决于您的部署:
- 认证服务(推荐)—对用户进行认证。如果没有身份验证服务,用户活动将基于客户端IP地址。
- URL过滤-通过分类、信誉评分和URL列表过滤URL。
- 分析——在Citrix应用交付管理(ADM)中查看用户活动、用户风险指标、带宽消耗和事务分解。
注意:SSL正向代理实现了类似产品遵循的大多数典型HTTP和HTTPS标准。这个实现不考虑特定的浏览器,并且与大多数常见的浏览器兼容。SSL正向代理已经测试了常见的浏览器和最新版本的谷歌Chrome, Internet Explorer和Mozilla Firefox。
SSL转发代理向导
SSL正向代理向导为管理员提供了一个通过web浏览器管理整个SSL正向代理部署的工具。它帮助指导客户快速启动SSL正向代理服务,并通过遵循一系列定义良好的步骤来简化配置。
导航到安全> SSL正向代理.在开始,点击SSL正向代理向导.
按照向导中的步骤配置部署。
向透明代理服务器添加监听策略
导航到安全>SSL正向代理>代理虚拟服务器.选中透明代理服务器,单击编辑.
编辑基本设置,并单击更多的.
在听着优先,输入1。
在监听策略表达,输入如下表达式:
(CLIENT.TCP.DSTPORT.EQ (80) | | CLIENT.TCP.DSTPORT.EQ (443) < !——NeedCopy >
这个表达式假设HTTP和HTTPS流量的标准端口。如果您配置了不同的端口,例如HTTP为8080,HTTPS为8443,请修改表达式以反映这些端口。
限制
在集群设置、管理分区和Citrix ADC FIPS设备上不支持SSL正向代理。
分享
分享
此预览版产品文档是Citrix机密文档。
您同意按照您的Citrix Beta/技术预览协议的条款对本文档进行保密。
预览文档中描述的任何特性或功能的开发、发布和时间仍由我们自行决定,如有更改,恕不另行通知或咨询。
本文档仅供参考之用,不构成提供任何材料、代码或功能的承诺、承诺或法律义务,不应作为思杰产品购买决策的依据。
如果不同意,选择“不同意退出”。