Citrix ADC

Legacy-SSL-Profil

Hinweis:

Citrix empfiehlt, die erweiterten Profile anstelle von Legacy-Profilen zu verwenden. Hinweise zur erweiterten Profilinfrastruktur finden Sie unterSSL-Profilinfrastruktur.

Wichtig:

Binden Sie ein SSL-Profil an einen virtuellen SSL-Server. Binden Sie ein DTLS-Profil nicht an einen virtuellen SSL-Server. Hinweise zu DTLS-Profilen finden Sie unterDTLS-Profile.

Sie können ein SSL-Profil verwenden, um anzugeben, wie ein Citrix ADC SSL-Datenverkehr verarbeitet. Das Profil ist eine Sammlung von SSL-Parametereinstellungen für SSL-Entitäten, wie z. B. virtuelle Server, Dienste und Dienstgruppen, und bietet einfache Konfiguration und Flexibilität. Sie sind nicht darauf beschränkt, nur einen Satz globaler Parameter zu konfigurieren. Sie können mehrere Sets (Profile) globaler Parameter erstellen und verschiedenen SSL-Entitäten unterschiedliche Sets zuweisen. SSL-Profile werden in zwei Kategorien eingeteilt:

  • Front-End-Profile, die Parameter enthalten, die für die Front-End-Entity gelten. Das heißt, sie gelten für die Entität, die Anforderungen von einem Client empfängt.
  • Back-End-Profile, die Parameter enthalten, die für die Back-End-Entität gelten. Das heißt, sie gelten für die Entität, die Clientanforderungen an einen Server sendet.

Im Gegensatz zu einem TCP- oder HTTP-Profil ist ein SSL-Profil optional. Daher gibt es kein Standard-SSL-Profil. Das gleiche Profil kann über mehrere Elemente hinweg wiederverwendet werden. Wenn einer Entität kein Profil zugeordnet ist, gelten die auf globaler Ebene festgelegten Werte. Für dynamisch erlernte Dienste gelten aktuelle globale Werte.

In der folgenden Tabelle sind die Parameter aufgeführt, die Teil jedes Profils sind.

Frontprofil Back-End-Profil
cipherRedirect, cipherURL denySSLReneg
clearTextPort* encryptTriggerPktCount
clientAuth, clientCert nonFipsCiphers
denySSLReneg pushEncTrigger
dh, dhFile, dhCount pushEncTriggerTimeout
dropReqWithNoHostHeader pushFlag
encryptTriggerPktCount quantumSize
eRSA, eRSACount serverAuth
insertionEncoding commonName
nonFipsCiphers sessReuse, sessTimeout
pushEncTrigger SNIEnable
pushEncTriggerTimeout ssl3
pushFlag sslTriggerTimeout
quantumSize strictCAChecks
redirectPortRewrite tls1
sendCloseNotify -
sessReuse, sessTimeout -
SNIEnable -
ssl3 -
sslRedirect -
sslTriggerTimeout -
strictCAChecks -
tls1, tls11, tls12 -

* Der Parameter ClearTextPort gilt nur für einen virtuellen SSL-Server.

Eine Fehlermeldung wird angezeigt, wenn Sie versuchen, einen Parameter festzulegen, der nicht Teil des Profils ist. Zum Beispiel, wenn Sie versuchen, den ClientAuth -Parameter in einem Back-End-Profil festzulegen.

Einige SSL-Parameter wie CRL-Speichergröße, OCSP-Cachegröße, UndefAction Control und UndefAction Data sind nicht Teil eines der vorhergehenden Profile, da diese Parameter von Entitäten unabhängig sind.

Ein SSL-Profil unterstützt die folgenden Vorgänge:

  • Add - Erstellt ein SSL-Profil auf dem Citrix ADC. Geben Sie an, ob das Profil Frontend oder Backend ist. Frontend ist die Standardeinstellung.
  • Set - Ändert die Einstellungen eines vorhandenen Profils.
  • Unset - Legt die angegebenen Parameter auf ihre Standardwerte fest. Wenn Sie keine Parameter angeben, wird eine Fehlermeldung angezeigt. Wenn Sie ein Profil für eine Entität aufheben, wird das Profil von der Entität nicht gebunden.
  • Entfernen (Remove) - Löscht ein Profil. Ein Profil, das von einer Entität verwendet wird, kann nicht gelöscht werden. Wenn Sie die Konfiguration löschen, werden alle Entitäten gelöscht. Dadurch werden auch die Profile gelöscht.
  • Anzeigen — Zeigt alle Profile an, die im Citrix ADC verfügbar sind. Wenn ein Profilname angegeben wird, werden die Details dieses Profils angezeigt. Wenn eine Entität angegeben wird, werden die mit dieser Entität verknüpften Profile angezeigt.

Erstellen eines SSL-Profils mit der CLI

  • Um ein SSL-Profil hinzuzufügen, geben Sie Folgendes ein:
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
  • Um ein vorhandenes Profil zu ändern, geben Sie Folgendes ein:
set ssl profile <name>
  • Geben Sie Folgendes ein, um die Einstellung eines vorhandenen Profils aufzuheben:
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
  • Geben Sie Folgendes ein, um ein vorhandenes Profil aus einer Entität aufzuheben:
unset ssl vserver <vServerName> –sslProfile
  • Um ein vorhandenes Profil zu entfernen, geben Sie Folgendes ein:
rm ssl profile <name>
  • Um ein vorhandenes Profil anzuzeigen, geben Sie Folgendes ein:
sh ssl profile <name>

Erstellen eines SSL-Profils mit der GUI

Navigieren Sie zu System > Profile, wählen Sie die Registerkarte SSL-Profile und erstellen Sie ein SSL-Profil.

strengere Kontrolle bei der Validierung von Clientzertifikaten aktivieren

Die Citrix ADC Appliance akzeptiert gültige Intermediate-CA-Zertifikate, wenn eine einzelne Root-CA sie ausgestellt hat. Das heißt, wenn nur das Root-CA-Zertifikat an den virtuellen Server gebunden ist und Root-CA eines der mit dem Clientzertifikat gesendeten Zwischenzertifikate validiert, vertraut die Appliance der Zertifikatskette und der Handshake ist erfolgreich.

Wenn ein Client jedoch eine Kette von Zertifikaten im Handshake sendet, können die Zwischenzertifikate nur mit einem CRL- oder OCSP-Responder validiert werden, wenn dieses Zertifikat an den virtuellen SSL-Server gebunden ist. Daher, selbst wenn eines der Zwischenzertifikate widerrufen wird, ist der Handshake erfolgreich. Als Teil des Handshakes sendet der virtuelle SSL-Server die Liste der Zertifizierungsstellenzertifikate, die an ihn gebunden sind. Für eine strengere Kontrolle können Sie den virtuellen SSL-Server so konfigurieren, dass er nur ein Zertifikat akzeptiert, das eines der an diesen virtuellen Server gebundenen CA-Zertifikate signiert hat. Dazu müssen Sie die ClientAuthUseBoundCAChain Einstellung im SSL-Profil aktivieren, das an den virtuellen Server gebunden ist. Der Handshake schlägt fehl, wenn eines der an den virtuellen Server gebundenen CA-Zertifikate das Clientzertifikat nicht signiert hat.

Angenommen, zwei Clientzertifikate, clientcert1 und clientcert2, sind von den Zwischenzertifikaten int-ca-a bzw. int-ca-b signiert. Die Zwischenzertifikate werden vom Stammzertifikat Root-CA signiert. INT-CA-A und Root-CA sind an den virtuellen SSL-Server gebunden. Im Standardfall (ClientAuthUseBoundCAChain deaktiviert) werden sowohl clientcert1 als auch clientcert2 akzeptiert. Wenn ClientAuthUseBoundCAChain jedoch aktiviert ist, akzeptiert die Citrix ADC Appliance nur clientcert1.

Aktivieren Sie strengere Kontrolle der Clientzertifikatvalidierung mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein: set ssl profile <name> -ClientAuthUseBoundCAChain Enabled

Aktivieren Sie strengere Kontrolle der Clientzertifikatvalidierung mit der GUI

  1. Navigieren Sie zu System > Profile, wählen Sie die Registerkarte SSL-Profile, und erstellen Sie ein SSL-Profil, oder wählen Sie ein vorhandenes Profil aus.
  2. Wählen Sie Client-Authentifizierung mit gebundener Zertifizierungsstellenketteaktivieren aus.
Legacy-SSL-Profil