Chiffreumleitung

Während des SSL-Handshakes kündigt der SSL-Client (normalerweise ein Webbrowser) die von ihm unterstützte Verschlüsselungssuite in der konfigurierten Reihenfolge an. Aus dieser Liste wählt der SSL-Server dann eine Chiffre aus, die mit seiner eigenen Liste konfigurierter Chiffren übereinstimmt.

Wenn die vom Client angekündigten Chiffre nicht mit denen übereinstimmen, die auf dem SSL-Server konfiguriert sind, schlägt der SSL-Handshake fehl und der Fehler wird durch eine kryptische Fehlermeldung im Browser angekündigt. Diese Meldungen erwähnen selten die genaue Ursache des Fehlers.

Mit der Chiffreumleitung können Sie einen virtuellen SSL-Server konfigurieren, um genaue, aussagekräftige Fehlermeldungen zu liefern, wenn ein SSL-Handshake ausfällt. Wenn SSL-Handshake fehlschlägt, leitet die Citrix ADC Appliance den Benutzer zu einer zuvor konfigurierten URL um oder zeigt, wenn keine URL konfiguriert ist, eine intern generierte Fehlerseite an.

Konfigurieren der Chiffreumleitung mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Verschlüsselungsumleitung zu konfigurieren und die Konfiguration zu überprüfen:

-  set ssl vserver <vServerName> -cipherRedirect < ENABLED | DISABLED> -cipherURL < URL>  
-  show ssl vserver <vServerName>

Beispiel:

set ssl vserver vs-ssl -cipherRedirect ENABLED -cipherURL http://redirectURl

Done

show ssl vserver vs-ssl

Advanced SSL configuration for VServer vs-ssl:
DH: DISABLED
Ephemeral RSA: ENABLED          Refresh Count: 1000
Session Reuse: ENABLED          Timeout: 600 seconds
Cipher Redirect: ENABLED        Redirect URL: http://redirectURl
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED  TLSv1.0: ENABLED TLSv1.2: ENABLED  TLSv1.2: ENABLED
    1)      CertKey Name: Auth-Cert-1       Server Certificate
    1)      Cipher Name: DEFAULT
            Description: Predefined Cipher Alias
Done

Konfigurieren der Chiffreumleitung mit der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und öffnen Sie einen virtuellen Server.
  2. Wählen Sie im Abschnitt SSL-Parameter die Option Chiffrier-Umleitung aktivieren aus, und geben Sie eine Umleitungs-URL an.