安全的前端配置文件

2021年8月24日

贡献者:

除了默认前端和默认后端配置文件外，新的默认安全前端配置文件可从版本12.1中获得。Qualys SSL实验室的A +评级(自2018年5月起)所需的设置已预加载到此配置文件中。之前，您必须在SSL前端配置文件或SSL虚拟服务器上显式设置a +评级所需的每个参数。现在,您可以将ns_default_ssl_profile_secure_前端配置文件绑定到您的SSL虚拟服务器上,所需的参数将自动设置在SSL虚拟服务器上。

注意：安全前端配置文件不可编辑。

启用默认配置文件时，默认前端配置文件将自动绑定到所有SSL虚拟服务器。要获得+评级,您必须显式绑定ns_default_ssl_profile_secure_frontend前端配置文件,并用户将SHA2 / SHA256服务器证书绑定到SSL虚拟服务器。

安全的前端配置文件参数

下面列出了具有默认设置的参数：

             SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Deny SSL Renegotiation: NONSECURE HSTS: ENABLED HSTS IncludeSubDomains: YES HSTS Max-Age: 15552000 Cipher Name: SECURE Priority:1 
            

安全密码别名

添加新的安全密码别名并绑定到安全前端配置文件。若要列出属于此别名的密码，请在命令提示符下键入:显示密码sene

             1)密码名:TLS1.2-ECDHE-RSA-AES256-GCM-SHA384优先级:1描述:TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc030 2)密码名:TLS1.2-ECDHE-RSA-AES128-GCM-SHA256优先级:2描述:TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02f 3)密码名:TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384优先级:3描述:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c 4)密码名:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02cTLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256优先级:4描述:TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b Done 
            

配置

执行以下步骤:

添加SSL类型的负载平衡虚拟服务器。
绑定一个sha2 / sha256证书。
启用默认配置文件。
将安全前端配置文件绑定到SSL虚拟服务器。

通过使用cli获取SSL虚拟服务器的a +评级

在命令提示符下，键入：

             add lb vserver     bind ssl vserver  -certkeyName  set ssl parameter -defaultProfile ENABLED set ssl vserver  -sslProfile ns_default_ssl_profile_secure_frontend show ssl vserver [] 
            

示例：

             add lb vserver SSL -vsvr SSL 192.0.2.240 443 bind SSL vserver SSL -vsvr -certkeyName letrsa set SSL parameter -defaultProfile ENABLED启用默认配置文件前请先保存配置。您无法撤消更改。您确定要启用默认配置文件吗?[Y/N] Y set ssl vserver ssl-vsvr -sslProfile ns_default_ssl_profile_secure_frontend 
            

             sh dswaretool . sh ssl vserver ssl-vsvr vserver ssl高级配置ssl-vsvr: Profile Name: ns_default_ssl_profile_secure_frontend 1) CertKey Name: letrsa Server Certificate Done 
            

             sh dswaretool . sh ssl profile ns_default_ssl_profile_secure_frontend 1)名称:ns_default_ssl_profile_secure_frontend(前端)SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED客户端认证:DISABLED仅使用绑定CA证书:DISABLED CA严格检查:NO会话重用:ENABLED超时时间:120秒DH: DISABLED DH私钥指数大小限制:DISABLED临时RSA: ENABLED刷新计数:0拒绝ssl重协商NONSECURE非FIPS密码:DISABLED Cipher重定向:DISABLED SSL重定向:DISABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication Context: 1 Push Encryption Trigger: Always Push Encryption Trigger timeout: 1ms SNI: DISABLED OCSP Stapling: DISABLED Strict Host Header Check for SNI enabled SSL会话:NO Push flag: 0x0 (Auto) SSL量子大小:8kb加密触发超时时间100ms加密触发报文计数:45 Subject/Issuer Name插入格式:Unicode SSL拦截:DISABLED SSL拦截OCSP Check: ENABLED SSL拦截端到端重协商:ENABLED SSL拦截每服务器最大重用会话数:10会话票:DISABLED HSTS: ENABLED HSTS包括esubdomains: YES HSTS Max-Age: 15552000 ECC Curve: P_256, P_384, P_224, P_521 1)密码名:SECURE优先级:1描述:预定义密码别名1)Vserver Name: v2 Done 
            

通过使用GUI获取SSL虚拟服务器的a +评级

导航到流量管理 > 负载平衡 > 虚拟服务器，然后选择SSL虚拟服务器。
在高级设置中，单击SSL配置文件。
选择默认值ns_default_ssl_profile_secure_frontend。
单击ok(确定)。
单击完成。

本内容的正式版本为英文版。部分Citrix文档内容采用了机器翻译，仅供您参考。Citrix 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Citrix 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Citrix 不承担任何责任。

安全的前端配置文件

2021年8月24日

贡献者:

2021年8月24日

贡献者:

安全的前端配置文件

安全的前端配置文件参数

安全密码别名

配置

通过使用cli获取SSL虚拟服务器的a +评级

通过使用GUI获取SSL虚拟服务器的a +评级

本文中包含的内容