Citrix ADC

Sicheres Front-End-Profil

February 16, 2021

Beitrag von:

Neben einem Standard-Front-End und einem Standard-Back-End-Profil ist ab Version 12.1 ein neues sicheres Standard-Front-End-Profil verfügbar. Die Einstellungen, die für eine A+ Bewertung (Stand Mai 2018) von Qualys SSL Labs erforderlich sind, sind in dieses Profil vorinstalliert. Früher mussten Sie jeden Parameter explizit festlegen, der für eine A+-Bewertung auf einem SSL-Front-End-Profil oder einem virtuellen SSL-Server erforderlich ist. Jetzt können Sie das ns_default_ssl_profile_secure_frontend-Profil an Ihren virtuellen SSL-Server binden und die erforderlichen Parameter werden automatisch auf Ihrem virtuellen SSL-Server festgelegt.

Hinweis:

Das sichere Front-End-Profil kann nicht bearbeitet werden.

Wenn Sie das Standardprofil aktivieren, wird das Standard-Front-End-Profil automatisch an alle virtuellen SSL-Server gebunden. Um eine A+-Bewertung zu erhalten, müssen Sie explizit das ns_default_ssl_profile_secure_frontend-Profil binden und auch ein SHA2/SHA256-Serverzertifikat an Ihren virtuellen SSL-Server binden.

Sichere Front-End-Profilparameter

Die Parameter mit ihren Standardeinstellungen sind hier aufgelistet:

SSLv3: DISABLED  TLSv1.0: DISABLED  TLSv1.1: DISABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED

Deny SSL Renegotiation: NONSECURE

HSTS: ENABLED

HSTS IncludeSubDomains: YES

HSTS Max-Age: 15552000

Cipher Name: SECURE    Priority :1
<!--NeedCopy-->

Alias für sichere Verschlüsselungsverfahren

Ein neuer gesicherter Chiffrealias wird hinzugefügt und an das sichere Front-End-Profil gebunden. Um die Chiffre aufzulisten, die Teil dieses Alias sind, geben Sie an der Eingabeaufforderung Folgendes ein: show chiffre SECURE

show cipher SECURE

    1) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 1
           Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
    2) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 2
           Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
    3) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384            Priority : 3
           Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
    4) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256            Priority : 4
           Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
Done
<!--NeedCopy-->

Konfiguration

Gehen Sie wie folgt vor:

Fügen Sie einen virtuellen Lastausgleichsserver vom Typ SSL hinzu.
Binden Sie ein SHA2/SHA256-Zertifikat.
Aktivieren Sie das Standardprofil.
Binden Sie das sichere Front-End-Profil an den virtuellen SSL-Server.

Abrufen einer A+-Bewertung für einen virtuellen SSL-Server mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add lb vserver <name> <serviceType> <IPAddress> <port>
bind ssl vserver <vServerName> -certkeyName <string>
set ssl parameter -defaultProfile ENABLED
set ssl vserver <vServerName> -sslProfile ns_default_ssl_profile_secure_frontend
show ssl vserver [<vServerName>]
<!--NeedCopy-->

Beispiel:

add lb vserver ssl-vsvr SSL 192.0.2.240 443

bind ssl vserver ssl-vsvr -certkeyName letrsa

set ssl parameter -defaultProfile ENABLED

Save your configuration before enabling the Default profile. You cannot undo the changes. Are you sure you want to enable the Default profile? [Y/N]y

set ssl vserver ssl-vsvr -sslProfile ns_default_ssl_profile_secure_frontend
<!--NeedCopy-->

sh ssl vserver ssl-vsvr

    Advanced SSL configuration for VServer ssl-vsvr:
    Profile Name :ns_default_ssl_profile_secure_frontend
    1) CertKey Name: letrsa     Server Certificate
Done
<!--NeedCopy-->

sh ssl profile ns_default_ssl_profile_secure_frontend

    1) Name: ns_default_ssl_profile_secure_frontend (Front-End)
    SSLv3: DISABLED  TLSv1.0: DISABLED  TLSv1.1: DISABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Client Auth: DISABLED
    Use only bound CA certificates: DISABLED
    Strict CA checks:                  NO
    Session Reuse: ENABLED   Timeout: 120 seconds
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED     Refresh Count: 0
    Deny SSL Renegotiation                NONSECURE
    Non FIPS Ciphers: DISABLED
    Cipher Redirect: DISABLED
    SSL Redirect: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1
    Push Encryption Trigger: Always
    PUSH encryption trigger timeout:  1 ms
    SNI: DISABLED
    OCSP Stapling: DISABLED
    Strict Host Header check for SNI enabled SSL sessions:                    NO
    Push flag:             0x0 (Auto)
    SSL quantum size:                8 kB
    Encryption trigger timeout       100 mS
    Encryption trigger packet count: 45
    Subject/Issuer Name Insertion Format:  Unicode
    SSL Interception: DISABLED
    SSL Interception OCSP Check: ENABLED
    SSL Interception End to End Renegotiation: ENABLED
    SSL Interception Maximum Reuse Sessions per Server:   10
    Session Ticket: DISABLED
    HSTS: ENABLED
    HSTS IncludeSubDomains: YES
    HSTS Max-Age: 15552000
    ECC Curve: P_256, P_384, P_224, P_521
    1) Cipher Name: SECURE    Priority :1
    Description: Predefined Cipher Alias
    1) Vserver Name: v2
Done
<!--NeedCopy-->

Abrufen einer A+-Bewertung für einen virtuellen SSL-Server mit der GUI

Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und wählen Sie einen virtuellen SSL-Server aus.
Klicken Sie unter Erweiterte Einstellungen auf SSL-Profil.
Wählen Sie ns_default_ssl_profile_secure_frontend aus.
Klicken Sie auf OK.
Klicken Sie auf Fertig.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Sicheres Front-End-Profil

February 16, 2021

Beitrag von:

February 16, 2021

Beitrag von:

In diesem Artikel

Sichere Front-End-Profilparameter
Alias für sichere Verschlüsselungsverfahren
Konfiguration

War dieser Artikel hilfreich?