SSL策略绑定
您可以将SSL策略全局绑定,也可以仅绑定到SSL类型的虚拟服务器。在评估绑定到服务、虚拟服务器或其他 Citrix ADC 绑定点的所有策略后,将评估全局绑定策略。如果传入数据与 SSL 策略中配置的任何规则匹配,则会触发该策略,并执行与其关联的操作。
将SSL策略绑定到虚拟服务器时,必须从以下绑定点之一中进行选择:
请求(默认绑定点。完成SSL握手后,在 HTTP 层中进行策略评估。)
INTERCEPT_REQ(此选项适用于Citrix安全Web门户设置。有关更多信息,请参阅SSL拦截的SSL策略基础设施)。
CLIENTHELLO_REQ
同样,从虚拟服务器取消绑定策略时,必须指定绑定点。
如果将CLIENTHELLO_REQ指定为绑定点,则在收到客户端你好消息时评估策略。允许的操作是重置、转发和caCertGrpName。重置操作终止连接。转发操作将请求转发到负载平衡虚拟服务器进行处理。caCertGrpName操作有选择地选择基于SNI的CA进行客户端身份验证。有关SSL操作的更多信息,请参阅SSL内置操作和用户定义的操作。
注意:TLS 1.3协议不支持动作cacertgrpName。
使用CLI全局绑定SSL策略
在命令提示符处,键入以下命令以绑定全局SSL策略并验证配置:
bind ssl global - policyName [- priority ] show ssl global 示例:
bind ssl global -policyName policy - ssl -priority 90 Done sh ssl global 1)名称:Policy-SSL-2优先级:90 2)名称:Policy-SSL-1优先级:100 Done 使用GUI全局绑定SSL策略
- 导航到流量管理>SSL>策略。
- 在详细信息窗格中,单击全局绑定。
- 在“绑定/取消绑定SSL策略到全局“对话框中,单击”插入策略”。
- 在策略名称列表中,选择一个策略。
- 或者,将条目拖动到策略库中的新位置以自动更新优先级别。
- 单击好吧(确定)。状态栏中显示一条消息,指出已成功绑定策略。
使用CLI将SSL策略绑定或取消绑定到虚拟服务器
在命令提示符下,键入以下命令以将SSL策略绑定到虚拟服务器并验证配置:
bind ssl vserver -policyName -priority -type unbind ssl vserver -policyName -priority -type 示例:
bind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ unbind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ show ssl vserver vs-server Advanced ssl configuration for vserver vs-server: DH: DISABLED Ephemeral RSA: ENABLED Refresh Count: 1000 Session Reuse: ENABLED Timeout: 120 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 80 Client Auth: DISABLED ssl Redirect: ENABLED ssl - Redirect Port Rewrite: ENABLED Non FIPS Cipher:DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) Policy Name: ssl-policy-1 Priority: 10 1) Cipher Name: DEFAULT Description:预定义Cipher Alias Done 使用GUI将SSL策略绑定到虚拟服务器
- 导航到流量管理>负载平衡>虚拟服务器,然后打开SSL虚拟服务器。
- 在“高级设置“中,选择SSL策略。单击SSL策略部分以将策略绑定到虚拟服务器。
- 在策略绑定页面中,选择现有策略或添加新策略。
- 指定策略的优先级和类型(绑定点)。
- 选择绑定。
- 选择完成。
已复制
失败了!