SSL-Komprimierung konfigurieren

Die Citrix SD-WAN WANOP SSL-Komprimierungsfunktion ermöglicht die Multisitzung von SSL-Verbindungen (z. B. HTTPS-Datenverkehr) und bietet ein Komprimierungsverhältnis von bis zu 10. 000:1. Weitere Informationen finden Sie unter SSL-Komprimierung.

Damit die SSL-Komprimierung funktioniert, benötigt die SD-WANOP-Appliance Zertifikate vom Server oder vom Client. Zur Unterstützung mehrerer Server können mehrere private Schlüssel auf der Appliance installiert werden, einer pro SSL-Profil. Spezielle SSL-Regeln in den Service-Klassendefinitionen stimmen Server mit SSL-Profilen und somit SSL-Profile mit privaten Schlüsseln überein.

SSL-Komprimierung funktioniert im geteilten Proxy oder transparenten Proxy-Modus, Sie können den Modus nach Ihren Anforderungen wählen. Weitere Informationen finden Sie unter Funktionsweise der SSL-Komprimierung.

Hinweis

Der transparente Proxy-Modus wird derzeit nicht unterstützt.

Um einen sicheren Zugriff mit SSL-Tunnel zu ermöglichen, wird das neueste SSL-Protokoll TLS 1.2 im SSL-Proxy verwendet. Sie können nur das TLS1.2-Protokoll verwenden oder die Protokolle TLS1.0, TLS1.1 und TLS1.2 verwenden.

Hinweis

SSL-Protokolle SSL v3 und SSL v2 werden nicht mehr unterstützt.

So konfigurieren Sie die SSL-Komprimierung:

  1. Erwerben Sie Kopien des CA-Zertifikats und des privaten Zertifikatschlüsselpaars Ihres Servers, und installieren Sie diese auf der serverseitigen Appliance. Diese Anmeldeinformationen sind wahrscheinlich anwendungsspezifisch. Das heißt, ein Server hat möglicherweise andere Anmeldeinformationen für einen Apache-Webserver als für einen Exchange Server, auf dem RPC über HTTPS ausgeführt wird.

  2. Sie können ein gesplittes Proxy-SSL-Profil oder ein transparentes Proxy-SSL-Profil erstellen.

    Weitere Informationen zum Konfigurieren von Split Proxy SSL-Profilen finden Sie unter Konfigurieren eines Split Proxy SSL-Profils unten.

    Informationen zum Konfigurieren des transparenten Proxy-SSL-Profils finden Sie im Abschnitt Configuring Transparent Proxy SSL-Profile weiter unten.

    Hinweis

    Transparentes Proxy-SSL-Profil wird derzeit nicht unterstützt.

  3. Schließen Sie das SSL-Profil an eine Serviceklasse auf der serverseitigen Appliance an. Dies kann entweder durch Erstellen einer neuen Service-Klasse auf der Grundlage der Server-IP oder durch Ändern einer vorhandenen Service-Klasse erfolgen.

    Weitere Informationen finden Sie unter Erstellen oder Ändern der Service-Klasse unten.

  4. Festlegen von Serviceklassen auf der clientseitigen Appliance. SSL-Datenverkehr wird nur komprimiert, wenn er in eine Serviceklasse auf der clientseitigen Appliance fällt, die Beschleunigung und Komprimierung ermöglicht. Dies kann eine gewöhnliche Service-Class-Regel sein, keine SSL-Regel (nur die serverseitige Appliance benötigt SSL-Regeln), muss jedoch Beschleunigung und Komprimierung aktivieren. Der Datenverkehr fällt in eine vorhandene Dienstklasse, z. B. “HTTPS” oder “Anderer TCP-Datenverkehr. “ Wenn die Richtlinie dieser Klasse Beschleunigung und Komprimierung ermöglicht, ist keine zusätzliche Konfiguration erforderlich.

  5. Überprüfen Sie den Betrieb der Regel. Senden Sie Datenverkehr, der SSL-Beschleunigung über die Appliances erhalten soll. Auf der serverseitigen Appliance sollte auf der Registerkarte Überwachung: Optimierung: Verbindungen: Beschleunigte Verbindungen die Spalte Dienstklasse mit der Dienstklasse übereinstimmen, die Sie für die sichere Beschleunigung eingerichtet haben, und die Spalte SSL-Proxy sollte True für entsprechende Verbindungen auflisten.

Konfigurieren eines Split Proxy SSL-Profils

So konfigurieren Sie ein geteiltes Proxy-SSL-Profil:

  1. Navigieren Sie in der serverseitigen Netscaler SD-WAN WO Appliance zu Konfiguration > Sichere Beschleunigung > SSL-Profil, und klicken Sie auf Profil hinzufügen.

    Hinweis

    Sie können entweder manuell ein SSL-Profil hinzufügen oder ein SSL-Profil importieren, das auf Ihrem lokalen Computer gespeichert ist.

  2. Geben Sie im Feld Profilname einen Namen für das SSL-Profil ein und wählen Sie Profil aktiviert

  3. Wenn Ihr SSL-Server mehr als einen virtuellen Hostnamen verwendet, geben Sie im Feld Virtueller Hostname den Namen des virtuellen Zielhosts ein. Dies ist der Hostname, der in den Anmeldeinformationen des Servers aufgeführt ist.

    lokalisierte Grafik

    Hinweis

    Um mehrere virtuelle Hosts zu unterstützen, erstellen Sie für jeden Hostnamen ein separates SSL-Profil.

  4. Wählen Sie Proxytyp teilen .

  5. Behalten Sie im Feld Zertifikatüberprüfung den Standardwert (Signatur/Ablauf) bei, sofern Ihre Richtlinien nichts anderes vorschreiben.

  6. Serverseitige Proxykonfiguration ausführen:

    Wählen Sie im Feld Verifizierungsspeicher eine vorhandene Serverzertifizierungsstelle aus, oder klicken Sie auf +, um eine Serverzertifizierungsstelle hochzuladen.

    Wählen Sie Authentifizierung erforderlich, und wählen Sie im Feld Zertifikat/Privatschlüssel ein Zertifikatschlüsselpaar aus, oder klicken Sie auf +, um ein Zertifikatschlüsselpaar hochzuladen.

    Wählen Sie im Feld Protokollversion die Protokolle aus, die Ihr Server akzeptiert.

    Hinweis

    NetScaler SD-WAN WO unterstützt nur eine Kombination aus TLS1.0, TLS1.1 oder TLS1.2oder TLS1.2. SSL-Protokolle SSLv3 und SSLv2 werden nicht unterstützt.

    Bearbeiten Sie bei Bedarf die Zeichenfolge Cipher Specification unter Verwendung der OpenSSL-Syntax.

    Wählen Sie bei Bedarf den Typ der Neuverhandlung aus der Dropdown-Liste Neuverhandlungstyp aus, um die clientseitige SSL-Sitzungsneuverhandlung zuzulassen.

    lokalisierte Grafik

  7. Clientseitige Proxy-Konfiguration ausführen:

    Behalten Sie im Feld Zertifikat/Privatschlüssel den Standardwert bei.

    Wählen Sie Zertifikatkette erstellen, damit die serverseitige Appliance die SSL-Zertifikatkette erstellen kann.

    Wählen Sie ggf. einen Zertifizierungsstellenspeicher aus, der als Zertifikatkettenspeicher verwendet werden soll, oder laden Sie diesen hoch.

    Wählen Sie im Feld Protokollversion die Protokollversionen aus, die Sie auf der Clientseite unterstützen möchten.

    Hinweis

    NetScaler SD-WAN WO unterstützt nur eine Kombination aus TLS1.0, TLS1.1 oder TLS1.2oder TLS1.2. SSL-Protokolle SSLv3 und SSLv2 werden nicht unterstützt.

    Bearbeiten Sie ggf. die clientseitige Verschlüsselungsspezifikation.

    Wählen Sie bei Bedarf den Typ der Neuverhandlung aus der Dropdown-Liste Neuverhandlungstyp aus, um die clientseitige SSL-Sitzungsneuverhandlung zuzulassen.

    lokalisierte Grafik

  8. Klicken Sie auf Erstellen.

Konfigurieren des transparenten Proxy-SSL-Profils

So konfigurieren Sie ein transparentes Proxy-SSL-Profil:

  1. Navigieren Sie in der serverseitigen Netscaler SD-WAN WO Appliance zu Konfiguration > Sichere Beschleunigung > SSL-Profil, und klicken Sie auf Profil hinzufügen.

    Hinweis

    Sie können entweder manuell ein SSL-Profil hinzufügen oder ein SSL-Profil importieren, das auf Ihrem lokalen Computer gespeichert ist.

  2. Geben Sie im Feld Profilname einen Namen für das SSL-Profil ein, und wählen Sie Profil aktiviert aus.

  3. Wenn Ihr SSL-Server mehr als einen virtuellen Hostnamen verwendet, geben Sie im Feld Virtueller Hostname den Namen des virtuellen Zielhosts ein. Dies ist der Hostname, der in den Anmeldeinformationen des Servers aufgeführt ist.

    Hinweis

    Um mehrere virtuelle Hosts zu unterstützen, erstellen Sie für jeden Hostnamen ein separates SSL-Profil.

    lokalisierte Grafik

  4. Wählen Sie Transparenter Proxytyp.

  5. Wählen Sie im Feld Privater Schlüssel des SSL-Servers den privaten Schlüssel aus dem Dropdownmenü aus, oder klicken Sie auf +, um einen neuen privaten Schlüssel hochzuladen.

  6. Klicken Sie auf Erstellen.

Serviceklasse erstellen oder ändern

So erstellen oder ändern Sie die Serviceklasse und fügen Sie das SSL-Profil hinzu:

  1. Navigieren Sie in der Netscaler SD-WAN WO Appliance-Weboberfläche zu Konfiguration > Optimierungsregeln > Serviceklassen, und klicken Sie auf Hinzufügen . Um eine vorhandene Serviceklasse zu bearbeiten, wählen Sie die entsprechende Serviceklasse aus, und klicken Sie auf Bearbeiten.
  2. Geben Sie im Feld Name einen Namen für die neue Serviceklasse ein (z.B. “Accelerated HTTPS”).
  3. Aktivieren Sie die Komprimierung, indem Sie die Beschleunigungsrichtlinie auf Datenträger, Arbeitsspeicheroder Flusssteuerungfestlegen.
  4. Klicken Sie im Abschnitt Filterregeln auf Hinzufügen .
  5. Geben Sie im Feld Ziel-IP-Adressedie IP-Adresse des Servers ein (z. B. 172.16.0.1 oder äquivalent 172.16.0.1/32.1. Legen Sie im Feld Richtung die Regel auf Unidirektional fest. SSL-Profile werden deaktiviert, wenn Bidirektional angegeben ist.
  6. Wählen Sie im Abschnitt SSL-Profile das von Ihnen erstellte SSL-Profil aus, und verschieben Sie es in den Abschnitt Konfiguriert .
  7. Klicken Sie auf Erstellen, um die Regel zu erstellen.
  8. Klicken Sie auf Erstellen, um die Serviceklasse zu erstellen.

Aktualisierter CLI-Befehl

NetScaler SD-WAN WO 9.3 unterstützt das neueste TLS1.2 SSL-Protokoll. Sie können nur das TLS1.2-Protokoll oder eine beliebige Version von TLS-Protokollen verwenden. SSL-Protokolle SSL v3 und SSL v2 und transparente Proxy-SSL-Profile werden nicht unterstützt. Die CLI-Befehle add ssl-profile und set ssl-profile werden aktualisiert, um diese Änderungen widerzuspiegeln.

-  \*add ssl-profile\*

-  \*name "profile-name"\*

-  \*-state {enable, disable}\*

-  \*-proxy-type split\*

-  \*-virtual-hostname "hostname"\*

-  \*-cert-key "cert-key-pair-name"\*

-  \*[-build-cert-chain {enable, disable}]\*

-  \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*

-  \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*

-  \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-server-side-protocol { TLS-1.2, TLS-version-any}]\*

-  \*[-server-side-ciphers "ciphers"]\*

-  \*[-server-side-authentication {enable, disable}]\*

-  \*[-server-side-cert-key "cert-key-pair-name"]\*

-  \*[-server-side-build-cert-chain {enable, disable}]\*

-  \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*

-  \*compatible}\* \*[-client-side-protocol-version { TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*

-  \*set ssl-profile\*

-  \*-name "profile-name" [-state {enable, disable}]\*

-  \*[-proxy-type split]\*

-  \*[-virtual-hostname "hostname"]\*

-  \*[-cert-key "cert-key-pair-name"]\*

-  \*[-build-cert-chain {enable, disable}]\*

-  \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*

-  \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*

-  \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-server-side-protocol {TLS-1.2, TLS-version-any}]\*

-  \*[-server-side-ciphers "ciphers"]\*

-  \*[-server-side-authentication {enable, disable}]\*

-  \*[-server-side-cert-key "cert-key-pair-name"]\*

-  \*[-server-side-build-cert-chain {enable, disable}]\*

-  \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*

\*compatible}]\* \*[-client-side-protocol-version {TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*

Die restlichen SSL-Konfigurationsbefehle bleiben unverändert. Weitere Informationen, siehe Konfigurieren von SSL.