SSL-Profil

Ein SSL-Profil ist eine Sammlung von SSL-Einstellungen, wie Verschlüsselungen und Protokolle. Ein Profil ist hilfreich, wenn Sie gemeinsame Einstellungen für verschiedene Server haben. Anstatt für jeden Server dieselben Einstellungen anzugeben, können Sie ein Profil erstellen, die Einstellungen im Profil angeben und das Profil dann an verschiedene Server binden. Wenn kein benutzerdefiniertes Front-End-SSL-Profil erstellt wird, ist das Standard-Front-End-Profil an clientseitige Entitäten gebunden. Mit diesem Profil können Sie Einstellungen für die Verwaltung der clientseitigen Verbindungen konfigurieren. Für SSL-Interception müssen Sie ein SSL-Profil erstellen und SSL-Interception (SSLi) im Profil aktivieren. Eine Standardchiffergruppe ist an dieses Profil gebunden, Sie können jedoch weitere Verschlüsselungen entsprechend Ihrer Bereitstellung konfigurieren. Sie müssen ein SSLi-Zertifizierungsstellenzertifikat an dieses Profil binden und dann das Profil an einen Proxyserver binden. Für das SSL-Interception sind die wesentlichen Parameter in einem Profil diejenigen, die verwendet werden, um den OCSP-Status des Ursprungsserverzertifikats zu überprüfen, die Clientneuverhandlung auszulösen, wenn der Ursprungsserver eine Neuverhandlung anfordert, und das Ursprungsserverzertifikat vor der Wiederverwendung der Front-End-SSL-Sitzung zu überprüfen. Sie müssen das Standard-Backend-Profil verwenden, wenn Sie mit den Ursprungsservern kommunizieren. Legen Sie alle serverseitigen Parameter, wie etwa Verschlüsselungssammlungen, im standardmäßigen Backend-Profil fest. Ein benutzerdefiniertes Back-End-Profil wird nicht unterstützt.

Beispiele für die am häufigsten verwendeten SSL-Einstellungen finden Sie unter Beispielprofil am Ende dieses Abschnitts.

Die Verschlüsselungs-/Protokollunterstützung unterscheidet sich vom internen und externen Netzwerk. In den folgenden Tabellen ist die Verbindung zwischen den Benutzern und einer SWG-Appliance das interne Netzwerk. Das externe Netzwerk befindet sich zwischen der Appliance und dem Internet.

lokalisiertes Bild

Tabelle 1: Verschlüsselungs-/Protokoll -Unterstützungsmatrix für das interne Netzwerk

(Chiffer/Protokoll) / Plattform MPX (N3) * VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE (Beispiel TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM (Beispiel TLS1.2-AES128-GCM-SHA256) 12.1 12.1
SHA-2-Chiffre (Beispiel TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA (Beispiel TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 12.1

Tabelle 2: Verschlüsselungs-/Protokoll -Unterstützungsmatrix für das externe Netzwerk

(Chiffer/Protokoll) / Plattform MPX (N3) * VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE (Beispiel TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM (Beispiel TLS1.2-AES128-GCM-SHA256) 12.1 12.1
SHA-2-Chiffre (Beispiel TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA (Beispiel TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 Nicht unterstützt

* Verwenden Sie den Befehl sh hardware (show hardware), um festzustellen, ob Ihre Appliance über N3-Chips verfügt.

Beispiel:

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done

Hinzufügen eines SSL-Profils und Aktivieren der SSL-Interception mit der Citrix SWG-CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

Argumente:

sslInterception:

          Aktivieren oder deaktivieren Sie das Abfangen von SSL-Sitzungen.

          Mögliche Werte: ENABLED, DISABLED

          Standardwert: DISABLED

ssliReneg:

          Aktivieren oder deaktivieren Sie die auslösende Clientneuverhandlung, wenn eine Neuverhandlungsanforderung vom Ursprungsserver empfangen wird.

          Mögliche Werte: ENABLED, DISABLED

          Standardwert: ENABLED

ssliOCSPCheck:

          Aktivieren oder Deaktivieren der OCSP-Prüfung für ein Ursprungsserver-Zertifikat.

          Mögliche Werte: ENABLED, DISABLED

          Standardwert: ENABLED

ssliMaxSessPerServer:

          Maximale Anzahl von SSL-Sitzungen, die pro dynamischem Ursprungsserver zwischengespeichert werden sollen. Für jede vom Client empfangene SNI-Erweiterung wird eine eindeutige SSL-Sitzung erstellt. Die übereinstimmende Sitzung wird für die Wiederverwendung von Serversitzungen verwendet.

          Standardwert: 10

          Mindestwert: 1

          Maximalwert: 1000

Beispiel:

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done

Binden eines Zertifizierungsstellenzertifikats für SSL-Interception an ein SSL-Profl mit der Citrix SWG-CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

Beispiel:

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done

Binden eines Zertifizierungsstellenzertifikats für SSL-Interception an ein SSL-Profl mit der Citrix SWG-GUI

  1. Navigieren Sie zu System > Profile > SSL-Profil.

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie einen Namen für das Profil an.

  4. Aktivieren Sie SSL-Interception.

  5. Klicken Sie auf OK.

  6. Klicken Sie unter Erweiterte Einstellungenauf Zertifikatschlüssel.

  7. Geben Sie einen SSLi CA-Zertifikatschlüssel an, der an das Profil gebunden werden soll.

  8. Klicken Sie auf Auswählen und dann auf Binden.

  9. Optional können Sie Verschlüsselungen entsprechend Ihrer Bereitstellung konfigurieren.

    • Klicken Sie auf das Symbol Bearbeiten, und klicken Sie dann auf Hinzufügen.
    • Wählen Sie eine oder mehrere Verschlüsselungsgruppen aus, und klicken Sie auf den Pfeil nach rechts.
    • Klicken Sie auf OK.
  10. Klicken Sie auf Fertig.

Binden eines SSL-Profils an einen Proxyserver mit der Citrix SWG-GUI

  1. Navigieren Sie zu Secure Web Gateway > Proxyserver, und fügen Sie einen neuen Server hinzu, oder wählen Sie einen zu ändernden Server aus.
  2. Klicken Sie im SSL-Profilauf das Symbol Bearbeiten.
  3. Wählen Sie in der Liste SSL-Profil das SSL-Profil aus, das Sie zuvor erstellt haben.
  4. Klicken Sie auf OK.
  5. Klicken Sie auf Fertig.

Beispielprofil:

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert