Citrix ADC

SSL-Richtlinien

Richtlinien auf der Citrix ADC-Appliance helfen dabei, bestimmte Verbindungen zu identifizieren, die Sie verarbeiten möchten. Die Verarbeitung basiert auf den Aktionen, die für diese bestimmte Richtlinie konfiguriert sind. Sobald Sie die Richtlinie erstellt und eine Aktion dafür konfiguriert haben, müssen Sie einen der folgenden Schritte ausführen:

  • Binden Sie die Richtlinie an einen virtuellen Server auf der Appliance, sodass sie nur für den Datenverkehr gilt, der durch diesen virtuellen Server fließt.
  • Binden Sie die Richtlinie global, sodass sie für den gesamten Datenverkehr gilt, der über einen virtuellen Server fließt, der auf der Citrix ADC-Appliance konfiguriert ist.

Die SSL-Funktion der Citrix ADC-Appliance unterstützt erweiterte Richtlinien (erweiterte) Richtlinien. Eine vollständige Beschreibung der erweiterten Richtlinienausdrücke, ihrer Funktionsweise und ihrer manuellen Konfiguration finden Sie unter Richtlinien und Ausdrücke.

Hinweis:

Benutzer, die keine Erfahrung mit der Konfiguration von Richtlinien an der CLI haben, finden die Verwendung des Konfigurationsdienstprogramms normalerweise erheblich einfacher.

SSL-Richtlinien erfordern, dass Sie vor dem Erstellen einer Richtlinie eine Aktion erstellen, damit Sie die Aktionen beim Erstellen der Richtlinien angeben können. In den SSL Advanced-Richtlinien können Sie auch die integrierten Aktionen verwenden. Weitere Informationen zu integrierten Aktionen finden Sie unter Integrierte SSL-Aktionen und benutzerdefinierte Aktionen.

SSL Erweiterte Richtlinienrichtlinien

Eine SSL Advanced-Richtlinie, auch als erweiterte Richtlinie bezeichnet, definiert ein Steuerelement oder eine Datenaktion, die bei Anfragen ausgeführt werden soll. SSL-Richtlinien können daher als Steuerungsrichtlinien und Datenrichtlinien eingestuft werden:

  • Steuerungsrichtlinie. Eine Steuerungsrichtlinie verwendet eine Steuerungsaktion, z. B. das Erzwingen der Clientauthentifizierung. Hinweis: In Version 10.5 oder höher ist SSL-Neuverhandlung verweigern (denySSLReneg) standardmäßig auf ALL gesetzt. Steuerungsrichtlinien wie CLIENTAUTH lösen jedoch einen Handshake für Neuverhandlungen aus. Wenn Sie solche Richtlinien verwenden, müssen Sie denySSLReneg auf NEIN setzen.
  • Richtlinie zu Daten. Eine Datenrichtlinie verwendet eine Datenaktion, z. B. das Einfügen einiger Daten in die Anforderung.

Die wesentlichen Bestandteile einer Richtlinie sind ein Ausdruck und eine Handlung. Der Ausdruck identifiziert die Anforderungen, für die die Aktion ausgeführt werden soll.

Sie können eine erweiterte Richtlinie mit einer integrierten Aktion oder einer benutzerdefinierten Aktion konfigurieren. Sie können eine Richtlinie mit einer integrierten Aktion konfigurieren, ohne eine separate Aktion zu erstellen. Um jedoch eine Richtlinie mit einer benutzerdefinierten Aktion zu konfigurieren, konfigurieren Sie zuerst die Aktion und konfigurieren Sie dann die Richtlinie.

Sie können eine zusätzliche Aktion angeben, die als UNDEF-Aktion bezeichnet wird und ausgeführt wird, wenn das Anwenden des Ausdrucks auf eine Anforderung ein undefiniertes Ergebnis hat.

Konfiguration der SSL-Richtlinie

Sie können eine SSL Advanced-Richtlinie über die CLI und der GUI konfigurieren.

Konfigurieren einer SSL-Richtlinie über die CLI

Geben Sie an der Eingabeaufforderung ein:

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

Konfigurieren einer SSL-Richtlinie über die GUI

Navigieren Sie zu Traffic Management > SSL > Richtlinien und klicken Sie auf der Registerkarte Richtlinien auf Hinzufügen.

Unterstützung für SSL-Richtlinien mit TLS1.3-Protokoll

Ab Version 13.0 Build 71.x und höher wird Unterstützung für SSL-Richtlinien mit dem TLS1.3-Protokoll hinzugefügt. Wenn das TLSv1.3-Protokoll für eine Verbindung ausgehandelt wird, lösen Richtlinienregeln, die vom Client empfangene TLS-Daten überprüfen, jetzt die konfigurierte Aktion aus.

Wenn beispielsweise die folgende Richtlinienregel “true” zurückgibt, wird der Datenverkehr an den in der Aktion definierten virtuellen Server weitergeleitet.

add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
<!--NeedCopy-->

Einschränkungen

  • Steuerungsrichtlinien werden nicht unterstützt.
  • Die folgenden Aktionen werden nicht unterstützt:
    • DOCLIENTAUTH
    • NOCLIENTAUTH
    • caCertGrpName
    • clientCertVerification
    • ssllogProfile
SSL-Richtlinien