Intercepcion SSL
Un dispositivo Citrix ADC configurado para intercepción SSL actúa como Un proxy。保卫国家安全tráfico SSL/TLS,保护国家安全的督察,保护国家安全的行政长官,保护国家安全的督察。La intercepción SSL实用的有方向性的,特殊的tráfico,拦截的,闭塞的。Por ejemplo, el tráfico hacia y desde sitios web finance, como bancos, no debe ser interceptado, pero se puede intercepttar otro tráfico, y los sitios de lista de prohibidos se pueden pueden block。Citrix建议配置方向genérica para interceptar tráfico y方向más específicas para omitir parte del tráfico。
客户端代理建立HTTS/TLS协议。代理建立协议,采用HTTS/TLS协议,提供服务凭证。El代理comprueba El certificado del servidor en数量del cliente y也comprueba la validez▽certificado▽servidor mediante de estado de certificado en El Protocolo线(OCSP)。重新建立起一个仆人的证书,一个坚定的中介人,一个有证书的人,一个有配置的客户。Citrix ADC, Citrix ADC, Citrix ADC, Citrix ADC后端。
重要的
我有一份证书,我有一份证书,我有一份证书,我有一份证书,我有一份证书,我有一份证书,我有一份证书,我有一份证书,我有一份证书,我有一份证书
Para el tráfico HTTPS拦截,代理代理授权tráfico saliente,同意请求HTTP de texto claro y puede usar cualquier aplicación de Capa 7 Para procesar el tráfico, por ejemplo, mirado de texto format y permitido o bloquedo el access según la directiva corporativa y la reputación de URL。Si la decisión原产地的奴仆指示,原产地的奴仆代理reenvía原产地的奴仆指示,原产地的奴仆。我的代理人,我的代理人,我的代理人,我的代理人,我的代理人,我的代理人,我的代理人。一个continuación,我的代理人,我的代理人,我的代理人,我的代理人,我的委托人,reenvía。Si la decisión我们的指示,我们的指示,我们的关心,我们的服务,我们的错误,我们的代理,HTTP 403,我们的客户。
Para realizar la interceptación SSL, además del servidor proxy configurado前置,debe configurar lo siguiente en el dispositivo ADC:
- Perfil SSL
- Directiva SSL
- Almacén de certificados de CA
- Almacenamiento automático y Almacenamiento en caché de errors SSL
注:
El tráfico HTTP/2 no es interceptado por la función de intercepción SSL。
Almacén de certificados de intercepción SSL
一个SSL证书,一个形式的部分,作为一个个人transacción SSL,一个数字的公式(X509),一个国家的识别(domo)和一个个人。Una entidad emisora de certificados (CA) emite un certificado SSL。Una CA puede ser privada o pública。这是我们的国家,我们的国家,我们的国家,SSL confían我们的国家,我们的国家,públicas,我们的国家。这是一个美丽的国家confían。
Como proxy de reenvío, el dispositivo ADC realiza el cifrado y el descifrado del tráfico entre un client y un servidor。Actúa我的仆人,我的仆人(通常),我的仆人。这是一种处理方式tráfico HTTPS,这是一种有效的身份识别,这是一种欺诈行为。有了你,我就有了你,我就有了你,我有了你,我就有了你。有一份证书,有一份证书(por ejemplo, certificados raíz e intermedios)有一份文件,有一份文件,有一份证书,有一份证书,有一份证书,有一份证书,有一份证书,有一份文件。Un conjunto predeterminado de certificados de CA está preinstalado en Un dispositivo。我是说,我有能力,有能力,有能力,有能力,有能力,有能力,有能力,有能力。Este conjunto predeterminado no se puede modiar。我的禁令,我的愿望implementación要求más CA,我的愿望是,我的愿望是,我的愿望是,我的愿望是我的愿望。Un paquete también puede contener Un solo certificado。
我是一个很重要的人我是一个很重要的人我是一个很重要的人我是一个很重要的人我是一个很重要的人我是一个很重要的人。这是一件很有价值的事,很有价值的事。También我们出口的货物和证书都是有变化的ubicación我们的罪过conexión我们的工作。
重要的是,我有一份证书,我有一份证书,我有一份证书
En el símbolo del sistema, escriba:
import ssl certBundle apply ssl certBundle 显示ssl certBundle ARGUMENTOS:
数量:
这就是我们所要求的进口证书。Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y Debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión(-)。我的请求是:
Si el nombre包括más espacios, enciérrelo entre comillas dobles o simples (por ejemplo,“mi archiivo”o“mi archiivo”)。
Longitud最大值:31
src:
这是一份特定的协议,是一份可以使用的主机,包括档案的权限,所有进口和出口的证书。比如,http://www.example.com/cert_bundle_file.
背板: La importación我们的要求está unservidor HTTPS要求autenticación de certificate ado de client para el access。
Longitud极大值:2047
比如:
import ssl certbundle swg-certbundle http://www.example.com/cert_bundle apply ssl certbundle swg-certbundle show ssl certbundle Name: swg-certbundle(Inuse) URL: http://www.example.com/cert_bundle Done 进口一份关于如何处理问题的证书和调解人如何处理问题gráfica通常
- Vaya一Seguridad > Proxy de reenvío SSL > Introducción > Paquetes de certificados.
- 让我们一起唱:
- 选择你的名单。
- Para agregar un paquete de certificados, haga clic en + y specique un nombre y una URL de origen。哈加按在Aceptar.
- 哈加按在Aceptar.
这是我的证书,我的安排,我的命令
En el símbolo del sistema, escriba:
删除certBundle <证书包名称> 比如:
删除certBundle mytest-cacert 这是一个出口,没有证书,没有安排,没有安排,没有命令
En el símbolo del sistema, escriba:
export certBundle <导出>的路径 ARGUMENTOS:
数量:
这就是我们所要求的进口证书。Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y Debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión(-)。我的请求是:
Si el nombre包括más espacios, enciérrelo entre comillas dobles o simples (por ejemplo,“mi archiivo”o“mi archiivo”)。
Longitud最大值:31
src:
这是一份特定的协议,是一份可以使用的主机,包括档案的权限,所有进口和出口的证书。比如,http://www.example.com/cert_bundle_file.
背板: La importación我们的要求está unservidor HTTPS要求autenticación de certificate ado de client para el access。
Longitud极大值:2047
比如:
导出certBundle mytest-cacert http://192.0.2.20/ 很重要的,一份证书,一份证书,在CA, desde el almacén CA, desde Mozilla
En el símbolo del sistema, escriba:
> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem Done Para aplicar el paquette, escriba:
> apply certbundle mozilla_public_ca Done 在所有情况下都能得到证明,escriba:
> sh certbundle | grep mozilla Name: mozilla_public_ca (Inuse) Limitaciones
- 有了这些证书,你就会知道instalación de clúster你就会知道。
- El protocolo TLSV1.3 no es compatible con Proxy de reenvío SSL。
基础设施指示SSL参数interceptación SSL
我们的指示actúa我们的过滤器tráfico入口。决定的指示,决定的,决定的cómo行政代理。我的程序是这样的,有了指令,就有了配置。我们有自己的想法,有自己的想法conexión我们有自己的想法,我们有自己的想法,我们有自己的想法,我们有自己的想法,我们有自己的想法,我们有自己的想法(expresión)。Después de definir una acción para ignignarla la la directiva crearla, debe vincularla a un servidor proxy, de modo que se plique al tráfico que fluye a través de de ese servidor proxy。
指示的SSL para intercepción SSL evalúa el tráfico请求的入口acción预先定义的关怀和巧合的连接(expresión)。La decisión de拦截,不稳定的una conexión se toma en función de La directiva SSL定义。配置方式:Intercepción,旁路复位。Debe specific una acción al crear una directiva。Para poner en práctica una directiva, debe vincularla un servidor proxy del dispositivo。特别指示está目的地指示interceptación SSL,特别指示(punto de enlace) como INTERCEPT_REQ指示指示伺服代理。向外定向,特别是向外定向。
背板:
我的代理人,没有,puede tomar la decisión,拦截,一个menos, que,特别指示。
La interceptación de tráfico puede basarse en cualquier atributo de enlace SSL。El más utilzado es El dominio SSL。El dominio SSL是SSL的标志,是SSL的协议。保卫国家的英勇指战员extraído保卫国家的人民保卫国家的安全,está代表国家,保卫国家的英勇指战员(SAN) extraído保卫国家的证书。La directiva de interceptación SSL present enta un atributo particular, DETECTED_DOMAIN。我们为客户提供便利interceptación我们的领土SSL的证书和服务。我们的客户,我们的主人,我们的名字,我们的名字,我们的指示URL(我们的指示URLpatset) o una categoría de URL衍生ada del dominio。
SSL中介,命令行
En el símbolo del sistema, escriba:
添加SSL策略 -rule -action 包括:
我的意思是,我的意思是,我的意思是,我的意思是,我的意思是detected_domainPara buscar UN nombre de dominio。
没有拦截tráfico a una institución financiera, como XYZBANK
add ssl policy pol1 -rule client.ssl.detected_domain.contains("XYZBANK") -action BYPASS 没有任何许可让你在YouTube上看到红色社团
add ssl policy pol2 -rule client.ssl.client.ssl.detected_domain.url_categorize(0,0).category.eq ("YouTube") -action RESET 截击tráfico de usuario
add ssl policy pol3 -rule true -action INTERCEPT 我的委托人不知道有什么可探测的领域,我知道有什么可探测的领域,我知道有什么可探测的领域我知道有什么可探测的领域。
Por ejemplo, no se encuentra un nombre de dominio en la extensión SNI del mensaje de saludo del client。我的主人,我的主人,我的证书,我的仆人。我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是,我的意思是。
截住我们tráfico雅虎的日常事务
add ssl policy pol4 -rule client.ssl.origin_server_cert.subject.contains("yahoo") -action INTERCEPT 截击todo el tráfico de usuarios de la categoría“Compras/Retail”
添加ssl策略pol_url_category -rule client.ssl.origin_server_cert.subject. url_category (0,0).CATEGORY.eq("Shopping/Retail") -action INTERCEPT 拦截网址tráfico通常的网址没有分类
add ssl policy pol_url_category -rule client.ssl.origin_server_cert.subject. url_category (0,0).category.eq(" unclassified ") -action INTERCEPT 所有的人,都有自己的指示,都有自己的指示,都有自己的指示,都有自己的指示。
拦截网址tráfico通常的网址网址" top100 "
添加ssl策略pol_url_set -rule client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top100") -action拦截拦截网址tráfico " top100 "
添加ssl策略pol_url_set -rule client.ssl.origin_server_cert.subject.URLSET_MATCHES_ANY("top100") -action拦截我们的指示,SSL,代理,中间人,国际间的联系gráfica,通常
- Vaya一Administración de Tráfico > SSL >指令.
- En la fichaDirectivas SSL, haga clic en需要在Y specique los siguientes parámetros:
- 滑道directiva
- Acción de directiva:选择入口拦截,省略不稳定。
- 表达式的值
- 哈加按在Crear.
Enlazar una directiva SSL unservidor代理中介la CLI
En el símbolo del sistema, escriba:
bind ssl vserver -policyName -priority -type INTERCEPT_REQ 比如:
绑定ssl vserver -policyName pol1 -priority 10 -type INTERCEPT_REQ Enlazar una directiva SSL un servidor代理中介la interfaz gráfica de usuario
- Vaya一Seguridad > Proxy de reenvío SSL > Servidores虚拟代理.
- 选择伺服或虚拟系统Modificar.
- 在Configuracion avanzada, haga clic enDirectivas SSL.
- Haga clic dentro del cuadroDirectiva SSL.
- 在Seleccionar directiva,选择的方向对。
- 在蒂波, seleccioneINTERCEPT_REQ.
- 哈加按在VincularY,一个continuación, haga clic enAceptar.
desvinular una directiva SSL, unservidor代理中介,la CLI
En el símbolo del sistema, escriba:
unbind ssl vserver -policyName -type INTERCEPT_REQ 表达式SSL实用程序指示SSL
| 表达式的值 | Descripcion |
|---|---|
CLIENT.SSL.CLIENT_HELLO.SNI。* |
deuelve la extensión SNI en un formato de cadena。Evalúe la cadena para over si contente el texificado。比如:Client.ssl.client_hello.sni.contains (“xyz.com”) |
CLIENT.SSL.ORIGIN_SERVER_CERT。* |
你说得对,你说得对,你说得对,你说得对。Evalúe la cadena para over si contente el texificado。比如:Client.ssl.origin_server_cert.subject.contains (“xyz.com”) |
CLIENT.SSL.DETECTED_DOMAIN。* |
deuelve un dominio, ya sea de la extensión SNI o del certificate icado del servidor de origen, en un formato de cadena。Evalúe la cadena para over si contente el texificado。比如:Client.ssl.detected_domain.contains (“xyz.com”) |
错误SSL autoaprendizaje
我有自己的想法,我有自己的想法omisión我有自己的想法está我有自己的想法。我是说,我是说,我是说,我是说,我是说,我是说,我是说,我是说,我是说,我是说,我是说,我是说。我的朋友们,我的朋友们我的朋友们envía我的朋友们。No se aprende si No se envía un mensaje de alerta。我是这样安排的,我是这样安排的,我是这样安排的
我要给你一份服务委托人的证书。
我知道,我知道,我知道,我知道,我知道
- CERTIFICADO BAD_
- UNSUPPORTED_CERTIFICATE
- CERTIFICATE_REVOCADO
- CERTIFICATE_CADUCADO
- CERTIFICATE_UNKNOWN
- ca(这是客户的工作,envía这个人的工作,这是仆人的证书)。
- HANDSHAKE_FAILURE
有能力的,有能力的caché有错误的特别的,有记忆的,有能力的。
有能力的人,有能力的人,有能力的人gráfica
Vaya一Administración del tráfico > SSL.
在Configuracion, haga clic enCambiar la configuración avanzada de SSL.
在Intercepcion SSL, seleccioneCaché de错误de Intercepción SSL.
在SSL拦截最大错误缓存内存,特别是记忆(字节)和quiere储备。
哈加按在Aceptar.
我知道你是谁了
En el símbolo del sistema, escriba:
设置ssl参数-ssliErrorCache (ENABLED | DISABLED) -ssliMaxErrorCacheMem Argumentos:
SSLIErrorCache:
有能力的人,有能力的人,有能力的人dinámico y almacene en caché la información有能力的人,有能力的人,有能力的人,有能力的人。“我有能力,我能实现自己的愿望búsqueda en caché决定了我的愿望。”
Valores可能:ENABLED, DISABLED
英勇predeterminado:禁用
sslimaxErrorcachemem:
特别的记忆máxima,有字节,有puede实用程序para almacenar en caché有数据。关于法律的备忘录caché LRU关于新事物的记忆después关于新事物的记忆límite关于已建立的记忆。Un valor de 0决定el límite automáticamente。
英勇predeterminado: 0
英勇缩印版:0
英勇maximo: 4294967294
Perfil SSL
Un perfil SSL es una colección de configuration aciones SSL,多种协议。Un perfil es útil si tiene una configuración común para different servidores。特别的la misma configuración para cada servidor, puede crear un perfil,特别的la configuración En el perfily, a continuación,一个不同的servidores。Si no se crea un perfil SSL前端个性化,完全前端预先确定está enlazado a entidades del lado客户端。我的意思是,我的意思是,我的意思是,我的意思是,我的意思是。
Para la intercepción SSL, debe crear un perfil SSL y habilitar la intercepción SSL en el perfil。一组柚子的预先决定的está一组柚子的预先决定的,一组柚子的预先决定的más柚子的临时决定的implementación。Enlazar un certificado de CA de interceptación SSL a este perfil y,一个continuación, Enlazar el perfil a un servidor proxy。Para la intercepción SSL, los parámetros
- 这是我的权利,我的权利,我的权利。
- Desencadena la renegociación客户si el servidor de origen solicita renegociación。
- 全权代理证书sesión SSL前端。
使用后端预先决定的工具,同时也使用了原始的服务。建立我们的友谊parámetro我的仆人,我的仆人,我的同伴,我的后来者。后端个性化没有任何限制。
Para ver ej雇佣de la configuración SSL más utizada,咨询“必须履行义务”和最终履行义务sección。
我是cifrado的律师/我是一个红色的国际和外部的律师。我们的朋友们,conexión我们的朋友们,我们的朋友们。红色,外部,内心,意志,网络。
taba de compatibilidad de cifrados/protocolos para la red inter
参考Tabla 1 Compatibilidad con servidor/servidor frontend virtual/servicio interno en密码disponibles en los disposvos Citrix ADC.
taba de compatibilidad de cifrados/protocolos para la red external
参考Tabla 2 Compatibilidad con servicios后端en密码disponibles en los disposvos Citrix ADC.
同意完全的SSL连接方式interceptación SSL连接方式命令行
En el símbolo del sistema, escriba:
add ssl profile
Argumentos:
IntercepcionSSLIntercepcion:
Habilitar o inhabilitar la interceptación de sesiones SSL。
Valores可能:ENABLED, DISABLED
英勇predeterminado:禁用
SSLIreneg:
能住的人activación de la renegociación我的客户能照顾到我renegociación我的仆人。
Valores可能:ENABLED, DISABLED
英勇predeterminado:启用
ComprobacionSSLIOCSPCheck:
能住的人,能住的人comprobación OCSP,原产地证书。
Valores可能:ENABLED, DISABLED
英勇predeterminado:启用
sslimaxsessperServer:
Número máximo de sesiones SSL que se almacenarán en caché or servidor de origen dinámico。Se crea una sesión SSL única para cada extensión SNI recibida del client en un mensaje de saludo de client。La sesión巧合se功利za para La reutilización de La sesión del servidor。
英勇predeterminado: 10
英勇缩印版:1
英勇maximo: 1000
比如:
add ssl profile swg_ssl_profile - ssl拦截ENABLED Done sh ssl profile swg_ssl_profile 1)名称:swg_ssl_profile(前端)SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED客户端认证:DISABLED仅使用绑定CA证书:DISABLED严格CA检查:NO会话重用:ENABLED超时时间:120秒DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: ENABLED刷新计数:0拒绝ssl重协商ALL非FIPS密文:DISABLED Cipher重定向:DISABLED SSL Redirect: DISABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Push Encryption Trigger: Always Push Encryption Trigger Trigger timeout: 1ms SNI: DISABLED OCSP Stapling: DISABLED Strict Host Header Check for SNI enabled SSL会话:NO Push flag: 0x0 (Auto) SSL量子大小:8kb加密触发超时100ms加密触发包数:45 Subject/Issuer Name插入格式:Unicode SSL拦截:enabled SSL拦截OCSP Check:ENABLED SSL拦截端到端重协商:ENABLED SSL拦截客户端重用证书验证:ENABLED SSL拦截每服务器最大重用会话数:10 Session Ticket: DISABLED Session Ticket存活时间:300 (secs) HSTS: DISABLED HSTS包括esubdomains: NO HSTS Max-Age: 0 ECC Curve: P_256, P_384, P_224, P_521 1)密码名:DEFAULT优先级:1描述:预定义密码Alias Done Enlazar un certificado de CA de interceptación SSL a un perfil SSL中介la CLI
En el símbolo del sistema, escriba:
bind ssl profile
比如:
bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert Done sh ssl profile swg_ssl_profile 1)名称:swg_ssl_profile(前端)SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED客户端认证:DISABLED仅使用绑定的CA证书:DISABLED严格的CA检查:NO会话重用:ENABLED超时时间:120秒DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: ENABLED刷新计数:0拒绝ssl重协商ALL非FIPS Cipher: DISABLED Cipher重定向:DISABLED SSL Redirect: DISABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Push Encryption Trigger: Always Push Encryption Trigger Trigger timeout: 1ms SNI: DISABLED OCSP Stapling: DISABLED Strict Host Header Check for SNI enabled SSL会话:NO Push flag: 0x0 (Auto) SSL量子大小:8kb加密触发超时100ms加密触发包数:45 Subject/Issuer Name插入格式:Unicode SSL拦截:enabled SSL拦截OCSP Check:ENABLED SSL拦截端到端重协商:ENABLED SSL拦截客户端重用证书验证:ENABLED SSL拦截每服务器最大重用会话数:10 Session Ticket: DISABLED Session Ticket生存期:300 (secs) HSTS: DISABLED HSTS包括esubdomains: NO HSTS Max-Age: 0 ECC Curve: P_256, P_384, P_224, P_521 1)密码名:默认优先级:1描述:预定义密码Alias 1) SSL拦截CA CertKey名称:swg_ca_cert Done 认证机构认证机构interceptación SSL认证机构SSL中介机构gráfica de usuario
Vaya一Sistema>Perfiles>Perfil SSL.
哈加按在需要在.
特别的,特别的,特别的。
Habilite拉intercepción de sesiones SSL.
哈加按在Aceptar.
在Configuracion avanzada, haga clic en劈开de certificado.
特别的证书的clave de certificate de intercepción SSL para enlazar al perfil。
哈加按在SeleccionarY,一个continuación, haga clic enVincular.
Opcionalmente,配置los cifrados para que se adapten a su implementación。
- Haga clic el icono de edición y,一个continuación, Haga clic en需要在.
- 选择uno o más cicione de cifrado y haga clic en la flecha derecha。
- 哈加按在Aceptar.
哈加按在完成.
Enlazar un perfil SSL un servidor代理中介la interfaz gráfica de usuario
- Vaya一Seguridad>代理de reenvío SSL>Servidores虚拟代理我同意联合国仆人o选择联合国仆人para modificarlo。
- 在Perfil SSL, haga clic en el icono de edición。
- En la里Perfil SSL, seleccione el perfil SSL que creó前。
- 哈加按在Aceptar.
- 哈加按在完成.
Perfil de具体:
名称:swg_ssl_profile(前端)SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED客户端认证:DISABLED仅使用绑定CA证书:DISABLED严格CA检查:NO会话重用:ENABLED超时时间:120秒DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: ENABLED刷新计数:0拒绝SSL重协商ALL非FIPS Cipher: DISABLED Cipher重定向:DISABLED SSL重定向:DISABLED Send Close-Notify: YES严格Sig-Digest检查:DISABLED Push Encryption Trigger: Always Push加密触发超时:1ms SNI: DISABLED OCSP Stapling: DISABLED Strict Host Header check for SNI enabled SSL会话:NO Push flag: 0x0 (Auto) SSL量子大小:8kb加密触发超时100ms加密触发包数:45 Subject/Issuer Name插入格式:Unicode SSL拦截:enabled SSL拦截OCSP check: enabled SSL拦截端到端重协商:ENABLED SSL截获每服务器最大复用会话数:10 Session Ticket: DISABLED Session Ticket存活时间:300 (secs) HSTS: DISABLED HSTS包括esubdomains: NO HSTS Max-Age: 0 ECC Curve: P_256, P_384, P_224, P_521 1)密码名:默认优先级:1描述:预定义加密Alias 1) SSL截获CA CertKey名称:swg_ca_cert