ssl
SSLインターセプション用に構成されたCitrix ADCアプライアンスは,プロキシとして機能します。SSL/TLS トラフィックを傍受および復号化し、暗号化されていない要求を検査し、管理者がコンプライアンスルールとセキュリティチェックを適用できるようにします。SSLインターセプションでは、代行受信、ブロック、または許可するトラフィックを指定するポリシーを使用します。たとえば、銀行などの金融ウェブサイトとの間のトラフィックは傍受されてはいけませんが、他のトラフィックは傍受され、ブラックリストに登録されたサイトは識別され、ブロックされます。トラフィックを傍受する一般的なポリシーを1つ構成し、一部のトラフィックをバイパスするより具体的なポリシーを構成することをお勧めします。
。プロキシは,サーバーと別のHTTPS / TLSハンドシェイクを確立し,サーバー証明書を受信します。プロキシは,クライアントに代わってサーバー証明書を検証し,オンライン証明書ステータスプロトコル(OCSP)を使用してサーバー証明書の有効性もチェックします。サーバ証明書を再生成し,アプライアンスにインストールされているCA証明書のキーを使用して署名し,クライアントに提示します。したがって,クライアントとCitrix ADCアプライアンスの間で1つの証明書が使用され,アプライアンスとバックエンドサーバー間で別の証明書が使用されます。
重要
再生成されたサーバー証明書がクライアントによって信頼されるように,サーバー証明書の署名に使用されるCA証明書は,すべてのクライアントデバイスにプレインストールする必要があります。
代行受信されたHTTPSトラフィックの場合,プロキシサーバは発信トラフィックを復号化し,クリアテキストのHTTP要求にアクセスします。また,プレーンテキストのURLを調べて,企業ポリシーとURLレピュテーションに基づいてアクセスを許可またはブロックするなど,レイヤ7アプリケーションを使用してトラフィックを処理できます。ポリシーがオリジナル・サーバーへのアクセスを許可する場合,プロキシ・サーバーは再暗号化された要求を(オリジナル・サーバー上の)宛先サービスに転送します。プロキシは,オリジンサーバーからの応答を復号化し,クリアテキストのHTTP応答にアクセスし,オプションで任意のポリシーを応答に適用します。。ポリシーがオリジンサーバーへの要求をブロックする場合、プロキシは HTTP 403 などのエラー応答をクライアントに送信できます。
SSLインターセプションを実行するには,先ほど設定したプロキシサーバに加えて,ADCアプライアンスで次の設定を行う必要があります。
- SSL
- SSL非常非常非常
- 【中文翻译
- SSLエラーの自動学習とキャッシュ
注:
HTTP / 2トラフィックはSSLインターセプト機能によってインターセプトされません。
# # # # # # # #
SSLトランザクションの一部であるSSL証明書は,会社(ドメイン)または個人を識別するデジタルデータフォーム(X509)です。SSL (secure sockets layer),。Ca,。VerisignなどのパブリックCAによって発行された証明書は,SSLトランザクションを実行するアプリケーションによって信頼されます。。
ADCアプライアンスは,フォワード・プロキシとして,クライアントとサーバー間のトラフィックの暗号化と復号化を実行します。★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★アプライアンスはHTTPSトラフィックを処理する前に,不正なトランザクションを防ぐために,サーバーのIDを検証する必要があります。したがって,オリジンサーバーのクライアントとして,アプライアンスはオリジンサーバー証明書を受け入れる前にオリジンサーバー証明書を確認する必要があります。サーバ証明書を検証するには,サーバ証明書の署名および発行に使用されるすべての証明書(ルート証明書および中間証明書など)がアプライアンス上に存在する必要があります。。アプライアンスは,これらの証明書を使用して,ほぼすべての一般的なオリジンサーバ証明書を検証できます。。ただし,展開でさらに多くのCA証明書が必要な場合は,そのような証明書のバンドルを作成し,そのバンドルをアプライアンスにインポートできます。。
証明書バンドルをアプライアンスにインポートすると,アプライアンスはリモートの場所からバンドルをダウンロードし,バンドルに証明書のみが含まれていることを確認した後,アプライアンスにインストールします。。また,証明書バンドルをエクスポートして編集したり,オフラインの場所にバックアップとして保存したりすることもできます。
CLIを使用してCA証明書バンドルをアプライアンスにインポートして適用する
。
导入ssl certBundle 应用ssl certBundle
show ssl certBundle
要点:
名前:
。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。(1)、(2)、(3)、(3)
名前に1つ以上のスペースが含まれる場合は,名前を二重引用符または一重引用符で囲みます(“我的文件”や“我的文件”など)。
最大長:31
src:
インポートまたはエクスポートする証明書バンドルへのプロトコル,ホスト,およびパス(ファイル名を含む)を指定するURL。,http://www.example.com/cert_bundle_file
……
注:インポートするオブジェクトがアクセスにクライアント証明書認証を必要とするHTTPSサーバー上にある場合,インポートは失敗します。
最大長:2047
例:
导入ssl certbundle swg-certbundle http://www.example.com/cert_bundle应用ssl certbundle swg-certbundle——NeedCopy >
show ssl certbundle Name: swg-certbundle(Inuse) URL: http://www.example.com/cert_bundle Done
GUIを使用してCA証明書バンドルをアプライアンスにインポートして適用する
- ★★★★★★★★★★★★★★★★★★★★★★★★★★★。
- ★★★★★★★★
- 。
- 。(好的)。
- (好的)。
CLIを使用してCA証明書バンドルをアプライアンスから削除する
。
remove certBundle
例:
删除certBundle——NeedCopy >
CLIを使用してアプライアンスからCA証明書バンドルをエクスポートする
。
export certBundle <证书包名称> <导出路径>
要点:
名前:
。ASCII英数字またはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。(1)、(2)、(3)、(3)
名前に1つ以上のスペースが含まれる場合は,名前を二重引用符または一重引用符で囲みます(“我的文件”や“我的文件”など)。
最大長:31
src:
インポートまたはエクスポートする証明書バンドルへのプロトコル,ホスト,およびパス(ファイル名を含む)を指定するURL。,http://www.example.com/cert_bundle_file
……
注:インポートするオブジェクトがアクセスにクライアント証明書認証を必要とするHTTPSサーバー上にある場合,インポートは失敗します。
最大長:2047
例:
export certBundle mytest-cacert http://192.0.2.20/
Mozilla CA
。
> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem Done
。
apply certbundle mozilla_public_ca Done
使用中の証明書バンドルを確認するには,次のように入力します。
> sh certbundle | grep mozilla Name: mozilla_public_ca (Inuse)
制限事項
- 。
- TLSv1.3プロトコルは,SSLフォワードプロキシではサポートされていません。
SSL
。。。つまり,接続要求のデータはポリシーで指定された規則と比較され,規則に一致する接続にアクションが適用されます(式)。ポリシーに割り当ててポリシーを作成するアクションを定義したら、そのアクションをプロキシサーバにバインドして、そのプロキシサーバを通過するトラフィックに適用する必要があります。
SSLインターセプションのSSLポリシーは,着信トラフィックを評価し,ルール(式)に一致する要求に事前定義されたアクションを適用します。。ポリシーに対して、INTERCEPT、BYPASS、または RESET の 3 つのアクションのいずれかを設定できます。ポリシーを作成するときは、アクションを指定する必要があります。ポリシーを有効にするには、アプライアンスのプロキシサーバーにポリシーをバインドする必要があります。ポリシーが SSLインターセプションを対象とするように指定するには、プロキシサーバーにポリシーをバインドするときに、タイプ(バインドポイント)を INTERCEPT_REQ として指定する必要があります。ポリシーのバインドを解除するときは、タイプを INTERCEPT_REQ として指定する必要があります。
注:
。
。。SSLドメインは通常、SSL ハンドシェイクの属性によって示されます。これは、SSL Client Hello メッセージから抽出されたサーバー名インジケータ値(存在する場合)、または元のサーバー証明書から抽出されたサーバー別名(SAN)値になります。SSL 代行受信ポリシーは、特別な属性 DETECTED_DOMAIN を提示します。この属性により、顧客はオリジンサーバー証明書からの SSL ドメインに基づいて代行受信ポリシーを簡単に作成できるようになります。顧客は、ドメイン名を文字列、URL リスト(URL セットまたはpatset
),。
i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / i / ii
。
添加SSL策略 -rule -action
例:
【翻译】detected_domain
。
XYZBANKなどの金融機関へのトラフィックを傍受しない
添加ssl策略pol1 -rule client.ssl.detected_domain.contains("XYZBANK") -action BYPASS
ユーザーが企業ネットワークからYouTubeに接続することを許可しない
添加ssl策略pol2 -rule client.ssl.client.ssl.detected_domain.url_categorize(0,0).category.eq ("YouTube") -action RESET
すべてのユーザトラフィックを代行受信する
添加ssl策略pol3 -rule true -action拦截
お客様がdetected_domainを使用したくない場合は,任意のSSLハンドシェイク属性を使用してドメインを抽出および推測できます。
。。【翻译】オリジンサーバー証明書のサブジェクト名でドメイン名をチェックする式を持つポリシーの例です。
任意の雅虎ドメインへのすべてのユーザートラフィックを傍受する
添加ssl策略pol4 -rule client.ssl.origin_server_cert.subject.contains("yahoo") -action拦截
“ショッピング/小売”カテゴリのすべてのユーザートラフィックを傍受する
添加ssl策略pol_url_category -rule client.ssl.origin_server_cert.subject.URL_CATEGORIZE(0,0).CATEGORY.eq("Shopping/Retail") -action INTERCEPT
未分類のURLへのすべてのユーザトラフィックを代行受信する
添加ssl策略pol_url_category -rule client.ssl.origin_server_cert.subject.url_categorize(0,0).category.eq(" unclassified ") -action拦截
★★★★★★★★★★★★★★★★★★★★★★★★★★
SNIのドメイン名がURLセット“巨鲸音乐网”のエントリと一致する場合,すべてのユーザートラフィックを代行受信します。
添加ssl策略pol_url_set -rule client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top100") -action拦截
オリジンサーバー証明書がURLセット“巨鲸音乐网”のエントリと一致する場合,ドメイン名のすべてのユーザートラフィックを代行受信します。
添加ssl策略pol_url_set -rule client.ssl.origin_server_cert.subject.URLSET_MATCHES_ANY("top100") -action拦截
GUIを使用したプロキシサーバーへのSSLポリシーの作成
- (交通管理)> (SSL) >[政策]? ? ?
- [SSL非常非常非常] [qh]追加[中文]:。
- ポリシー名
- 。
- 式
- [作成]。
CLIを使用してSSLポリシーをプロキシサーバーにバインドする
。
bind ssl vserver -policyName -priority -type INTERCEPT_REQ
例:
bind ssl vserver -policyName pol1 -priority 10 -type INTERCEPT_REQ
GUIを使用してSSLポリシーをプロキシサーバーにバインドする
- [] > [ssl] > []? ? ?
- [英文单词]编辑[au:]
- [詳細設定]}, [SSL非常非常非常[au:]
- [SSL非常非常非常[au:] [au:]
- “哈哈!“,。
- 「加油!“哇!”INTERCEPT_REQ“!”
- [バインド[au:]好吧[au:]
CLIを使用してSSLポリシーをプロキシサーバーにバインド解除します
。
unbind ssl vserver -policyName -type INTERCEPT_REQ
SSL
式 | 説明 |
---|---|
CLIENT.SSL.CLIENT_HELLO.SNI。* |
SNI拡張を文字列形式で返します。文字列を評価して,指定したテキストが含まれているかどうかを確認します。例:client.ssl.client_hello.sni.contains (“xyz.com” ) |
CLIENT.SSL.ORIGIN_SERVER_CERT。* |
バックエンドサーバーから受け取った証明書を,文字列形式で返します。文字列を評価して,指定したテキストが含まれているかどうかを確認します。例:client.ssl.origin_server_cert.subject.contains (“xyz.com” ) |
CLIENT.SSL.DETECTED_DOMAIN。* |
SNI拡張またはオリジンサーバー証明書からドメインを文字列形式で返します。文字列を評価して,指定したテキストが含まれているかどうかを確認します。例:client.ssl.detected_domain.contains (“xyz.com” ) |
SSL (SSL
。ラーニングモードは,クライアントまたはオリジナルサーバから受信したSSLアラートメッセージに基づいています。。。。
。
。
- BAD_CERTIFICATE
- UNSUPPORTED_CERTIFICATE
- CERTIFICATE_REVOKED
- CERTIFICATE_EXPIRED
- CERTIFICATE_UNKNOWN
- UNKNOWN_CA(クライアントがピン接続を使用している場合,サーバ証明書を受信すると,この警告メッセージを送信します)。
- HANDSHAKE_FAILURE
学習を有効にするには,エラーキャッシュを有効にし,学習用に予約されているメモリを指定する必要があります。
这是一个很好的例子
流量管理> SSL? ? ?
[qh、[★★★★★★★[au:]
「ssl“啊,”ssl“!”
「★★★★★★★★★★★★“。
(好的)。
这是一个很好的例子
。
设置ssl参数-ssliErrorCache (ENABLED | DISABLED) -ssliMaxErrorCacheMem
引数:
ssliErrorCache:
ダイナミックラーニングを有効または無効にし,学習した情報をキャッシュして,要求の代行受信またはバイパスに関するその後の決定を行います。有効にすると,アプライアンスはキャッシュ検索を実行して,要求をバイパスするかどうかを決定します。
:启用,禁用
【翻译】
ssliMaxErrorCacheMem:
。このメモリはLRUキャッシュとして使用されるため,設定されたメモリ制限が枯渇した後,古いエントリが新しいエントリに置き換えられます。0、0、0、0、0、0、0、0、0。
:0
最小値:0
最大値:4294967294
SSL
。。各サーバーに同じ設定を指定する代わりに,プロファイルを作成し,プロファイルに設定を指定し,プロファイルを別のサーバーにバインドできます。カスタムフロントエンドSSLプロファイルが作成されない場合,既定のフロントエンドプロファイルは,クライアント側のエンティティにバインドされます。。
SSLインターセプトの場合,SSLプロファイルを作成し,プロファイルでSSLインターセプトを有効にする必要があります。デフォルトの暗号グループはこのプロファイルにバインドされますが,展開に合わせてさらに多くの暗号を設定できます。SSLインターセプトCA証明書をこのプロファイルにバインドしてから、プロファイルをプロキシサーバーにバインドします。SSLインターセプトの場合、プロファイルの重要なパラメーターは、次のアクションに使用されるパラメーターです。
- 。
- オリジンサーバーが再ネゴシエーションを要求した場合,クライアントの再ネゴシエーションをトリガーします。
- 。
。。。
最も一般的に使用されるSSL設定の例については,このセクションの最後の”サンプルプロファイル”を参照してください。
。。。
表1:内部ネットワークの暗号/プロトコルサポートマトリックス
表1-Citrix ADCアプライアンスで使用可能な密码での仮想サーバー/フロントエンドサービス/内部サービスのサポートを参照してください。
中文:
表2-Citrix ADCアプライアンスで使用可能な密码でのバックエンドサービスのサポートを参照してください。
SSL
。
add ssl profile
引数:
sslInterception:
SSL通情达理,通情达理,通情达理,通情达理,通情达理。
:启用,禁用
【翻译】
ssliReneg:
オリジンサーバーから再ネゴシエーション要求を受信したときのクライアント再ネゴシエーションのトリガーを有効または無効にします。
:启用,禁用
“”:启用
ssliOCSPCheck:
。
:启用,禁用
“”:启用
サーバごとの最大サイズ:
。クライアント你好メッセージでクライアントから受信したSNI拡張ごとに,一意のSSLセッションが作成されます。。
10
最小値:1
最大値:1000
例:
add ssl profile swg_ssl_profile -sslinterception ENABLED Done sh ssl profile swg_ssl_profile 1)名称:swg_ssl_profile(前端)SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED客户端认证:DISABLED仅使用绑定CA证书:DISABLED严格CA检查:无会话重用:启用超时:120秒DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: ENABLED刷新计数:0拒绝ssl重协商所有非FIPS密码:DISABLED密码重定向:禁用SSL重定向:禁用发送关闭通知:是严格签名摘要检查:禁用Push加密触发:始终Push加密触发超时:1毫秒SNI:禁用OCSP订书:禁用严格主机头检查SNI启用SSL会话:NO推送标志:0x0(自动)SSL量子大小:8 kB加密触发超时100 ms加密触发包计数:45主题/颁发者名称插入格式:Unicode SSL拦截:启用SSL拦截OCSP检查:启用SSL拦截端到端重新协商:启用SSL拦截服务器证书验证客户端重用:启用SSL拦截每台服务器最大重用会话:10会话票据:禁用会话票据生存期:300(秒)HSTS:禁用HSTS inclesubdomains: NO HSTS Max-Age: 0 ECC曲线:P_256, P_384, P_224, P_521 1)密码名称:DEFAULT优先级:1描述:预定义密码别名完成
ssl
。
绑定ssl配置文件
例:
bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert Done sh ssl profile swg_ssl_profile 1)名称:swg_ssl_profile(前端)SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED客户端认证:DISABLED仅使用绑定CA证书:DISABLED严格CA检查:无会话重用:ENABLED超时:120秒DH: DISABLED DH私钥指数大小限制:DISABLED Ephemeral RSA: ENABLED刷新计数:0拒绝ssl重协商所有非FIPS密码:DISABLED密码重定向:禁用SSL重定向:禁用发送关闭通知:是严格签名摘要检查:禁用Push加密触发:始终Push加密触发超时:1毫秒SNI:禁用OCSP订书:禁用严格主机头检查SNI启用SSL会话:NO推送标志:0x0(自动)SSL量子大小:8 kB加密触发超时100 ms加密触发包计数:45主题/颁发者名称插入格式:Unicode SSL拦截:启用SSL拦截OCSP检查:启用SSL拦截端到端重新协商:启用SSL拦截服务器证书验证客户端重用:启用SSL拦截每台服务器最大重用会话:10会话票据:禁用会话票据生存期:300(秒)HSTS:禁用HSTS inclesubdomains: NO HSTS Max-Age: 0 ECC曲线:P_256, P_384, P_224, P_521 1)密码名称:DEFAULT优先级:1描述:预定义密码别名1)SSL拦截CA CertKey名称:swg_ca_cert Done
ssl
[システム] > [プロファイル] > [SSL[中文]
[追加]。
。
SSL (SSL)? ? ?
(好的)。
[詳細設定]}, [証明書キー[au:]
。
[選択[au:]バインド[au:]
。
- 【翻译】追加[au:]
- 1、。
- (好的)。
[完了]。
GUIを使用してSSLプロファイルをプロキシサーバーにバインドする
- [小甜甜] > [SSL> [][中文]:,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
- [SSL[中文]。
- [SSL[中文译文][中文译文]
- (好的)。
- [完了]。
サンプルプロファイル:
名称:swg_ssl_profile(前端)SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED客户端认证:DISABLED仅使用绑定CA证书:DISABLED严格CA检查:无会话重用:启用超时:120秒DH: DISABLED DH私钥指数大小限制:禁用临时RSA: ENABLED刷新计数:0拒绝SSL重新协商所有非FIPS密码:禁用密码重定向:禁用SSL重定向:禁用发送关闭通知:YES严格签名摘要检查:DISABLED Push Encryption Trigger: Always Push Encryption Trigger timeout: 1ms SNI: DISABLED OCSP Stapling: DISABLED SNI使能SSL会话严格主机头检查:NO Push flag: 0x0 (Auto) SSL量子大小:8kb加密触发超时100ms加密触发包计数:45主题/颁发者名称插入格式:Unicode SSL拦截:enabled SSL拦截OCSP检查:enabled SSL拦截端到端重新协商:启用SSL拦截每台服务器最大复用会话数:10会话票据:禁用会话票据生存期:300(秒)HSTS:禁用HSTS inclesubdomains: NO HSTS Max-Age: 0 ECC曲线:P_256, P_384, P_224, P_521 1)密码名称:DEFAULT优先级:1描述:预定义密码别名1)SSL拦截CA CertKey名称:swg_ca_cert