-
Bereitstellen einer Citrix ADC VPX-Instanz
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke
-
Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Automatisieren der Bereitstellung und Konfiguration von Citrix ADC
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen von Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Verwenden der Quell-IP-Adresse des Clients für die Verbindung zum Server
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 6: Konfigurieren des Lastausgleichs im DSR-Modus für IPv6-Netzwerke über das TOS-Feld
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mit IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mit Listening-Richtlinien
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
-
Integrierte SSL-Aktionen und benutzerdefinierte Aktionen
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Integrierte SSL-Aktionen und benutzerdefinierte Aktionen
Wenn Sie nicht nur die integrierten Aktionen in Ihren Richtlinien benötigen, müssen Sie die Aktionen erstellen, bevor Sie die Richtlinien erstellen. Anschließend können Sie die Aktionen beim Erstellen der Richtlinien angeben. Die integrierten Aktionen sind von zwei Arten, Steueraktionen und Datenaktionen. Sie verwenden Steueraktionen in Steuerungsrichtlinien und Datenaktionen in Datenrichtlinien.
Die integrierten Steueraktionen sind:
- DOCLIENTAUTH - Führen Sie die Clientzertifikatauthentifizierung durch. (Nicht unterstützt für TLS1.3)
- NOCLIENTAUTH - Führen Sie keine Clientzertifikatauthentifizierung durch. (Nicht unterstützt für TLS1.3)
Die integrierten Datenaktionen sind:
- zurücksetzen — Schließen Sie die Verbindung, indem Sie ein RST-Paket an den Client senden.
- DROP - Alle Paket von dem Client fallen lassen. Die Verbindung bleibt offen, bis der Client sie schließt.
- NOOP - Leiten Sie das Paket ohne Operation weiter.
Hinweis: Alle abhängigen Aktionen zur Clientauthentifizierung, wie ClientCertVerification und SSLLogProfile, werden mit dem TLS 1.3-Protokoll nicht unterstützt.
Sie können benutzerdefinierte Datenaktionen erstellen. Wenn Sie die Clientauthentifizierung aktivieren, können Sie eine SSL-Aktion erstellen, um Clientzertifikatdaten in den Anforderungs-Header einzufügen, bevor Sie die Anforderung an den Webserver weiterleiten.
Wenn eine Richtlinienbewertung zu einem undefinierten Zustand führt, wird eine UNDEF-Aktion ausgeführt. Für eine Datenrichtlinie oder eine Steuerungsrichtlinie können Sie RESET, DROP oder NOOP als UNDEF -Aktion angeben. Für eine Steuerungsrichtlinie haben Sie auch die Möglichkeit, DOCLIENTAUTH oder NOCLIENTAUTH anzugeben.
Beispiele für integrierte Aktionen in einer Richtlinie
Wenn der Client im folgenden Beispiel eine andere Verschlüsselung als eine EXPORT-Kategorieverschlüsselung sendet, fordert die Citrix ADC Appliance die Clientauthentifizierung an. Der Client muss ein gültiges Zertifikat für eine erfolgreiche Transaktion bereitstellen.
add ssl policy pol1 -rule CLIENT.SSL.CIPHER_EXPORTABLE.NOT -reqAction DOCLIENTAUTH
In den folgenden Beispielen wird davon ausgegangen, dass die Clientauthentifizierung aktiviert ist.
Wenn die vom Benutzer bereitgestellte Version im Zertifikat mit der Version in der Richtlinie übereinstimmt, wird keine Aktion ausgeführt und das Paket wird weitergeleitet:
add ssl policy pol1 -rule CLIENT.SSL.CLIENT_CERT.VERSION.EQ(2) -reqAction NOOP
Wenn die Version im vom Benutzer bereitgestellten Zertifikat mit der Version in der Richtlinie übereinstimmt, wird die Verbindung gelöscht:
add ssl policy pol1 -rule CLIENT.SSL.CLIENT_CERT.VERSION.EQ(2) -reqAction DROP
Wenn die vom Benutzer bereitgestellte Version im Zertifikat mit der Version in der Richtlinie übereinstimmt, wird die Verbindung zurückgesetzt:
add ssl policy pol1 -rule CLIENT.SSL.CLIENT_CERT.VERSION.EQ(2) -reqAction RESET
Clientzertifikatüberprüfung mit richtlinienbasierter Clientauthentifizierung
Sie können die Clientzertifikatsüberprüfung auf obligatorisch oder Option festlegen, wenn Sie richtlinienbasierte Clientauthentifizierung konfiguriert haben. Der Standardwert ist obligatorisch.
Festlegen der Clientzertifikatüberprüfung mit der CLI auf optional
Geben Sie an der Eingabeaufforderung Folgendes ein:
add ssl action <name> ((-clientAuth ( DOCLIENTAUTH | NOCLIENTAUTH ) [-clientCertVerification ( Mandatory | Optional )]
Beispiel:
add ssl action sslact -clientauth DOCLIENTAUTH -clientcertverification OPTIONAL
Festlegen der Clientzertifikatsüberprüfung auf optional mit der GUI
-
Navigieren Sie zu Traffic Management > SSL > Richtlinien.
-
Klicken Sie auf der Registerkarte SSL-Aktionen auf Hinzufügen.
-
Geben Sie einen Namen an, und wählen Sie in der Liste Clientzertifikatüberprüfung die Option Optional aus.
Benutzerdefinierte SSL-Aktionen
Zusätzlich zu integrierten Aktionen können Sie je nach Bereitstellung auch andere SSL-Aktionen konfigurieren. Diese Aktionen werden als benutzerdefinierte Aktionen bezeichnet.
Konfigurieren einer benutzerdefinierten SSL-Aktion mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Aktion zu konfigurieren und die Konfiguration zu überprüfen:
add SSL action <name> -clientAuth(DOCLIENTAUTH | NOCLIENTAUTH) -clientCert (ENABLED | DISABLED) certHeader <string> -clientHeader <string> -clientCertSerialNumber (ENABLED | DISABLED) -certSerialHeader <string> -clientCertSubject (ENABLED | DISABLED) -certSubjectHeader <string> -clientCertHash (ENABLED | DISABLED) -certHashHeader <string> -clientCertIssuer (ENABLED | DISABLED) -certIssuerHeader <string> -sessionID (ENABLED | DISABLED) -sessionIDheader <string> -cipher (ENABLED | DISABLED) -cipherHeader <string> -clientCertNotBefore (ENABLED | DISABLED) -certNotBeforeHeader <string> -clientCertNotAfter (ENABLED | DISABLED) -certNotAfterHeader <string> -OWASupport (ENABLED | DISABLED)
show ssl action [<name>]
Beispiel:
add ssl action Action-SSL-ClientCert -clientCert ENABLED -certHeader "X-Client-Cert"
show ssl action Action-SSL-ClientCert
1) Name: Action-SSL-ClientCert
Data Insertion Action:
Cert Header: ENABLED Cert Tag: X-Client-Cert
Done
Konfigurieren einer benutzerdefinierten SSL-Aktion mit der GUI
Navigieren Sie zu Traffic Management > SSL > Richtlinien und klicken Sie auf der Registerkarte Aktionen auf Hinzufügen.
Konfigurieren einer SSL-Aktion zum Weiterleiten des Clientdatenverkehrs an einen anderen virtuellen Server
Administratoren können eine SSL-Aktion konfigurieren, um den auf einem virtuellen SSL-Server empfangenen Clientdatenverkehr an einen anderen virtuellen Server weiterzuleiten, um SSL-Abladung zu vermeiden. Oder zum Beenden der Verbindung auf der ADC-Appliance. Dieser virtuelle Server kann vom Typ: SSL, TCP oder SSL_BRIDGE sein. Beispielsweise können Administratoren wählen, die Anforderung an einen anderen virtuellen Server weiterzuleiten, anstatt die Verbindung zu beenden, wenn einer der folgenden Fälle:
- Die Appliance hat kein Zertifikat.
- Die Appliance unterstützt keine bestimmte Verschlüsselung.
Um dies zu erreichen, wird ein neuer Bindepunkt ‘CLIENTHELLO_REQ’ hinzugefügt, um den Client-Datenverkehr zu bewerten, wenn ein Client-Hallo empfangen wird. Wenn die Richtlinie, die an den virtuellen Server gebunden ist, der Clientdatenverkehr empfängt, nach der Analyse des Client-Hallo auf true ausgewertet wird, wird der Datenverkehr an einen anderen virtuellen Server weitergeleitet. Wenn dieser virtuelle Server vom Typ SSL ist, führt er den Handshake aus. Wenn dieser virtuelle Server vom Typ TCP oder SSL_BRIDGE ist, führt der Backend-Server den Handshake durch.
In Release 12.1-49.x werden nur die Vorwärts- und Rücksetzaktionen für den BIND-Punkt CLIENTHELLO_REQ unterstützt. Die folgenden Ausdruckspräfixe sind verfügbar:
- CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE
- CLIENT.SSL.CLIENT_HELLO.CLIENT_VERSION
- CLIENT.SSL.CLIENT_HELLO.IS_RENEGOTIATE
- CLIENT.SSL.CLIENT_HELLO.IS_REUSE
- CLIENT.SSL.CLIENT_HELLO.IS_SCSV
- CLIENT.SSL.CLIENT_HELLO.IS_SESSION_TICKET
- CLIENT.SSL.CLIENT_HELLO.LENGTH
- CLIENT.SSL.CLIENT_HELLO.SNI
- CLIENT.SSL.CLIENT_HELLO.ALPN.HAS_NEXTPROTOCOL (from release 13.0 build 61.x)
Eine Beschreibung dieser Präfixe finden Sie unter Erweiterte Richtlinienausdrücke: SSL analysieren.
Dem Befehl add SSL action
wird ein Parameter forward
hinzugefügt, und dem Befehl bind ssl vserver
wird ein neuer Bindpunkt CLIENTHELLO_REQ
hinzugefügt.
Konfiguration über die CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
add ssl action <name> -forward <virtual server name>
add ssl policy <name> -rule <expression> -action <string>
bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type <type>
BEISPIEL:
add ssl action act1 -forward v2
add ssl policy pol1 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1
bind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ
Konfiguration über die GUI
Navigieren Sie zu Traffic Management > SSL > Richtlinien.
SSL-Aktion erstellen:
- Klicken Sie unter SSL-Aktionen auf Hinzufügen.
- Geben Sie unter SSL-Aktion erstellen einen Namen für die Aktion an.
- Wählen Sie unter Virtueller Server Vorwärtsaktion einen vorhandenen virtuellen Server aus, oder fügen Sie einen neuen virtuellen Server hinzu, an den der Datenverkehr weitergeleitet werden soll.
- Legen Sie optional andere Parameter fest.
- Klicken Sie auf Erstellen.
SSL-Richtlinie erstellen:
- Klicken Sie in SSL-Richtlinien auf Hinzufügen.
- Geben Sie unter SSL-Richtlinie erstellen einen Namen für die Richtlinie an.
- Wählen Sie unter Aktiondie Aktion aus, die Sie zuvor erstellt haben.
- Geben Sie im Ausdruckseditor die auszuwertende Regel ein.
- Klicken Sie auf Erstellen.
Erstellen oder Hinzufügen eines virtuellen Servers und Bind-Richtlinie:
- Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
- Fügen Sie einen virtuellen Server hinzu oder wählen Sie diesen aus.
- Klicken Sie unter Erweiterte Einstellungen auf SSL-Richtlinien.
- Klicken Sie in den Abschnitt SSL-Richtlinie.
- Wählen Sie unter Richtlinie auswählen die Richtlinie aus, die Sie zuvor erstellt haben.
- Geben Sie unter Richtlinienbindung eine Priorität für die Richtlinie an.
- Wählen Sie unter Typ die Option CLIENTHELLO_REQ aus.
- Klicken Sie auf Bind.
- Klicken Sie auf Fertig.
Die End-to-End-Konfiguration für die beliebtesten Anwendungsfälle finden Sie in den folgenden Themen:
SSL-Aktion zur selektiven Auswahl von Zertifizierungsstellen basierend auf SNI für die Clientauthentifizierung
Sie können nur die Liste der Zertifizierungsstellen basierend auf SNI (Domäne) in der Clientzertifikatanforderung senden und nicht die Liste aller Zertifizierungsstellen, die an einen virtuellen SSL-Server gebunden sind. Wenn beispielsweise ein Client-Hallo empfangen wird, werden nur die Zertifizierungsstellenzertifikate gesendet, die auf dem SSL-Richtlinienausdruck basieren (z. B. SNI). Um einen bestimmten Satz von Zertifikaten zu senden, müssen Sie eine Zertifizierungsstellenzertifikatsgruppe erstellen. Binden Sie diese Gruppe dann an eine SSL-Aktion, und binden Sie die Aktion an eine SSL-Richtlinie. Wenn die Richtlinie, die an den virtuellen Server gebunden ist, der den Clientdatenverkehr empfängt, nach der Analyse des Client-Hallo als true ausgewertet wird, wird im Clientanforderungszertifikat nur eine bestimmte Zertifizierungsstellengruppe gesendet.
Zuvor mussten Sie Zertifizierungsstellenzertifikate an einen virtuellen SSL-Server binden. Mit dieser Erweiterung können Sie CA-Zertifikatgruppen einfach hinzufügen und einer SSL-Aktion zuordnen.
Hinweis: Aktivieren Sie die Clientauthentifizierung und SNI auf dem virtuellen SSL-Server. Binden Sie die richtigen SNI-Zertifikate an den virtuellen Server.
Gehen Sie wie folgt vor:
-
Fügen Sie eine Zertifizierungsstellenzertifikatsgruppe hinzu.
-
Fügen Sie Zertifikatschlüsselpaare hinzu.
-
Binden Sie die Zertifikatschlüssel-Paare an diese Gruppe.
-
Fügen Sie eine SSL-Aktion hinzu.
-
Fügen Sie eine SSL-Richtlinie hinzu. Geben Sie die Aktion in der Richtlinie an.
-
Binden Sie die Richtlinie an einen virtuellen SSL-Server. Geben Sie den Bindepunkt als CLIENTHELLO_REQ an.
Konfiguration über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle in einer Sequenz ein:
add ssl caCertGroup <caCertGroupName>
add ssl certkey <certkey_name> -cert <cert> -key <key>
bind ssl caCertGroup <caCertGroupName> <certkey_name>
add ssl action <name> -caCertGrpName <string>
add ssl policy <name> -rule <expression> -action <string>
bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type CLIENTHELLO_REQ
Beispiel:
add ssl cacertGroup ca_cert_group
add ssl certkey ca_certkey1 -cert cacert1 -key cakey1
add ssl certkey ca_certkey2 -cert cacert2 -key cakey2
add ssl certkey snicert -cert snicert -key snikey
bind ssl cacertGroup ca_cert_group ca_certkey1
bind ssl caCertGroup ca_cert_group ca_certkey2
sh ssl caCertGroup ca_cert_group
CA GROUP NAME: ca_cert_group
ACTIONS REFERRING: 1
1) CertKey Name: ca_certkey1 CA Certificate CRLCheck: Optional CA_Name Sent
2) CertKey Name: ca_certkey2 CA Certificate CRLCheck: Optional CA_Name Sent
add ssl action pick_ca_group -cacertGrpName ca_cert_group
sh ssl action pick_ca_group
1) Name: pick_ca_group
Type: Data Insertion
PickCaCertGroup: ca_cert_group
Hits: 0
Undef Hits: 0
Action Reference Count: 1
add ssl policy snipolicy -rule client.ssl.client_hello.sni.contains("abc") -action pick_ca_group
bind ssl vserver v_SSL -policyName snipolicy -type CLIENTHELLO_REQ -priority 10
sh ssl policy snipolicy
Name: snipolicy
Rule: client.ssl.client_hello.sni.contains("abc")
Action: pick_ca_group
UndefAction: Use Global
Hits: 0
Undef Hits: 0
Policy is bound to following entities
1) Bound to: CLIENTHELLO_REQ VSERVER v_SSL
Priority: 10
set ssl vserver v_SSL -clientauth ENABLED -SNIEnable ENABLED
bind ssl vserver v_SSL -certkeyName snicert -sniCert
sh ssl vserver v_SSL
Advanced SSL configuration for VServer v_SSL:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: ENABLED Client Cert Required: Mandatory
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: ENABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: snicert Server Certificate for SNI
Data policy
1) Policy Name: snipolicy Priority: 10
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Konfiguration über die GUI
Erstellen Sie Zertifizierungsstellenzertifikatsgruppe und binden Sie Zertifikate an die Gruppe:
- Navigieren Sie zu Traffic Management > SSL > CA Certificate Group.
- Klicken Sie auf Hinzufügen, und geben Sie einen Namen für die Gruppe an.
- Klicken Sie auf Erstellen.
- Wählen Sie die Zertifizierungsstellenzertifikatsgruppe aus, und klicken Sie dann auf Bindungen anzeigen .
- Klicken Sie auf Bind.
- Wählen Sie auf der Seite CA-Zertifikatbindung ein vorhandenes Zertifikat aus, oder klicken Sie auf Hinzufügen, um ein neues Zertifikat hinzuzufügen.
- Klicken Sie auf Auswählen und dann auf Binden.
- Wiederholen Sie die Schritte 5 bis 7, um ein anderes Zertifikat zu binden.
- Klicken Sie auf Schließen.
Navigieren Sie zu Traffic Management > SSL > Richtlinien.
SSL-Aktion erstellen:
- Klicken Sie unter SSL-Aktionen auf Hinzufügen.
- Geben Sie unter SSL-Aktion erstellen einen Namen für die Aktion an.
- Wählen Sie unter Virtueller Server Vorwärtsaktion einen vorhandenen virtuellen Server aus, oder fügen Sie einen virtuellen Server hinzu, an den der Datenverkehr weitergeleitet werden soll.
- Legen Sie optional andere Parameter fest.
- Klicken Sie auf Erstellen.
SSL-Richtlinie erstellen:
- Klicken Sie in SSL-Richtlinien auf Hinzufügen.
- Geben Sie unter SSL-Richtlinie erstellen einen Namen für die Richtlinie an.
- Wählen Sie unter Aktiondie zuvor erstellte Aktion aus.
- Geben Sie im Ausdruckseditor die auszuwertende Regel ein.
- Klicken Sie auf Erstellen.
Erstellen oder Hinzufügen eines virtuellen Servers und Bind-Richtlinie:
- Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
- Fügen Sie einen virtuellen Server hinzu oder wählen Sie diesen aus.
- Klicken Sie unter Erweiterte Einstellungen auf SSL-Richtlinien.
- Klicken Sie in den Abschnitt SSL-Richtlinie.
- Wählen Sie unter Richtlinie auswählen die Richtlinie aus, die Sie zuvor erstellt haben.
- Geben Sie unter Richtlinienbindung eine Priorität für die Richtlinie an.
- Wählen Sie unter Typ die Option CLIENTHELLO_REQ aus.
- Klicken Sie auf Bind.
- Klicken Sie auf Fertig.
Aufheben der Bindung einer Zertifizierungsstellenzertifikatsgruppe mit der GUI
- Navigieren Sie zu Traffic Management > SSL > CA Certificate Group.
- Wählen Sie eine Zertifikatgruppe aus, und klicken Sie auf Bindungen anzeigen.
- Wählen Sie das Zertifikat aus, das aus der Gruppe entfernt werden soll, und klicken Sie auf Binden aufheben.
- Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf **Ja••.
- Klicken Sie auf Schließen.
Entfernen einer Zertifizierungsstellenzertifikatsgruppe mit der GUI
- Navigieren Sie zu Traffic Management > SSL > CA Certificate Group.
- Wählen Sie eine Zertifikatgruppe aus, und klicken Sie auf Löschen.
- Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf Ja.
Teilen
Teilen
In diesem Artikel
- Beispiele für integrierte Aktionen in einer Richtlinie
- Clientzertifikatüberprüfung mit richtlinienbasierter Clientauthentifizierung
- Benutzerdefinierte SSL-Aktionen
- Konfigurieren einer SSL-Aktion zum Weiterleiten des Clientdatenverkehrs an einen anderen virtuellen Server
- SSL-Aktion zur selektiven Auswahl von Zertifizierungsstellen basierend auf SNI für die Clientauthentifizierung
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.