SSL-Komprimierung mit Citrix SD-WAN WANOP-Plug-in

Das Citrix SD-WAN WANOP Plug-in wird immer als clientseitige Einheit verwendet und erfordert daher keine zusätzliche SSL-Konfiguration außer der Installation von Anmeldeinformationen für die SSL-Signalverbindung (Secure Peering). Der Hauptunterschied zwischen der SSL-Komprimierung des Plug-ins und der Appliance besteht darin, dass das Plug-In die Benutzerdaten im datenträgerbasierten Komprimierungsverlauf nicht verschlüsseln kann.

Achtung: Da der datenträgerbasierte Komprimierungsverlauf auf dem Plug-in nicht verschlüsselt ist, behält er eine Klartext-Aufzeichnung der potenziell sensiblen und kurzlebigen verschlüsselten Kommunikation bei. Dieser Mangel an Verschlüsselung ist potenziell gefährlich auf Computern, für die der physische Zugriff nicht kontrolliert wird. Daher empfiehlt Citrix die folgenden Best Practices:

  • Verwenden Sie keine Zertifikatvalidierung: Keine auf Ihren Appliances. (Beachten Sie, dass die Appliance in diesem Fall die Komprimierung mit Plug-Ins verweigert, die über keine entsprechenden Zertifikate verfügen.)

  • Installieren Sie Zertifikate nur auf Systemen, die überprüft werden können, um die Anforderungen Ihrer Organisation für physische oder Datensicherheit zu erfüllen (z. B. Notebooks, die Vollfestplattenverschlüsselung verwenden).

Das Citrix SD-WAN WANOP Plug-in unterstützt sowohl SSL-geteilten Proxy als auch transparenten SSL-Proxy. Das Plug-in wird ohne Zertifikatschlüsselpaare für die SSL-Signalverbindung ausgeliefert. Falls gewünscht, können dieselben Anmeldeinformationen von allen Plug-Ins verwendet werden, oder jedes Plug-In kann seine eigenen Anmeldeinformationen haben.

Das Plug-In versucht keine SSL-Komprimierung, es sei denn, die Anmeldeinformationen wurden installiert.

Das Plug-In erbt seine Kryptolizenz von der Appliance.

SSL-Komprimierung mit Citrix SD-WAN WANOP-Plug-in