Documentación de productos
ADC
Current Release 13.0 12.1
Ver PDF

Registro SSL selectivo

October 4, 2021
Contribución de:
C

En una implementación grande que comprende miles de servidores virtuales, se registra toda la información relacionada con SSL. Anteriormente, filtrar los éxitos y fallas de autenticación de cliente y protocolo de enlace SSL para algunos servidores virtuales críticos no era fácil. La búsqueda de todo el registro para obtener esta información fue una tarea laboriosa y tediosa, ya que la infraestructura no ofrecía el control para filtrar los registros. Ahora, puede registrar información relacionada con SSL enns.log, para un servidor virtual específico o para un grupo de servidores virtuales. Esta información es especialmente útil para errores de depuración. Para registrar esta información, debe agregar un perfil de registro SSL.

Consulte la salida de ejemplo de ns.log para obtener una autenticación de cliente correcta al final de esta página.

Importante:Establezca el nivel de registro de syslog en DEBUG. En el símbolo del sistema, escriba:

set audit syslogParams -logLevel DEBUG

Perfil de registro SSL

Un perfil de registro SSL proporciona control sobre el registro de los siguientes eventos para un servidor virtual o un grupo de servidores virtuales:

  • Errores y errores de autenticación de cliente, o solo errores.

  • El éxito y los fallos del protocolo de enlace SSL, o solo los errores.

De forma predeterminada, todos los parámetros están inhabilitados.

Un perfil de registro SSL se puede establecer en un perfil SSL o en una acción SSL. Si se establece en un perfil SSL, puede registrar tanto la autenticación del cliente como la información de éxito y error del protocolo de enlace SSL. Si se establece en una acción SSL, solo puede registrar la información de error y éxito de autenticación de cliente porque el protocolo de enlace se ha completado antes de que se evalúe la directiva.

Los errores y los errores de autenticación de cliente y protocolo de enlace SSL se registran incluso si no se configura un perfil de registro SSL. Sin embargo, el registro selectivo solo es posible si se utiliza un perfil de registro SSL.

Nota:

El perfil de registro SSL es compatible con configuraciones de clúster y alta disponibilidad.

Agregar un perfil de registro SSL mediante la CLI

En el símbolo del sistema, escriba:

add ssl logprofile  [-sslLogClAuth ( ENABLED | DISABLED )] [-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]

Parametros:

Nombre:

Nombre del perfil de registro SSL. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). No se puede cambiar después de crear el perfil.

Nombre es un argumento obligatorio. Longitud máxima: 127

sslLogClAuth:

Registre todos los eventos de autenticación de cliente. Incluye eventos de éxito y de fracaso.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: DISABLED

ssllogClAuthFailures:

Registrar todos los eventos de error de autenticación de cliente.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: DISABLED

sslLogHS:

Registre todos los eventos relacionados con el protocolo de enlace SSL. Incluye eventos de éxito y de fracaso.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: DISABLED

sslLogHSfailures:

Registre todos los eventos de error relacionados con el protocolo de enlace SSL.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: DISABLED

Ejemplo:

> add ssl logprofile ssllog10 -sslLogClAuth ENABLED -sslLogHS ENABLED Done sh ssllogprofile ssllog10 1) Name: ssllog10 SSL log ClientAuth [Success/Failures] : ENABLED SSL log ClientAuth [Failures] : DISABLED SSL log Handshake [Success/Failures] : ENABLED SSL log Handshake [Failures] : DISABLED Done

Agregar un perfil de registro SSL mediante la interfaz gráfica de usuario

Vaya aSistema > Perfiles > Perfil de registro SSLy agregue un perfil.

Modificar un perfil de registro SSL mediante la CLI

En el símbolo del sistema, escriba:

set ssl logprofile  [-sslLogClAuth ( ENABLED | DISABLED )][-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]

Ejemplo:

set ssllogprofile ssllog10 -ssllogClAuth en -ssllogClAuthFailures en -ssllogHS en -ssllogHSfailures en Done sh ssllogprofile ssllog10 1) Name: ssllog10 SSL log ClientAuth [Success/Failures] : ENABLED SSL log ClientAuth [Failures] : ENABLED SSL log Handshake [Success/Failures] : ENABLED SSL log Handshake [Failures] : ENABLED Done

Modificar un perfil de registro SSL mediante la interfaz gráfica de usuario

  1. Vaya aSistema > Perfiles > Perfil de registro SSL, seleccione un perfil y haga clic enModificar.
  2. Realice los cambios y haga clic enAceptar.

Ver todos los perfiles de registro SSL mediante la CLI

En el símbolo del sistema, escriba:

sh ssl logprofile

Ejemplo:

sh ssl logprofile 1)名称:ssllogp1 ssl客户机日志Auth [Success/Failures] : ENABLED SSL log ClientAuth [Failures] : ENABLED SSL log Handshake [Success/Failures] : DISABLED SSL log Handshake [Failures] : ENABLED 2) Name: ssllogp2 SSL log ClientAuth [Success/Failures] : DISABLED SSL log ClientAuth [Failures] : DISABLED SSL log Handshake [Success/Failures] : DISABLED SSL log Handshake [Failures] : DISABLED 3) Name: ssllogp3 SSL log ClientAuth [Success/Failures] : DISABLED SSL log ClientAuth [Failures] : DISABLED SSL log Handshake [Success/Failures] : DISABLED SSL log Handshake [Failures] : DISABLED 4) Name: ssllog10 SSL log ClientAuth [Success/Failures] : ENABLED SSL log ClientAuth [Failures] : ENABLED SSL log Handshake [Success/Failures] : ENABLED SSL log Handshake [Failures] : ENABLED Done

Ver todos los perfiles de registro SSL mediante la interfaz gráfica de usuario

Vaya aSistema > Perfiles > Perfil de registro SSL. Todos los perfiles están listados.

Adjuntar un perfil de registro SSL a un perfil SSL

Puede adjuntar (establecer) un perfil de registro SSL en un perfil SSL cuando cree un perfil SSL, o más adelante editando el perfil SSL. Puede registrar los éxitos y errores de autenticación de cliente y el protocolo de enlace.

Importante:

El perfil SSL predeterminado debe estar habilitado para poder adjuntar un perfil de registro SSL.

Adjuntar un perfil de registro SSL en un perfil SSL mediante la CLI

En el símbolo del sistema, escriba:

set ssl profile  [-ssllogProfile ]

Ejemplo:

set ssl profile fron_1 -ssllogProfile ssllog10

Adjuntar un perfil de registro SSL a un perfil SSL mediante la interfaz gráfica de usuario

  1. Vaya aSistema > Perfiles > Perfil SSL.
  2. Haga clic enModificary, enPerfil de registro SSL, especifique un perfil.

Adjuntar un perfil de registro SSL a una acción SSL

Solo puede establecer un perfil de registro SSL mientras crea una acción SSL. No puede modificar una acción SSL para establecer el perfil de registro. Asocie la acción a una directiva. Solo puede registrar los éxitos y errores de autenticación de cliente.

Adjuntar un perfil de registro SSL a una acción SSL mediante la CLI

En el símbolo del sistema, escriba:

add ssl action  -clientAuth ( DOCLIENTAUTH | NOCLIENTAUTH ) -ssllogProfile

Ejemplo:

> add ssl action act1 -clientAuth DoCLIENTAUTH -ssllogProfile ssllog10 Done > sh ssl action act1 1) Name: act1 Type: Client Authentication (DOCLIENTAUTH) Hits: 0 Undef Hits: 0 Action Reference Count: 0 SSLlogProfile: ssllog10 Done

Adjuntar un perfil de registro SSL a una acción SSL mediante la interfaz gráfica de usuario

  1. Vaya aAdministración de tráfico > SSL > Directivasy haga clic enAcciones de SSL.
  2. Haga clic enAdd.
  3. En Autenticación de cliente, seleccioneENABLED.
  4. En Perfil de registro SSL, seleccione un perfil de la lista o haga clic en “+” para crear un perfil.
  5. Haga clic enCrear.

Salida de ejemplo del archivo de registro

A continuación se muestra un resultado de registro de ejemplo dens.logpara la autenticación de cliente correcta.

Jan 24 16:24:25  10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 158 0 : SPCBId 671 - ClientIP 10.102.1.98 - ClientPort 49451 - VserverServiceIP 10.102.57.82 - VserverServicePort 443 - ClientVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session New - CLIENT_AUTHENTICATED -SerialNumber "2A" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 22 09:15:20 2008 GMT" - ValidTo "Feb 8 09:15:20 2036 GMT" - HandshakeTime 10 ms Jan 24 16:24:25  10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 159 0 : SPCBId 671 - IssuerName " C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix" Jan 24 16:24:25  10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 160 0 : SPCBId 671 - SubjectName " C=IN,ST=KAR,O=Citrix Pvt Ltd,OU=A,CN=B" Jan 24 16:24:25  10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 161 0 : Backend SPCBId 674 - ServerIP 10.102.57.85 - ServerPort 443 - ProtocolVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session Reuse - SERVER_AUTHENTICATED -SerialNumber "3E" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 24 06:40:37 2008 GMT" - ValidTo "Feb 10 06:40:37 2036 GMT" - HandshakeTime 1 ms Jan 24 16:24:25  10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 162 0 : SPCBId 674 - IssuerName " C=IN,ST=KAR,O=Citrix Pvt Ltd" Jan 24 16:24:25  10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 163 0 : SPCBId 674 - SubjectName " C=IN,ST=P,L=Q,O=R"
Registro SSL selectivo
October 4, 2021
Contribución de:
C
October 4, 2021
Contribución de:
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999-Cloud Software Group, Inc. All rights reserved.