Citrix ADC

SSL-Richtlinien

Richtlinien auf der Citrix ADC Appliance helfen, bestimmte Verbindungen zu identifizieren, die Sie verarbeiten möchten. Die Verarbeitung basiert auf den Aktionen, die für diese bestimmte Richtlinie konfiguriert sind. Nachdem Sie die Richtlinie erstellt und eine Aktion dafür konfiguriert haben, müssen Sie einen der folgenden Schritte ausführen:

  • Binden Sie die Richtlinie an einen virtuellen Server auf der Appliance, sodass sie nur für den Datenverkehr gilt, der durch diesen virtuellen Server fließt.
  • Binden Sie die Richtlinie global, damit sie für den gesamten Datenverkehr gilt, der durch einen virtuellen Server fließt, der auf der Citrix ADC Appliance konfiguriert ist.

Die SSL-Funktion der Citrix ADC Appliance unterstützt (erweiterte) Standard-Syntaxrichtlinien. Eine vollständige Beschreibung der Standard-Syntaxausdrücke, ihrer Funktionsweise und ihrer manuellen Konfiguration finden Sie unter Richtlinien und Ausdrücke.

Hinweis:

Benutzer, die keine Erfahrung mit der Konfiguration von Richtlinien an der CLI haben, finden die Verwendung des Konfigurationsdienstprogramms normalerweise erheblich.

SSL-Richtlinien erfordern, dass Sie vor dem Erstellen einer Richtlinie eine Aktion erstellen, damit Sie die Aktionen beim Erstellen der Richtlinien angeben können. In SSL-Standard-Syntaxrichtlinien können Sie auch die integrierten Aktionen verwenden. Weitere Hinweise zu integrierten Aktionen finden Sie unter Integrierte SSL-Aktionen und benutzerdefinierte Aktionen.

SSL-Standard-Syntaxrichtlinien

Eine SSL-Standardsyntaxrichtlinie, auch als erweiterte Richtlinie bezeichnet, definiert ein Steuerelement oder eine Datenaktion, die bei Anforderungen ausgeführt werden soll. SSL-Richtlinien können daher als Steuerungsrichtlinien und Datenrichtlinien kategorisiert werden:

  • Kontrollrichtlinie. Eine Steuerungsrichtlinie verwendet eine Steuerungsaktion, z. B. das Erzwingen der Clientauthentifizierung. Hinweis: In Version 10.5 oder höher ist die SSL-Neuverhandlung verweigern (denySSLReneg) standardmäßig auf ALL festgelegt. Steuerrichtlinien wie CLIENTAUTH lösen jedoch einen Neuverhandlungshandshake aus. Wenn Sie solche Richtlinien verwenden, müssen Sie denySSLReneg auf NO setzen.
  • Datenrichtlinie. Eine Datenrichtlinie verwendet eine Datenaktion, z. B. das Einfügen einiger Daten in die Anforderung.

Die wesentlichen Bestandteile einer Richtlinie sind Ausdruck und Aktion. Der Ausdruck identifiziert die Anforderungen, für die die Aktion ausgeführt werden soll.

Sie können eine Standard-Syntaxrichtlinie mit einer integrierten Aktion oder einer benutzerdefinierten Aktion konfigurieren. Sie können eine Richtlinie mit einer integrierten Aktion konfigurieren, ohne eine separate Aktion zu erstellen. Um jedoch eine Richtlinie mit einer benutzerdefinierten Aktion zu konfigurieren, konfigurieren Sie zuerst die Aktion und dann die Richtlinie.

Sie können eine zusätzliche Aktion angeben, die als UNDEF-Aktion bezeichnet wird und ausgeführt wird, wenn das Anwenden des Ausdrucks auf eine Anforderung ein undefiniertes Ergebnis hat.

SSL-Richtlinienkonfiguration

Sie können eine SSL-Standard-Syntaxrichtlinie mit der CLI und der GUI konfigurieren.

Konfigurieren einer SSL-Richtlinie mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]

Konfigurieren einer SSL-Richtlinie mit der GUI

Navigieren Sie zu Traffic Management > SSL > Richtlinien und klicken Sie auf der Registerkarte Richtlinien auf Hinzufügen.

Unterstützung für SSL-Richtlinien mit TLS1.3-Protokoll

Ab Release 13.0 Build 71.x und höher wird Unterstützung für SSL-Richtlinien mit dem TLS1.3-Protokoll hinzugefügt. Wenn das TLSv1.3-Protokoll für eine Verbindung ausgehandelt wird, lösen Richtlinienregeln, die TLS-Daten prüfen, die vom Client empfangen wurden, jetzt die konfigurierte Aktion aus.

Wenn die folgende Richtlinienregel beispielsweise “true” zurückgibt, wird der Datenverkehr an den in der Aktion definierten virtuellen Server weitergeleitet.

add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1

Einschränkungen

  • Kontrollrichtlinien werden nicht unterstützt.
  • Die folgenden Aktionen werden nicht unterstützt:
    • DOCLIENTAUTH
    • NOCLIENTAUTH
    • CacertGrpName
    • ClientCertVerification
    • ssllogProfile
SSL-Richtlinien