SSL策略绑定
可以全局绑定SSL策略,也可以只绑定SSL类型的虚拟服务器。全局绑定策略在评估所有绑定到服务、虚拟服务器或其他Citrix ADC绑定点的策略之后进行评估。如果传入的数据匹配SSL策略中配置的任何规则,则会触发该策略,并执行与之关联的操作。
当绑定SSL策略到虚拟服务器时,必须从以下绑定点中进行选择:
REQUEST(默认绑定点。策略评估是在SSL握手完成后在HTTP层完成的。)
INTERCEPT_REQ(此选项适用于Citrix安全Web网关设置。有关更多信息,请参见用于SSL拦截的SSL策略基础设施).
CLIENTHELLO_REQ
类似地,当从虚拟服务器解绑定策略时,必须指定绑定点。
如果指定CLIENTHELLO_REQ作为绑定点,则在接收到客户端hello消息时评估策略。允许的操作是RESET、FORWARD和caCertGrpName.复位操作将终止连接。forward动作将请求转发到负载均衡虚拟服务器进行处理。的caCertGrpNameaction选择基于SNI的ca进行客户端身份验证。有关SSL操作的更多信息,请参见SSL内置操作和用户定义操作.
注意:TLS 1.3协议不支持caCertGrpName动作。
通过CLI方式全局绑定SSL策略
在命令提示符处,输入以下命令绑定一个全局SSL策略并验证配置:
bind ssl global - policyName [- priority ] show ssl global 例子:
bind ssl global -policyName policy - ssl -priority 90 Done sh ssl global 1)名称:Policy-SSL-2优先级:90 2)名称:Policy-SSL-1优先级:100 Done 通过使用GUI全局绑定SSL策略
- 导航到交通管理>SSL>政策.
- 在详细信息窗格中,单击全局绑定.
- 在绑定/解绑定SSL策略到全局对话框中,单击插入政策.
- 在政策的名字列表,选择一个策略。
- 可以选择将条目拖到策略银行中的新位置,以自动更新优先级级别。
- 点击好吧.状态栏中将出现一条消息,说明策略已成功绑定。
该任务指导管理员通过命令行,为虚拟服务器绑定或解绑定SSL策略
在命令提示符下,输入以下命令绑定SSL策略到虚拟服务器并验证配置:
bind ssl vserver -policyName -priority -type unbind ssl vserver -policyName -priority -type 例子:
bind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ unbind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ show ssl vserver vs-server Advanced ssl configuration for vserver vs-server: DH: DISABLED Ephemeral RSA: ENABLED Refresh Count: 1000 Session Reuse: ENABLED Timeout: 120 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 80 Client Auth: DISABLED ssl Redirect: ENABLED ssl - Redirect Port Rewrite: ENABLED Non FIPS Cipher:DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) Policy Name: ssl-policy-1 Priority: 10 1) Cipher Name: DEFAULT Description:预定义Cipher Alias Done 通过GUI将SSL策略绑定到虚拟服务器
- 导航到交通管理>负载平衡>虚拟服务器,打开SSL虚拟服务器。
- 在高级设置中,选择SSL政策.点击SSL政策段将策略绑定到虚拟服务器。
- 在政策约束力页,选择现有策略或添加新策略。
- 指定策略优先级和类型(绑定点)。
- 选择绑定.
- 选择完成.
复制!
失败了!