Citrix ADC 13.1
在Citrix ADC中
在所有产品中
产品文档
Citrix ADC 13.1
在Citrix ADC中
在所有产品中
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

从SSL转发代理特性开始

2021年1月4日
由:
C

重要的

  • OCSP检查需要internet连接来检查证书的有效性。如果不能通过NSIP地址从internet访问您的设备,请添加访问控制列表(acl)以执行从NSIP地址到子网IP (SNIP)地址的NAT。SNIP必须能够访问internet。例如,

    add ns acl a1 ALLOW -srcIP =  -destIP " != " 10.0.0.0-10.255.255.255 add rnat rnat -1 a1 bind rnat rnat -1 - apply acls
  • 指定DNS名称服务器进行域名解析。
  • 确保设备上的日期与NTP服务器同步。如果日期没有同步,设备就不能有效地验证源服务器证书是否过期。

在使用SSL正向代理特性之前,需要完成以下任务:

  • 以显式或透明方式添加代理服务器。
  • 启用SSL拦截。
    • 配置SSL配置文件。
    • 向代理服务器添加并绑定SSL策略。
    • 添加并绑定用于SSL拦截的CA证书密钥对。

注意:

配置为透明代理模式的ADC设备只能拦截HTTP和HTTPS协议。要绕过任何其他协议(如telnet),必须在代理虚拟服务器上添加以下侦听策略。

虚拟服务器现在只接受HTTP和HTTPS传入流量。

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"“< !——NeedCopy >

您可能需要配置以下功能,这取决于您的部署:

  • 认证服务(推荐)—对用户进行认证。如果没有身份验证服务,用户活动将基于客户端IP地址。
  • URL过滤-通过分类、信誉评分和URL列表过滤URL。
  • 分析——在Citrix应用交付管理(ADM)中查看用户活动、用户风险指标、带宽消耗和事务分解。

注意:SSL正向代理实现了类似产品遵循的大多数典型HTTP和HTTPS标准。这个实现不考虑特定的浏览器,并且与大多数常见的浏览器兼容。SSL正向代理已经测试了常见的浏览器和最新版本的谷歌Chrome, Internet Explorer和Mozilla Firefox。

SSL转发代理向导

SSL正向代理向导为管理员提供了一个通过web浏览器管理整个SSL正向代理部署的工具。它帮助指导客户快速启动SSL正向代理服务,并通过遵循一系列定义良好的步骤来简化配置。

  1. 导航到安全> SSL正向代理.在开始,点击SSL正向代理向导

    新向导

  2. 按照向导中的步骤配置部署。

向透明代理服务器添加监听策略

  1. 导航到安全>SSL正向代理>代理虚拟服务器.选中透明代理服务器,单击编辑

  2. 编辑基本设置,并单击更多的

  3. 听着优先,输入1。

  4. 监听策略表达,输入如下表达式:

    (CLIENT.TCP.DSTPORT.EQ (80) | | CLIENT.TCP.DSTPORT.EQ (443) < !——NeedCopy >

    这个表达式假设HTTP和HTTPS流量的标准端口。如果您配置了不同的端口,例如HTTP为8080,HTTPS为8443,请修改表达式以反映这些端口。

限制

在集群设置、管理分区和Citrix ADC FIPS设备上不支持SSL正向代理。

从SSL转发代理特性开始
2021年1月4日
由:
C
2021年1月4日
由:
C

在本文中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -思杰系统公司版权所有。