Citrix ADC

Legacy-SSL-Profil

Hinweis:

Citrix empfiehlt, die erweiterten Profile anstelle von Legacy-Profilen zu verwenden. Hinweise zur erweiterten Profilinfrastruktur finden Sie unterSSL-Profilinfrastruktur.

Wichtig:

Sie müssen ein SSL-Profil an einen virtuellen SSL-Server binden. Binden Sie ein DTLS-Profil nicht an einen virtuellen SSL-Server. Hinweise zu DTLS-Profilen finden Sie unterDTLS-Profile.

Sie können ein SSL-Profil verwenden, um anzugeben, wie ein Citrix ADC SSL-Datenverkehr verarbeitet. Das Profil ist eine Sammlung von SSL-Parametereinstellungen für SSL-Entitäten, wie z. B. virtuelle Server, Dienste und Dienstgruppen, und bietet einfache Konfiguration und Flexibilität. Sie sind nicht darauf beschränkt, nur einen Satz globaler Parameter zu konfigurieren. Sie können mehrere Sets (Profile) globaler Parameter erstellen und verschiedenen SSL-Entitäten unterschiedliche Sets zuweisen. SSL-Profile werden in zwei Kategorien eingeteilt:

  • Front-End-Profile, die Parameter enthalten, die für die Front-End-Entity gelten. Das heißt, sie gelten für die Entität, die Anforderungen von einem Client empfängt.
  • Backend-Profile, die Parameter enthalten, die für die Back-End-Entity gelten. Das heißt, sie gelten für die Entität, die Clientanforderungen an einen Server sendet.

Im Gegensatz zu einem TCP- oder HTTP-Profil ist ein SSL-Profil optional. Daher gibt es kein Standard-SSL-Profil. Das gleiche Profil kann über mehrere Elemente hinweg wiederverwendet werden. Wenn einer Entität kein Profil zugeordnet ist, gelten die auf globaler Ebene festgelegten Werte. Für dynamisch erlernte Dienste gelten aktuelle globale Werte.

In der folgenden Tabelle sind die Parameter aufgeführt, die Teil jedes Profils sind.

Frontprofil Backend-Profil
cipherRedirect, cipherURL denySSLReneg
clearTextPort* encryptTriggerPktCount
clientAuth, clientCert nonFipsCiphers
denySSLReneg pushEncTrigger
dh, dhFile, dhCount pushEncTriggerTimeout
dropReqWithNoHostHeader pushFlag
encryptTriggerPktCount quantumSize
eRSA, eRSACount serverAuth
insertionEncoding commonName
nonFipsCiphers sessReuse, sessTimeout
pushEncTrigger SNIEnable
pushEncTriggerTimeout ssl3
pushFlag sslTriggerTimeout
quantumSize strictCAChecks
redirectPortRewrite tls1
sendCloseNotify -
sessReuse, sessTimeout -
SNIEnable -
ssl3 -
sslRedirect -
sslTriggerTimeout -
strictCAChecks -
tls1, tls11, tls12 -

* Der Parameter ClearTextPort gilt nur für einen virtuellen SSL-Server.

Eine Fehlermeldung wird angezeigt, wenn Sie versuchen, einen Parameter festzulegen, der nicht Teil des Profils ist (z. B. wenn Sie versuchen, den ClientAuth Parameter in einem Backend-Profil festzulegen).

Einige SSL-Parameter, wie CRL-Speichergröße, OCSP-Cachegröße, UndefAction Control, und UndefAction Data, sind nicht Teil eines der oben genannten Profile, da diese Parameter von Entitäten unabhängig sind.

Ein SSL-Profil unterstützt die folgenden Vorgänge:

  • Hinzufügen - Erstellt ein SSL-Profil auf dem Citrix ADC. Geben Sie an, ob es sich bei dem Profil um Front-End oder Backend handelt. Frontend ist die Standardeinstellung.
  • Set (Set) - Ändert die Einstellungen eines vorhandenen Profils.
  • Unset (Unset) - Legt die angegebenen Parameter auf ihre Standardwerte fest. Wenn Sie keine Parameter angeben, wird eine Fehlermeldung angezeigt. Wenn Sie ein Profil für eine Entität aufheben, wird das Profil von der Entität nicht gebunden.
  • Entfernen (Remove) - Löscht ein Profil. Ein Profil, das von einer Entität verwendet wird, kann nicht gelöscht werden. Wenn Sie die Konfiguration löschen, werden alle Entitäten gelöscht. Dadurch werden auch die Profile gelöscht.
  • Anzeigen - Zeigt alle Profile an, die im Citrix ADC verfügbar sind. Wenn ein Profilname angegeben wird, werden die Details dieses Profils angezeigt. Wenn eine Entität angegeben wird, werden die mit dieser Entität verknüpften Profile angezeigt.

Erstellen eines SSL-Profils mit der CLI

  • Um ein SSL-Profil hinzuzufügen, geben Sie Folgendes ein:
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
  • Um ein vorhandenes Profil zu ändern, geben Sie Folgendes ein:
set ssl profile <name>
  • Geben Sie Folgendes ein, um die Einstellung eines vorhandenen Profils aufzuheben:
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
  • Geben Sie Folgendes ein, um ein vorhandenes Profil aus einer Entität aufzuheben:
unset ssl vserver <vServerName> –sslProfile
  • Um ein vorhandenes Profil zu entfernen, geben Sie Folgendes ein:
rm ssl profile <name>
  • Um ein vorhandenes Profil anzuzeigen, geben Sie Folgendes ein:
sh ssl profile <name>

Erstellen eines SSL-Profils mit der GUI

Navigieren Sie zu System > Profile, wählen Sie die Registerkarte SSL-Profile und erstellen Sie ein SSL-Profil.

strengere Kontrolle bei der Validierung von Clientzertifikaten aktivieren

Die Citrix ADC Appliance akzeptiert gültige zwischengeschaltete CA-Zertifikate, wenn sie von einer einzigen Stammzertifizierungsstelle ausgestellt werden. Wenn also nur das Root-CA-Zertifikat an den virtuellen Server gebunden ist und jedes mit dem Clientzertifikat gesendete Zwischenzertifikat von dieser Stammzertifizierungsstelle validiert wird, vertraut die Appliance der Zertifikatkette und der Handshake ist erfolgreich.

Wenn ein Client jedoch eine Kette von Zertifikaten im Handshake sendet, kann keines der Zwischenzertifikate mithilfe eines CRL- oder OCSP-Responders validiert werden, es sei denn, dieses Zertifikat ist an den virtuellen SSL-Server gebunden. Daher, selbst wenn eines der Zwischenzertifikate widerrufen wird, ist der Handshake erfolgreich. Als Teil des Handshakes sendet der virtuelle SSL-Server die Liste der Zertifizierungsstellenzertifikate, die an ihn gebunden sind. Zur strengeren Kontrolle können Sie den virtuellen SSL-Server so konfigurieren, dass er nur ein Zertifikat akzeptiert, das von einem der an diesen virtuellen Server gebundenen Zertifizierungsstellenzertifikate signiert ist. Dazu müssen Sie die Einstellung ClientAuthUseBoundCAChain im an den virtuellen Server gebundenen SSL-Profil aktivieren. Der Handshake schlägt fehl, wenn das Clientzertifikat nicht von einem der Zertifizierungsstellenzertifikate signiert ist, die an den virtuellen Server gebunden sind.

Angenommen, zwei Clientzertifikate, clientcert1 und clientcert2, sind von den Zwischenzertifikaten int-ca-a bzw. int-ca-b signiert. Die Zwischenzertifikate werden vom Stammzertifikat Root-CA signiert. INT-CA-A und Root-CA sind an den virtuellen SSL-Server gebunden. Im Standardfall (ClientAuthUseBoundCAChain deaktiviert) werden sowohl clientcert1 als auch clientcert2 akzeptiert. Wenn ClientAuthUseBoundCAChain jedoch aktiviert ist, wird nur Clientcert1 von der Citrix ADC Appliance akzeptiert

Aktivieren Sie strengere Kontrolle der Clientzertifikatvalidierung mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein: set ssl profile <name> -ClientAuthUseBoundCAChain Enabled

Aktivieren Sie strengere Kontrolle der Clientzertifikatvalidierung mit der GUI

  1. Navigieren Sie zu System > Profile, wählen Sie die Registerkarte SSL-Profile, und erstellen Sie ein SSL-Profil, oder wählen Sie ein vorhandenes Profil aus.
  2. Wählen Sie Client-Authentifizierung mit gebundener Zertifizierungsstellenketteaktivieren aus.

Legacy-SSL-Profil