Konfigurieren der Unterstützung für HTTP-strikte Transportsicherheit (HSTS)

Citrix ADC Appliances unterstützen HTTP Strict Transport Security (HSTS) als integrierte Option in SSL-Profilen und virtuellen SSL-Servern. Mit HSTS kann ein Server die Verwendung einer HTTPS-Verbindung für die gesamte Kommunikation mit einem Client erzwingen. Das heißt, auf die Site kann nur über HTTPS zugegriffen werden. Unterstützung für HSTS ist für die A+-Zertifizierung von SSL Labs erforderlich.

Aktivieren Sie HSTS in einem SSL-Front-End-Profil oder auf einem virtuellen SSL-Server. Wenn Sie SSL-Profile aktivieren, sollten Sie HSTS auf einem SSL-Profil aktivieren, anstatt es auf einem virtuellen SSL-Server zu aktivieren. Durch Festlegen des maximalen Altersheaders geben Sie an, dass HSTS für diese Dauer für diesen Client gültig ist. Sie können auch angeben, ob Subdomains einbezogen werden sollen. Sie können beispielsweise angeben, dass Subdomains für www.example.com, wie www.abc.example.com und www.xyx.example.com, nur über HTTPS zugegriffen werden kann, indem Sie denIncludeSubdomains Parameter auf YES setzen.

Wenn Sie auf Websites zugreifen, die HSTS unterstützen, enthält der Antwortheader vom Server einen Eintrag ähnlich dem folgenden:

HSTS-Antwortheader

Der Client speichert diese Informationen für die im Max-Age-Parameter angegebene Zeit. Bei nachfolgenden Anforderungen an diese Website überprüft der Client seinen Speicher auf einen HSTS-Eintrag. Wenn ein Eintrag gefunden wird, greift er nur über HTTPS auf diese Website zu.

Sie können HSTS zum Zeitpunkt der Erstellung eines SSL-Profils oder eines virtuellen SSL-Servers mithilfe des Befehls add konfigurieren. Sie können HSTS auch auf einem vorhandenen SSL-Profil oder einem virtuellen SSL-Server konfigurieren, indem Sie es mit dem Befehl set ändern.

Konfigurieren von HSTS mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl vserver <vServerName> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO)

ODER

add ssl profile <name> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO )

Arguments

HSTS

         State of HTTP Strict Transport Security (HSTS) on an SSL virtual server or SSL profile. Using HSTS, a server can enforce the use of an HTTPS connection for all communication with a client.

          Possible values: ENABLED, DISABLED

          Default: DISABLED

maxage

          Set the maximum time, in seconds, in the strict transport security (STS) header during which the client must send only HTTPS requests to the server.

          Default: 0

          Minimum: 0

          Maximum: 4294967294

IncludeSubdomains

         Enable HSTS for subdomains. If set to Yes, a client must send only HTTPS requests for subdomains.

          Possible values: YES, NO

          Default: NO

In den folgenden Beispielen muss der Client nur 157.680.000 Sekunden über HTTPS auf die Website und ihre Subdomains zugreifen.

add ssl vserver VS-SSL –HSTS ENABLED –maxage 157680000 –IncludeSubdomain YES
add sslProfile hstsprofile –HSTS ENABLED –maxage 157680000 –IncludeSubdomain YES

Konfigurieren von HSTS mit der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, wählen Sie einen virtuellen Server vom Typ SSL aus, und klicken Sie auf Bearbeiten.

Führen Sie die folgenden Schritte aus, wenn das Standard-SSL-Profil auf der Appliance aktiviert ist.

  1. Wählen Sie ein SSL-Profil aus und klicken Sie auf Bearbeiten.

  2. Klicken Sie in den Grundeinstellungen auf das Stiftsymbol, um die Einstellungen zu bearbeiten. Scrollen Sie nach unten und wählen Sie HSTS und Subdomains einschließen aus.

    HSTS aktivieren

Führen Sie die folgenden Schritte aus, wenn das Standard-SSL-Profil auf der Appliance nicht aktiviert ist.

  1. Wählen Sie unter Erweiterte Einstellungendie Option SSL-Parameteraus.

  2. Wählen Sie HSTS und Unterdomänen einschließen aus.

    Aktivieren von HSTS auf dem virtuellen Server

Unterstützung für HSTS-Vorspannung

Hinweis:

Diese Funktion ist ab Version 12.1 Build 51.x verfügbar.

Die Citrix ADC Appliance unterstützt das Hinzufügen einer HSTS-Vorladung im HTTP-Antwort-Header. Um die Vorladung einzuschließen, müssen Sie denpreload Parameter im virtuellen SSL-Server oder im SSL-Profil auf YES setzen. Die Appliance schließt dann die Vorladung in den HTTP-Antwortheader für den Client ein. Sie können diese Funktion sowohl mit der CLI als auch mit der GUI konfigurieren. Weitere Hinweise zum HSTS-Vorladen finden Sie unterhttps://hstspreload.org/.

Im Folgenden finden Sie Beispiele für gültige HSTS-Header mit Preload:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Strict-Transport-Security: max-age=63072000; preload

Konfigurieren der HSTS-Vorladung mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl vserver <vServerName> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -preload ( YES | NO )

ODER

add ssl profile <name> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO ) -preload ( YES | NO )

Konfigurieren der HSTS-Vorladung mit der GUI

Führen Sie die folgenden Schritte aus, wenn das Standard-SSL-Profil auf der Appliance aktiviert ist.

  1. Navigieren Sie zu System > Profile > SSL-Profile. Wählen Sie ein SSL-Profil aus und klicken Sie auf Bearbeiten.

  2. Klicken Sie in den Grundeinstellungen auf das Stiftsymbol, um die Einstellungen zu bearbeiten. Scrollen Sie nach unten und wählen Sie HSTS und Preload aus.

    HSTS aktivieren

Führen Sie die folgenden Schritte aus, wenn das Standard-SSL-Profil auf der Appliance nicht aktiviert ist.

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, wählen Sie einen virtuellen Server vom Typ SSL aus, und klicken Sie auf Bearbeiten.

  2. Wählen Sie unter Erweiterte Einstellungendie Option SSL-Parameteraus.

  3. Wählen Sie HSTS und Vorladen aus.

    Aktivieren von HSTS auf dem virtuellen Server

Konfigurieren der Unterstützung für HTTP-strikte Transportsicherheit (HSTS)