SSL政策
Citrix ADC设备上的策略有助于识别要处理的特定连接。处理基于为该特定策略配置的操作。一旦您创建了策略并为其配置了操作,您必须执行以下操作之一:
- 将策略绑定到设备上的虚拟服务器,以便它只应用于通过该虚拟服务器的流量。
- 全局绑定策略,以便它应用于流经Citrix ADC设备上配置的任何虚拟服务器的所有流量。
Citrix ADC设备SSL特性支持高级策略。有关高级策略表达式的完整描述、它们如何工作以及如何手动配置它们,请参见政策和表达式.
注意:
没有在CLI中配置策略经验的用户通常会发现使用配置实用程序要容易得多。
SSL策略要求您在创建策略之前创建操作,以便您可以在创建策略时指定操作。在SSL高级策略策略中,您还可以使用内置操作。有关内置操作的更多信息,请参见SSL内置操作和用户定义操作.
高级策略策略
SSL高级策略,也称为高级策略,定义了对请求执行的控制或数据操作。因此,SSL策略可以分为控制策略和数据策略:
- 控制策略.控制策略使用控制动作,例如强制客户端身份验证。注意:在10.5或更高版本中,默认情况下,拒绝SSL重协商(denySSLReneg)设置为ALL。然而,诸如CLIENTAUTH之类的控制策略会触发重新协商握手。如果使用这种策略,必须将denySSLReneg设置为NO。
- 数据策略.数据策略使用数据操作,例如将一些数据插入请求。
一项政策的基本组成部分是一种表达和一种行动。表达式标识要执行操作的请求。
您可以使用内置操作或用户定义操作配置高级策略。您可以使用内置操作配置策略,而无需创建单独的操作。但是,要配置具有用户定义动作的策略,请先配置动作,然后再配置策略。
您可以指定一个额外的操作,称为UNDEF操作,当将表达式应用到具有未定义结果的请求时执行。
SSL策略配置
您可以通过命令行和图形界面配置SSL高级策略。
通过命令行配置SSL策略
在命令提示符处,输入:
add ssl policy -rule -Action [-undefAction ] [-comment ] 通过GUI配置SSL策略
导航到流量管理> SSL >策略和,政策选项卡上,单击添加.
支持使用TLS1.3协议的SSL策略
从发布版13.0构建71开始。x和更高版本的版本,使用TLS1.3协议添加了对SSL策略的支持。当为连接协商TLSv1.3协议时,检查从客户端接收到的TLS数据的策略规则现在会触发配置的操作。
例如,如果下面的策略规则返回true,流量将被转发到动作中定义的虚拟服务器。
Add SSL action action1 -forward vserver2 Add SSL policy pol1 -rule client. SSL .client_hello. ni.contains(" xyz ") -action action1 限制
- 不支持控制策略。
- 不支持以下操作:
- DOCLIENTAUTH
- NOCLIENTAUTH
- caCertGrpName
- clientCertVerification
- ssllogProfile
SSL政策
复制!
失败了!