Citrix ADC SSLプロファ▪▪ル検証済みリファレンスデザ▪▪ン
概要
Citrix ADCのサマリ
Citrix ADCはオールインワンのアプリケーション配信控制器でアプリケーションを最大5倍に実行し,アプリケーションの所有コストを削減し,ユーザーエクスペリエンスを最適化し,アプリケーションを常に使用できるようにします。
- 高度なl4-7ロドバランシングとトラフィック管理
- 実証済みのアプリケ,ションアクセラレ,ション(http,圧縮やキャッシュなど)
- アプリケションセキュリティのための統合されたアプリケションファアウォル
- サ,バのオフロ,ドにより,コストを大幅に削減し,サ,バ,を統合
サービスとアプリケーションデリバリのリーダーとして,Citrix ADCは世界中の何千ものネットワークに展開され,エンタープライズおよびクラウドサービスの提供を最適化し,セキュリティで保護し,制御しています。Citrix ADCは、Webサーバーとデータベースサーバーの前に直接配置され、高速負荷分散とコンテンツスイッチ、http圧縮、コンテンツキャッシュ、SSLアクセラレーション、アプリケーションフローの可視性、強力なアプリケーションファイアウォールを統合し、使いやすい統合プラットフォームに統合します。ネットワークデータを実用的なビジネスインテリジェンスに変換するエンドツーエンドの監視により、SLA への対応が大幅に簡素化されます。Citrix ADCでは、プログラミングの専門知識を必要とせずに、シンプルな宣言型ポリシーエンジンを使用してポリシーを定義および管理できます。
Citrix ADC SSLプロファescルの概要
SSLプロファイルを使用して,Citrix ADCがSSLトラフィックを処理する方法を指定できます。このプロファイルは,仮想サーバ,サービス,サービスグループなどのSSLエンティティのSSLパラメータ設定の集まりであり,設定の容易さと柔軟性を提供します。グローバルパラメータのセットを1つだけ設定することに限定されません。グローバルパラメータの複数のセット(プロファイル)を作成し,異なるSSLエンティティに異なるセットを割り当てることができます。SSLプロファ▪▪ルは,次の2▪▪のカテゴリに分類されます。
- フロントエンドプロファ@ @ル。フロントエンドエンティティに適用可能なパラメ,タ,を含みます。。
- バックエンドプロファ@ @ル。バックエンドエンティティに適用可能なパラメ,タを含みます。。
TCPまたはHTTPプロファaapl .ルとは異なり,sslプロファaapl .ルはオプションです。SSLプロファescル(グローバルパラメータ)が有効になると、すべての SSL エンドポイントはデフォルトプロファイルを継承します。複数のエンティティ間で同じプロファイルを再利用できます。図形に縦断がアタッチされていない場合は、グローバルレベルで設定された値が適用されます。動的に学習されたサービスには、現在のグローバル値が適用されます。
個々のSSLエンドポイントでSSLパラメータ,暗号化,ECC曲線の構成を必要とする代替方法と比較して,Citrix ADC SSLプロファイルはすべての関連エンドポイントに対してSSL構成の単一ポイントとして機能し,構成管理を簡素化します。さらに,暗号の順序変更や暗号の順序変更時のダウンタイムなどの設定の問題は,SSLプロファイルを使用して解決されます。
SSLプロファイルは,従来はこれらのパラメータとバインディングを設定できなかったSSLエンドポイントに必須のSSLパラメータと暗号バインディングを設定するのに役立ちます。SSLプロファルは,セキュリティで保護されたモニタでも設定できます。
次の表に,各プロファ。
フロントエンドプロファ@ @ル | バックエンドプロファ@ @ル |
---|---|
cipherRedirect, cipherURL | denySSLReneg |
clearTextPort * | encryptTriggerPktCount |
clientAuth, clientCert | nonFipsCiphers |
denySSLReneg | pushEncTrigger |
dh, dhFile, dhCount | pushEncTriggerTimeout |
dropReqWithNoHostHeader | pushFlag |
encryptTriggerPktCount | quantumSize |
eRSA, eRSACount | serverAuth |
insertionEncoding | commonName |
nonFipsCiphers | sessReuse, sessTimeout |
pushEncTrigger | SNIEnable |
pushEncTriggerTimeout | ssl3 |
pushFlag | sslTriggerTimeout |
quantumSize | strictCAChecks |
redirectPortRewrite | トルズ1.0,トルズ1.1,トルズ1.2 |
sendCloseNotify | |
sessReuse, sessTimeout | |
SNIEnable | |
ssl3 | |
sslRedirect | |
sslTriggerTimeout | |
strictCAChecks | |
Tls1, tls11, tls12 |
*clearTextPortパラメ,タ,は,SSL仮想サ,バ,にのみ適用されます。
プロファイルに含まれないパラメータを設定しようとすると(たとえば,バックエンドプロファイルでclientAuthパラメータを設定しようとした場合),エラーメッセージが表示されます。
CRLメモリサイズ,OCSPキャッシュサイズ,UndefActionコントロール,UndefActionデータなど,一部のSSLパラメータは,これらのパラメータはエンティティから独立しているため,上記のプロファイルには含まれません。これらのパラメ,タは,[トラフィック管理]> [ssl] >[高度なssl設定]にあります。
SSLプロファルでは,次の操作がサポトされます。
追加:Citrix ADC上にSSLプロファemcルを作成します。プロファ@ @ルがフロントエンドかバックエンドかを指定します。フロントエンドがデフォルトです。
設定—既存のプロファescルの設定を変更します。
設定解除-指定したパラメタをデフォルト値に設定します。パラメ,タを指定しない場合は,エラ,メッセ,ジが表示されます。エンティティのプロファイルを設定解除すると,そのプロファイルはエンティティからバインド解除されます。
除去—プロファescルを削除します。どのエンティティでも使用されているプロファ@ @ルも削除できません。設定をクリアすると,すべてのエンティティが削除されます。その結果,プロファ。
"バopen open open "(绑定)-プロファopen open open open open open open open open open open open open open open open open open open open open open open open open open open open。
バ▪▪ンド解除—仮想サ▪▪バ▪からプロファ▪▪ルをバ▪▪ンド解除します。
[表示]:Citrix ADCで使用可能なすべてのプロファaaplルを表示します。プロファaapl . exeル名を指定すると,そのプロファaapl . exeルの詳細が表示されます。図形を指定すると,その図形に関連付けられた縦断が表示されます。
SSLプロファescルの使用例
SSLデフォルトプロファescル
Citrix ADCアプラ▪▪アンスには,2▪▪のデフォルトプロファ▪▪ル(
ns_default_ssl_profile_frontend——すべてのSSLタイプの仮想サーバーおよび内部サービスのデフォルトのフロントエンドプロファイル。
ns_default_ssl_profile_backend - SSLタイプのサービス,サービスグループ,セキュアなモニター用のデフォルトのバックエンドプロファイル。
新しいエンドポaapl . exeントが作成されると,対応するデフォルトのaapl . exeプロファaapl . exeンドされます。
デフォルトのSSLプロファルのSSLパラメタと暗号を変更できます。これにより,顧客は,対応するエンドポイントによって参照される一点で設定とバインディングを変更できるようになります。
重要:
ソフトウェアをアップグレドしてデフォルトのプロファルを有効にする前に,設定を保存してください。
拡張プロファイルインフラストラクチャをサポートするビルドにソフトウェアをアップグレードし,既定のプロファイルを有効にします。特定の展開に応じて,2のアプロ。展開にエンドポント間で共通のSSL設定がある場合は,"ユスケス1 "を参照してください。展開に大きなSSL設定があり,SSLパラメータと暗号がエンドポイント間で共通でない場合は,“ユースケース2”を参照してください。
ソフトウェアをアップグレ,ドした後で,プロファ,ルを有効にすると,変更を元に戻すことはできません。。したがって,変更を元に戻す唯一の方法は,古い構成を使用して再起動することです。
注:単一の操作(デフォルトプロファイルの有効化またはsslパラメーターの設定-defaultProfile启用)により,デフォルトのフロントエンドプロファイルとデフォルトのバックエンドプロファイルの両方が有効になります(バインド)。
注意:v11.1以降のクラスタリングでデフォルトのSSLプロファescルを使用できるようになりました。
Citrix ADCコマンドラインを使用して構成を保存するには,コマンドプロンプトで次のように入力します。
>save config >shell root@ns# CD /nsconfig root@ns# cp ns.conf ns.conf。NS < currentreleasenumber > < currentbuildnumber > < !——NeedCopy >
使用例 1
デフォルトプロファaapl . exeルを有効にすると,すべてのaapl . exeエンドポaapl . exeンドされます。既定のプロファ@ @ルは編集可能です。展開でほとんどのデフォルト設定が使用され,少数のパラメータしか変更されない場合は,デフォルトのプロファイルを編集できます。変更内容は,すべてのエンドポ。
次のフロ、チャ、トでは、実行する必要がある手順に、いて説明します。
ソフトウェアのアップグレードについては,“システムソフトウェアのアップグレード”を参照してください。
- Citrix ADCコマンドラ▪▪ンまたはGUIを使用して,デフォルトのプロファ▪▪ルを有効にします。
- コマンドラインで,次のように入力します:ssl参数设置-defaultProfile启用
- GUIを使用する場合は,[トラフィック管理]> [ssl] >[高度なssl設定の変更]に移動し,下にスクロ,ルして[デフォルトプロファ电子邮箱ルの有効化]を選択します。
- (オプション)デフォルトプロファ▪▪▪ルの設定を手動で変更します。
- コマンドラ@ @ンで,変更するパラメ@ @タに続けて
设置SSL配置文件
を入力します。 - GUIを使用する場合は,[システム]>[プロファル]に移動します。" sslプロファ麦肯特ル"でプロファ麦肯特ルを選択し,"編集をクリックします。
- コマンドラ@ @ンで,変更するパラメ@ @タに続けて
使用例 2
展開でほとんどのSSLエンティティに特定の設定を使用している場合は,各エンドポイントのカスタムプロファイルを自動的に作成し,エンドポイントにバインドするスクリプトを実行できます。このセクションで説明する手順を使用して,展開内のすべてのSSLエンドポイントのSSL設定を保持します。ソフトウェアのアップグレード後,移行スクリプトをダウンロードして実行し,SSL固有の変更をキャプチャします。このスクリプトを実行した場合の出力はバッチファ@ @ルです。既定のプロファaapl . exeルを有効にして,バッチファaapl . exeル内のコマンドを適用します。アップグレド後のSSL設定の移行例にいては,付録を参照してください。
次のフロ、チャ、トでは、実行する必要がある手順に、いて説明します。
ソフトウェアのアップグレードについては,“システムソフトウェアのアップグレード”を参照してください。
SSL固有の変更をキャプチャするスクリプトをダウンロ,ドして実行します。他の移行アクティビティに加えて,スクリプトは古いns.confファイルを分析し,特別な設定(デフォルト以外)をSSLエンドポイント設定からカスタムプロファイルに移動します。設定の変更を適用するには,アップグレ,ド後にデフォルトプロファ,ルを有効にする必要があります。
スクリプトをダウンロ,ドするには,//m.giftsix.com/にログ@ @ンします。[ダウンロ,ド]タブで[Citrix ADC]を選択し,リリ,ス([リリ,ス12.0]など)を選択します。リリ,スの“ファ,ムウェア”で,ビルドを選択します。SSLデフォルトプロファescルスクリプトは、[追加コンポーネント] で使用できます。
注:移行スクリプトの実行時に,プロファイル名を自動的に生成するか,対話的にユーザーにプロファイル名の入力を求めるように選択することができます。移行スクリプトは,以下をチェックし,それに応じてプロファesc escルを作成します。
- デフォルト設定と類似した暗号と暗号グループ設定を持つエンドポイント:スクリプトによって1つのプロファイルが作成されます。
- デフォルト設定で,異なる暗号グループまたは異なる優先順位を持つエンドポイント:いずれの場合も,スクリプトはユーザ定義の暗号グループを作成し,プロファイルにバインドし,各プロファイルを適切なエンドポイントにバインドします。
- デフォルト設定とデフォルト暗号を使用するエンドポイント:デフォルトのプロファイルがエンドポイントにバインドされます。
スクリプトを実行するには,コマンドプロンプトで次のように入力します。
./default_profile_script /nsconfig/ns.conf -b > <输出文件名> '
このコマンドは,スクリプトを格納するフォルダ,から実行する必要があります。
Citrix ADCコマンドラ▪▪ンまたはGUIを使用して,デフォルトのプロファ▪▪ルを有効にします。
- コマンドラ电子邮箱ンで,次を入力します:
设置ssl参数-defaultProfile ENABLED
。 - GUIを使用する場合は,[トラフィック管理]> [ssl] >[高度なssl設定の変更]に移動し,下にスクロ,ルして[デフォルトプロファ电子邮箱ルの有効化]を選択します。
- コマンドラ电子邮箱ンで,次を入力します:
カスタムSSLプロファescル
デフォルトのSSLプロファイルのほかに,お客様は特定のユースケース用にカスタムのフロントエンドおよびバックエンドSSLプロファイルを作成できます。異なるアプリケーションが異なる暗号とSSLパラメータを必要とするシナリオが存在する可能性があります。このような場合,お客様は新しいプロファ▪▪▪ルを作成し,エンドポ▪▪▪ントにバ▪▪ンドできます。
システムに作成できるカスタムプロファ@ @ルの数には上限はありません。
sslプロファ化学键ルなどを有効にする方法に化学键いては,SSLプロファescルドキュメントを参照してください。
SSLフロントエンドプロファescル
フロントエンドSSLプロファイルは,SSLタイプの仮想サーバーおよび内部サービスに関連しています。フロントエンドプロファ@ @ルは、負荷分散仮想サーバー、コンテンツスイッチ仮想サーバー、AAA-TM 仮想サーバー、Gateway VPN 仮想サーバーカテゴリのすべての SSL タイプの仮想サーバーに適用されます。
SSL、SSL_TCP SIP_SSL、SSL_FIX SSL_DIAMETER——仮想サーバーの次のタイプは,フロントエンドプロファイルをサポートしています。
すべての内部サ,ビスは,フロントエンドプロファ,ルをサポ,トしています。
SSLバックエンドプロファescル
バックエンドプロファイルは,SSLタイプサービス,サービスグループ,およびセキュアモニタに関連しています。次のタイプのサービスおよびサービスグループは,SSL, SSL_TCP, SIP_SSL, SSL_FIX, SSL_DIAMETERのバックエンドプロファイルをサポートします。
一部のモニタは,セキュアな接続を介してバックエンドサ,バの健全性をチェックするように設定できます。SSLプロファルをこのようなモニタにバンドして,SSLパラメタと暗号を設定できます。このようなモニターは,HTTP, HTTP-ECV, HTTP -インライン,TCP、およびTCP-ECVです。