Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Konfigurieren des SSL-basierten Header-Einfügens

May 11, 2023
Beitrag von: 
C

Da die NetScaler-Appliance die gesamte SSL-bezogene Verarbeitung von den Servern auslädt, erhalten die Server nur HTTP-Verkehr. Unter bestimmten Umständen benötigt der Server bestimmte SSL-Informationen. Bei Sicherheitsüberprüfungen aktueller SSL-Transaktionen muss beispielsweise der Name des Clientsubjekts (in einem X509-Zertifikat enthalten) auf dem Server protokolliert werden.

Solche Daten können an den Server gesendet werden, indem sie als Name-Wert-Paar in den HTTP-Header eingefügt werden. Sie haben folgende Optionen:

  • Fügen Sie das gesamte Clientzertifikat, falls erforderlich, einen Hash (auch als Fingerabdruck oder Fingerabdruck bezeichnet) des gesamten Clientzertifikats ein.
  • Fügen Sie nur die spezifischen Felder aus dem Zertifikat ein, z. B. den Betreff, die Seriennummer, den Aussteller, die Signatur, die SSL-Sitzungs-ID und die Verschlüsselungssammlung.
  • Geben Sie das Nicht-Vorher- oder Nicht-Nach-Datum ein, das zur Bestimmung der Gültigkeit des Zertifikats verwendet wurde.

Sie können die SSL-basierte Einfügung nur für HTTP-basierte virtuelle SSL-Server und -Dienste aktivieren. Sie können es nicht auf TCP-basierte virtuelle SSL-Server und -Dienste anwenden. Außerdem muss die Clientauthentifizierung auf dem virtuellen SSL-Server aktiviert sein, da die eingefügten Werte dem Clientzertifikat entnommen werden, das dem virtuellen Server zur Authentifizierung vorgelegt wird.

Um die SSL-basierte Header-Einfügung zu konfigurieren, erstellen Sie zuerst eine SSL-Aktion für jeden spezifischen Satz von Informationen, die eingefügt werden sollen, und erstellen Sie dann Richtlinien, die die Verbindungen identifizieren, für die Sie die Informationen einfügen möchten. Geben Sie beim Erstellen jeder Richtlinie die Aktion an, die mit der Richtlinie verknüpft werden soll. Binden Sie dann die Richtlinien an die virtuellen SSL-Server, die den SSL-Verkehr empfangen.

Im folgenden Beispiel werden erweiterte Richtlinienrichtlinien verwendet. Im folgenden Beispiel wird eine Steuerungsrichtlinie (ctrlpol) erstellt, um die Clientauthentifizierung durchzuführen, wenn eine Anforderung für die URL /testsite/file5.html empfangen wird. Eine Datenrichtlinie (datapol) wird erstellt, um eine Aktion auszuführen (act1), wenn die Clientauthentifizierung erfolgreich ist. Eine SSL-Aktion (act1) wird hinzugefügt, um die Zertifikatsdetails und den Namen des Ausstellers in die Anforderung einzufügen, bevor die Anforderung weitergeleitet wird. Für andere URLs ist die Clientauthentifizierung deaktiviert. Die Richtlinien sind dann an einen virtuellen SSL-Server (ssl_vserver) gebunden, der den SSL-Verkehr empfängt.

Befehlszeilenbeispiel für die Konfiguration des SSL-basierten Header-Einfügens

Beispiel:

add ssl action act1 -clientCert ENABLED -certHeader mycert -clientcertissuer ENABLED -certIssuerHeader myissuer

add ssl policy datapol -rule HTTP.REQ.URL.EQ("/testsite/file5.html") -action act1

add ssl policy ctrlpol -rule HTTP.REQ.URL.EQ("/testsite/file5.html") -action CLIENTAUTH

bind ssl vserver ssl_vserver -policyName ctrlpol -priority 1

bind ssl vserver ssl_vserver -policyName datapol -priority 1

Done
<!--NeedCopy-->

Konfigurieren Sie die SSL-basierte Header-Einfügung über die GUI

  1. Navigieren Sie zu Traffic Management > SSL > Richtlinien.

  2. Klicken Sie im Detailbereich auf der Registerkarte Aktionen auf Hinzufügen.

  3. Legen Sie im Dialogfeld SSL-Aktion erstellen die folgenden Parameter fest:

    • Vorname*
    • Clientzertifikat
    • Zertifikat-Tag
    • Aussteller des Client-Zertifikats
    • Emittenten-Tag

    * Ein erforderlicher Parameter

  4. Klicken Sie auf Erstellenund dann auf Schließen.

  5. Klicken Sie auf der Registerkarte auf Hinzufügen, um eine Steuerungsrichtlinie zu erstellen.

  6. Legen Sie im Dialogfeld SSL-Richtlinie erstellen die folgenden Parameter fest:

    • Vorname*
    • Ausdruck
    • Aktion anfragen

    * Ein erforderlicher Parameter

  7. Klicken Sie auf Erstellenund dann auf Schließen.

  8. Erstellen Sie eine Datenrichtlinie, indem Sie die Schritte 5 bis 7 wiederholen.

  9. Erweitern Sie im Navigationsbereich SSL-Offload, und klicken Sie dann auf Virtuelle Server.

  10. Wählen Sie im Detailbereich aus der Liste der virtuellen Server den virtuellen Server aus, an den Sie die SSL-Richtlinien binden möchten, und klicken Sie dann auf Öffnen.

  11. Klicken Sie im Dialogfeld Virtuellen Server konfigurieren (SSL-Offload) auf SSL-Einstellungenund dann auf SSL-Richtlinien.

  12. Klicken Sie im Dialogfeld SSL-Richtlinien binden/aufheben auf Richtlinie einfügen. Wählen Sie unter Richtliniennamedie Richtlinie aus, die Sie in den Schritten 5 bis 7 erstellt haben.

  13. Klicken Sie auf OKund dann auf Schließen. In der Statusleiste wird eine Meldung angezeigt, die besagt, dass die Richtlinie erfolgreich gebunden wurde.

  14. Wiederholen Sie die Schritte 12 und 13 und wählen Sie die Richtlinie aus, die Sie in Schritt 8 erstellt haben.

Konfigurieren einer SSL-Richtlinienaktion zum Einfügen des Fingerabdrucks des Clientzertifikats im HTTP-Header

NetScaler-Appliances unterstützen jetzt das Einfügen des Fingerabdrucks (auch Fingerabdruck genannt) eines Zertifikats in den Header einer Anforderung, die an einen Back-End-Server gesendet wird. Wenn die Clientauthentifizierung aktiviert ist, berechnet die Appliance den Fingerabdruck des Zertifikats und verwendet eine SSL-Richtlinienaktion, um den Fingerabdruck in die Anforderung einzufügen. Der Server sucht nach dem Fingerabdruck und gewährt sicheren Zugriff, wenn es eine Übereinstimmung gibt.

Konfigurieren Sie eine SSL-Aktion, um den Fingerabdruck des Clientzertifikats zu aktivieren, geben Sie einen Header-Namen zum Einfügen des Clientzertifikat-Fingerabdrucks an und einen Digest (Hash-Wert), um den Fingerabdruckwert zu berechnen. Die NetScaler-Appliance unterstützt SHA1- und SHA2-Digests (SHA224, SHA256, SHA384, SHA512). Die Appliance leitet den Fingerabdruckwert ab, indem sie den angegebenen Digest der DER-Kodierung des Clientzertifikats berechnet. Erstellen Sie dann eine SSL-Richtlinie, die diese Aktion angibt, und binden Sie die Richtlinie an einen virtuellen SSL-Server.

Konfigurieren einer SSL-Aktion zum Einfügen des Fingerabdrucks des Clientzertifikats über die CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl action <name> -clientCertFingerprint ( ENABLED | DISABLED ) -certFingerprintHeader <string> -certFingerprintDigest <certFingerprintDigest>
<!--NeedCopy-->

Argumente:

clientCertFingerprint:

Fügen Sie den Fingerabdruck des Zertifikats in den HTTP-Header der Anforderung ein, die an den Webserver gesendet wird. Der Fingerabdruck wird abgeleitet, indem der angegebene Hash-Wert (z. B. SHA256) der DER-Kodierung des Clientzertifikats berechnet wird.

certFingerprintHeader:

Name des Headers, in den der Fingerabdruck des Clientzertifikats eingefügt werden soll.

certFingerprintDigest:

Digest-Algorithmus zur Berechnung des Fingerabdrucks des Clientzertifikats.

Mögliche Werte: SHA1, SHA224, SHA256, SHA384, SHA512

Beispiel:

add ssl action act1 -clientcertfingerprint ENABLED -certfingerprintdigest SHA1 -certfingerprintheader example
Done
<!--NeedCopy-->

sh ssl action act1
    1)      Name: act1
            Type: Data Insertion
            Cert Fingerprint Header: ENABLED
            Cert-Fingerprint Tag: example
            Cert-Fingerprint Digest Algorithm: SHA1
            Hits: 0
            Undef Hits: 0
            Action Reference Count: 0
Done
<!--NeedCopy-->

add ssl policy pol1 -rule true -action act1
Done
<!--NeedCopy-->

bind ssl vserver v1 -policyName pol1 -priority 10
Done
<!--NeedCopy-->

sh ssl vserver v1

            Advanced SSL configuration for VServer v1:
            DH: DISABLED
            DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED          Refresh Count: 0
            Session Reuse: ENABLED          Timeout: 120 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            ClearText Port: 0
            Client Auth: ENABLED    Client Cert Required: Mandatory
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SNI: DISABLED
            OCSP Stapling: DISABLED
            SSLv2: DISABLED SSLv3: DISABLED TLSv1.0: DISABLED  TLSv1.1: ENABLED  TLSv1.2: DISABLED
            Push Encryption Trigger: Always
            Send Close-Notify: YES

            ECC Curve: P_256, P_384, P_224, P_521

    1)      CertKey Name: intca6    CA Certificate          CRLCheck: Mandatory             CA_Name Sent
    2)      CertKey Name: intca5    CA Certificate          CRLCheck: Mandatory             CA_Name Sent
    3)      CertKey Name: intca4    CA Certificate          CRLCheck: Mandatory             CA_Name Sent
    4)      CertKey Name: intca3    CA Certificate          CRLCheck: Mandatory             CA_Name Sent
    5)      CertKey Name: intca2    CA Certificate          CRLCheck: Mandatory             CA_Name Sent
    6)      CertKey Name: intca1    CA Certificate          CRLCheck: Mandatory             CA_Name Sent

            Data policy
    1)      Policy Name: pol1       Priority: 10

    1)      Cipher Name: DEFAULT
            Description: Default cipher list with encryption strength >= 128bit
    Done
<!--NeedCopy-->

Konfigurieren einer SSL-Aktion zum Einfügen des Fingerabdrucks des Clientzertifikats über die GUI

  1. Navigieren Sie zu Traffic Management > SSL > Richtlinien.
  2. Wählen Sie im Detailbereich die Registerkarte SSL-Aktionen aus und klicken Sie auf Hinzufügen.
  3. Legen Sie im Dialogfeld SSL-Aktion erstellen die folgenden Parameter fest:
    • Vorname*
    • Fingerabdruck für Client-Zertifikate
    • Fingerabdruck-Tag
    • Fingerabdruck-Digest *Ein erforderlicher Parameter
  4. Klicken Sie auf Erstellen.
  5. Wählen Sie die Registerkarte SSL-Richtlinien und klicken Sie auf Hinzufügen.
  6. Legen Sie im Dialogfeld SSL-Richtlinie erstellen die folgenden Parameter fest:
    • Vorname*
    • Aktion
    • Ausdruck *Ein erforderlicher Parameter
  7. Klicken Sie auf Erstellen.
  8. Navigieren Sie zu Traffic Management> Load Balancing > Virtuelle Server.
  9. Wählen Sie im Detailbereich aus der Liste der virtuellen SSL-Server den virtuellen Server aus, an den Sie die SSL-Richtlinie binden möchten, und klicken Sie dann auf Bearbeiten.
  10. Klicken Sie in Erweiterte Einstellungenauf SSL-Richtlinien.
  11. Klicken Sie unter SSL-Richtlinie, und wählen Sie im Dialogfeld Richtlinienbindung die zuvor erstellte Richtlinie aus, und weisen Sie eine Priorität zu.
  12. Klicken Sie auf Bind.
Konfigurieren des SSL-basierten Header-Einfügens
May 11, 2023
Beitrag von: 
C
May 11, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.