Citrix ADC

Intercepción SSL

Un dispositivo Citrix ADC configurado para intercepción SSL actúa como un proxy. Puede interceptar y descifrar el tráfico SSL/TLS, inspeccionar la solicitud no cifrada y permitir que un administrador aplique las reglas de cumplimiento y las comprobaciones de seguridad. La intercepción SSL utiliza una directiva que especifica el tráfico que interceptar, bloquear o permitir. Por ejemplo, el tráfico hacia y desde sitios web financieros, como bancos, no debe ser interceptado, pero se puede interceptar otro tráfico, y los sitios de la lista negra se pueden identificar y bloquear. Citrix recomienda configurar una directiva genérica para interceptar tráfico y directivas más específicas para omitir parte del tráfico.

El cliente y el proxy establecen un protocolo de enlace HTTS/TLS. El proxy establece otro protocolo de enlace HTTS/TLS con el servidor y recibe el certificado del servidor. El proxy verifica el certificado del servidor en nombre del cliente y también comprueba la validez del certificado del servidor mediante el Protocolo de estado del certificado en línea (OCSP). Regenera el certificado de servidor, lo firma mediante la clave del certificado de CA instalado en el dispositivo y lo presenta al cliente. Por lo tanto, se utiliza un certificado entre el cliente y el dispositivo Citrix ADC, y otro certificado entre el dispositivo y el servidor back-end.

Importante

El certificado de CA que se utiliza para firmar el certificado de servidor debe estar preinstalado en todos los dispositivos cliente, de modo que el cliente confíe en el certificado de servidor regenerado.

Para el tráfico HTTPS interceptado, el servidor proxy descifra el tráfico saliente, accede a la solicitud HTTP de texto claro y puede usar cualquier aplicación de Capa 7 para procesar el tráfico, por ejemplo, mirando la URL de texto sin formato y permitiendo o bloqueando el acceso según la directiva corporativa y la reputación de URL. Si la decisión de directiva es permitir el acceso al servidor de origen, el servidor proxy reenvía la solicitud recifrada al servicio de destino (en el servidor de origen). El proxy descifra la respuesta del servidor de origen, accede a la respuesta HTTP de texto sin cifrar y, opcionalmente, aplica cualquier directiva a la respuesta. A continuación, el proxy vuelve a cifrar la respuesta y la reenvía al cliente. Si la decisión de directiva es bloquear la solicitud al servidor de origen, el proxy puede enviar una respuesta de error, como HTTP 403, al cliente.

Para realizar la interceptación SSL, además del servidor proxy configurado anteriormente, debe configurar lo siguiente en el dispositivo ADC:

  • Perfil SSL
  • Directiva SSL
  • Almacén de certificados de CA
  • Almacenamiento automático y almacenamiento en caché de errores SSL

Almacén de certificados de intercepción SSL

Un certificado SSL, que es una parte integral de cualquier transacción SSL, es un formulario de datos digitales (X509) que identifica a una empresa (dominio) o a un individuo. Una entidad emisora de certificados (CA) emite un certificado SSL. Una CA puede ser privada o pública. Las aplicaciones que llevan a cabo transacciones SSL confían en los certificados emitidos por las CA públicas, como Verisign. Estas aplicaciones mantienen una lista de CA en las que confían.

Como proxy de reenvío, el dispositivo ADC realiza el cifrado y el descifrado del tráfico entre un cliente y un servidor. Actúa como un servidor para el cliente (usuario) y como un cliente para el servidor. Antes de que un dispositivo pueda procesar el tráfico HTTPS, debe validar la identidad de un servidor para evitar transacciones fraudulentas. Por lo tanto, como cliente del servidor de origen, el dispositivo debe comprobar el certificado del servidor de origen antes de aceptarlo. Para comprobar el certificado de un servidor, todos los certificados (por ejemplo, certificados raíz e intermedios) que se utilizan para firmar y emitir el certificado de servidor deben estar presentes en el dispositivo. Un conjunto predeterminado de certificados de CA está preinstalado en un dispositivo. El dispositivo puede utilizar estos certificados para comprobar casi todos los certificados de servidor de origen comunes. Este conjunto predeterminado no se puede modificar. Sin embargo, si la implementación requiere más certificados de CA, puede crear un paquete de dichos certificados e importarlo al dispositivo. Un paquete también puede contener un solo certificado.

Al importar un paquete de certificados al dispositivo, el dispositivo descarga el paquete desde la ubicación remota y, tras comprobar que el paquete contiene solo certificados, lo instala en el dispositivo. Debe aplicar un paquete de certificados antes de poder utilizarlo para validar un certificado de servidor. También puede exportar un paquete de certificados para modificarlo o almacenarlo en una ubicación sin conexión como copia de seguridad.

Importar y aplicar un paquete de certificados de CA en el dispositivo mediante la CLI

En el símbolo del sistema, escriba:

import ssl certBundle <name> <src>
apply ssl certBundle <name>
show ssl certBundle

ARGUMENTOS:

Nombre:

Nombre que se va a asignar al paquete de certificados importados. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi archivo” o “mi archivo”).

Longitud máxima: 31

src:

URL que especifica el protocolo, el host y la ruta de acceso, incluido el nombre de archivo, al paquete de certificados que se va a importar o exportar. Por ejemplo, http://www.example.com/cert_bundle_file.

NOTA: La importación falla si el objeto que se va a importar está en un servidor HTTPS que requiere autenticación de certificado de cliente para el acceso.

Longitud máxima: 2047

Ejemplo:

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
apply ssl certBundle swg-certbundle
show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done

Importe y aplique un paquete de certificados de CA en el dispositivo mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Proxy de reenvío SSL > Introducción > Paquetes de certificados.
  2. Lleve a cabo una de las siguientes acciones:
    • Seleccione un paquete de certificados de la lista.
    • Para agregar un paquete de certificados, haga clic en “+” y especifique un nombre y una dirección URL de origen. Haga clic en OK.
  3. Haga clic en OK.

Quitar un paquete de certificados de CA del dispositivo mediante la CLI

En el símbolo del sistema, escriba:

remove certBundle <cert bundle name>

Ejemplo:

remove certBundle mytest-cacert

Exportar un paquete de certificados de CA desde el dispositivo mediante la CLI

En el símbolo del sistema, escriba:

export certBundle <cert bundle name> <Path to export>

ARGUMENTOS:

Nombre:

Nombre que se va a asignar al paquete de certificados importados. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi archivo” o “mi archivo”).

Longitud máxima: 31

src:

URL que especifica el protocolo, el host y la ruta de acceso, incluido el nombre de archivo, al paquete de certificados que se va a importar o exportar. Por ejemplo, http://www.example.com/cert_bundle_file.

NOTA: La importación falla si el objeto que se va a importar está en un servidor HTTPS que requiere autenticación de certificado de cliente para el acceso.

Longitud máxima: 2047

Ejemplo:

export certBundle mytest-cacert http://192.0.2.20/

Importar, aplicar y verificar un paquete de certificados de CA desde el almacén de certificados de CA de Mozilla

En el símbolo del sistema, escriba:

> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done

Para aplicar el paquete, escriba:

> apply certbundle mozilla_public_ca
Done

Para verificar el paquete de certificados en uso, escriba:

> sh certbundle | grep mozilla
                Name : mozilla_public_ca (Inuse)

Limitaciones

  • Los paquetes de certificados no se admiten en una instalación de clúster ni en un dispositivo con particiones.
  • El protocolo TLSV1.3 no es compatible con Proxy de reenvío SSL.

Infraestructura de directivas SSL para interceptación SSL

Una directiva actúa como un filtro en el tráfico entrante. Las directivas del dispositivo ADC ayudan a definir cómo administrar las conexiones y las solicitudes proxy. El procesamiento se basa en las acciones configuradas para esa directiva. Es decir, los datos de las solicitudes de conexión se comparan con una regla especificada en la directiva y la acción se aplica a las conexiones que coinciden con la regla (expresión). Después de definir una acción para asignarla a la directiva y crearla, debe vincularla a un servidor proxy, de modo que se aplique al tráfico que fluye a través de ese servidor proxy.

Una directiva SSL para intercepción SSL evalúa el tráfico entrante y aplica una acción predefinida a las solicitudes que coinciden con una regla (expresión). La decisión de interceptar, omitir o restablecer una conexión se toma en función de la directiva SSL definida. Puede configurar una de las tres acciones para una directiva: Intercepción, BYPASS o RESET. Debe especificar una acción al crear una directiva. Para poner en práctica una directiva, debe vincularla a un servidor proxy del dispositivo. Para especificar que una directiva está destinada a la interceptación SSL, debe especificar el tipo (punto de enlace) como INTERCEPT_REQ cuando vincule la directiva a un servidor proxy. Al desvincular una directiva, debe especificar el tipo como INTERCEPT_REQ.

Nota:

El servidor proxy no puede tomar la decisión de interceptar a menos que especifique una directiva.

La interceptación de tráfico puede basarse en cualquier atributo de enlace SSL. El más utilizado es el dominio SSL. El dominio SSL suele ser indicado por los atributos del protocolo de enlace SSL. Puede ser el valor del indicador de nombre del servidor extraído del mensaje de saludo del cliente SSL, si está presente, o el valor del nombre alternativo del servidor (SAN) extraído del certificado del servidor de origen. La directiva SSLi presenta un atributo especial denominado DETECTED_DOMAIN, que facilita a los clientes crear directivas de interceptación basadas en el dominio SSL desde el certificado del servidor de origen. El cliente puede hacer coincidir el nombre de dominio con una cadena, una lista de direcciones URL (conjunto de direcciones URL o patset) o una categoría de URL derivada del dominio.

Crear una directiva SSL mediante la CLI

En el símbolo del sistema, escriba:

add ssl policy <name> -rule <expression> -action <string>

Ejemplos:

Los ejemplos siguientes son para directivas con expresiones que utilizan el atributo detected_domain para buscar un nombre de dominio.

No intercepte tráfico a una institución financiera, como XYZBANK

add ssl policy pol1 -rule client.ssl.detected_domain.contains("XYZBANK") -action BYPASS

No permitir que un usuario se conecte a YouTube desde la red corporativa

add ssl policy pol2 -rule client.ssl.client.ssl.detected_domain.url_categorize(0,0).category.eq ("YouTube") -action RESET

Interceptar todo el tráfico de usuario

add ssl policy pol3 –rule true –action INTERCEPT

Si el cliente no quiere utilizar detected_domain, puede utilizar cualquiera de los atributos de enlace SSL para extraer e inferir el dominio.

Por ejemplo, no se encuentra un nombre de dominio en la extensión SNI del mensaje de saludo del cliente. El nombre de dominio debe tomarse del certificado del servidor de origen. Los ejemplos siguientes son para directivas con expresiones que comprueban si hay un nombre de dominio en el nombre del sujeto del certificado del servidor de origen.

Interceptar todo el tráfico de usuarios a cualquier dominio de Yahoo

add ssl policy pol4 -rule client.ssl.origin_server_cert.subject.contains("yahoo") –action INTERCEPT

Interceptar todo el tráfico de usuarios de la categoría “Compras/Retail”

add ssl policy pol_url_category -rule client.ssl.origin_server_cert.subject.URL_CATEGORIZE(0,0).CATEGORY.eq("Shopping/Retail") -action INTERCEPT

Interceptar todo el tráfico de usuario a una URL no categorizada

add ssl policy pol_url_category -rule client.ssl.origin_server_cert.subject.url_categorize(0,0).category.eq("Uncategorized") -action INTERCEPT

Los siguientes ejemplos son para directivas que coinciden con el dominio con una entrada de un conjunto de direcciones URL.

Interceptar todo el tráfico de usuario si el nombre de dominio en SNI coincide con una entrada en el conjunto de URL “top100”

add ssl policy pol_url_set  -rule client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top100") -action INTERCEPT

Interceptar todo el tráfico de usuario del nombre de dominio si el certificado del servidor de origen coincide con una entrada del conjunto de direcciones URL “top100”

add ssl policy pol_url_set  -rule client.ssl.origin_server_cert.subject.URLSET_MATCHES_ANY("top100") -action INTERCEPT

Crear una directiva SSL en un servidor proxy mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL > Directivas.
  2. En la ficha Directivas SSL, haga clic en Agregar y especifique los siguientes parámetros:
    • Nombre de directiva
    • Acción de directiva: Seleccione entre interceptar, omitir o restablecer.
    • Expresión
  3. Haga clic en Crear.

Enlazar una directiva SSL a un servidor proxy mediante la CLI

En el símbolo del sistema, escriba:

bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type  INTERCEPT_REQ

Ejemplo:

bind ssl vserver <name> -policyName pol1 -priority 10 -type INTERCEPT_REQ

Enlazar una directiva SSL a un servidor proxy mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy.
  2. Seleccione un servidor virtual y haga clic en Modificar.
  3. En Configuración avanzada, haga clic en Directivas SSL.
  4. Haga clic dentro del cuadro Directiva SSL.
  5. En Seleccionar directiva, seleccione una directiva para enlazar.
  6. En Tipo, seleccione INTERCEPT_REQ.
  7. Haga clic en Vincular y, a continuación, haga clic en Aceptar.

Desenlazar una directiva SSL a un servidor proxy mediante la línea de comandos

En el símbolo del sistema, escriba:

unbind ssl vserver <vServerName> -policyName <string> -type INTERCEPT_REQ

Expresiones SSL utilizadas en directivas SSL

Expresión Descripción
CLIENT.SSL.CLIENT_HELLO.SNI.* Devuelve la extensión SNI en un formato de cadena. Evalúe la cadena para ver si contiene el texto especificado. Ejemplo: Client.ssl.client_hello.sni.contains(“xyz.com”)
CLIENT.SSL.ORIGIN_SERVER_CERT.* Devuelve un certificado, recibido de un servidor back-end, en un formato de cadena. Evalúe la cadena para ver si contiene el texto especificado. Ejemplo: Client.ssl.origin_server_cert.subject.contains(“xyz.com”)
CLIENT.SSL.DETECTED_DOMAIN.* Devuelve un dominio, ya sea de la extensión SNI o del certificado del servidor de origen, en un formato de cadena. Evalúe la cadena para ver si contiene el texto especificado. Ejemplo: Client.ssl.detected_domain.contains(“xyz.com”)

Error SSL autoaprendizaje

El dispositivo agrega un dominio a la lista de omisión de SSL si el modo de aprendizaje está activado. El modo de aprendizaje se basa en el mensaje de alerta SSL recibido de un cliente o de un servidor de origen. Es decir, el aprendizaje depende del cliente o servidor que envía un mensaje de alerta. No se aprende si no se envía un mensaje de alerta. El dispositivo se entera de si se cumple alguna de las condiciones siguientes:

  1. Se recibe una solicitud de certificado de cliente del servidor.

  2. Se recibe una de las siguientes alertas como parte del apretón de manos:

    • BAD_CERTIFICATE
    • UNSUPPORTED_CERTIFICATE
    • CERTIFICATE_REVOCADO
    • CERTIFICATE_EXPIRED
    • CERTIFICADO_DESCONOCIDO
    • UNKNOWN_CA (Si un cliente utiliza anclar, envía este mensaje de alerta si recibe un certificado de servidor).
    • HANDSHAKE_FAILURE

Para habilitar el aprendizaje, debe habilitar la caché de errores y especificar la memoria reservada para el aprendizaje.

Habilitar el aprendizaje mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL.

  2. En Configuración, haga clic en Cambiar configuración avanzada de SSL.

  3. En Intercepción SSL, seleccione Caché de Error de Intercepción SSL.

  4. En SSL Interception Max Error Cache Memory, especifique la memoria (en bytes) que quiere reservar.

    Memoria caché de errores

  5. Haga clic en OK.

Habilitar el aprendizaje mediante la CLI

En el símbolo del sistema, escriba:

set ssl parameter -ssliErrorCache ( ENABLED | DISABLED ) -ssliMaxErrorCacheMem <positive_integer>

Argumentos:

SSLIErrorCache:

Habilite o inhabilite el aprendizaje dinámico y almacene en caché la información aprendida para tomar decisiones posteriores para interceptar u omitir solicitudes. Cuando se habilita, el dispositivo realiza una búsqueda en caché para decidir si se omite la solicitud.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: DISABLED

sslimaxErrorcachemem:

Especifique la memoria máxima, en bytes, que se puede utilizar para almacenar en caché los datos aprendidos. Esta memoria se utiliza como caché LRU para que las entradas antiguas se sustituyan por entradas nuevas después de agotar el límite de memoria establecido. Un valor de 0 decide el límite automáticamente.

Valor predeterminado: 0

Valor mínimo: 0

Valor máximo: 4294967294

Perfil SSL

Un perfil SSL es una colección de configuraciones SSL, como cifrados y protocolos. Un perfil es útil si tiene una configuración común para diferentes servidores. En lugar de especificar la misma configuración para cada servidor, puede crear un perfil, especificar la configuración en el perfil y, a continuación, enlazar el perfil a diferentes servidores. Si no se crea un perfil SSL front-end personalizado, el perfil front-end predeterminado está enlazado a entidades del lado cliente. Este perfil le permite configurar los parámetros para administrar las conexiones del lado del cliente.

Para la intercepción SSL, debe crear un perfil SSL y habilitar la intercepción SSL (SSLi) en el perfil. Un grupo de cifrado predeterminado está enlazado a este perfil, pero puede configurar más cifrados para adaptarse a su implementación. Debe enlazar un certificado de CA SSLi a este perfil y, a continuación, enlazar el perfil a un servidor proxy. Para la interceptación SSL, los parámetros esenciales de un perfil son los que se utilizan para comprobar el estado OCSP del certificado del servidor de origen, activar la renegociación del cliente si el servidor de origen solicita la renegociación y verificar el certificado del servidor de origen antes de volver a utilizar la sesión SSL front-end. Utilice el perfil de back-end predeterminado al comunicarse con los servidores de origen. Establezca cualquier parámetro del lado del servidor, como conjuntos de cifrado, en el perfil de back-end predeterminado. No se admite un perfil de back-end personalizado.

Para ver ejemplos de la configuración SSL más utilizada, consulte “Perfil de muestra” al final de esta sección.

El soporte de cifrado/protocolo difiere en la red interna y externa. En las tablas siguientes, la conexión entre los usuarios y un dispositivo ADC es la red interna. La red externa se encuentra entre el dispositivo e Internet.

Imagen de perfil SSL

Tabla 1: Matriz de soporte de cifrado y protocolo para la red interna

(cifrado/protocolo) /Plataforma MPX (N3) * VPX
TLS 1.1/1.2 12.1, 13.0 12.1, 13.0
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 12.1, 13.0 12.1, 13.0
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 12.1, 13.0 12.1, 13.0
Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 12.1, 13.0 12.1, 13.0
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) 12.1, 13.0 12.1, 13.0

Tabla 2: Matriz de soporte de cifrado y protocolo para la red externa

(cifrado/protocolo) /Plataforma MPX (N3) * VPX
TLS 1.1/1.2 12.1, 13.0 12.1, 13.0
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 12.1, 13.0 12.1, 13.0
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 12.1, 13.0 12.1, 13.0
Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 12.1, 13.0 12.1, 13.0
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) 12.1, 13.0 No se admite

* Utilice el comando sh hardware (show hardware) para identificar si el dispositivo tiene chips N3.

Ejemplo:

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done

Agregue un perfil SSL y habilite la interceptación SSL mediante la CLI

En el símbolo del sistema, escriba:

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

Argumentos:

IntercepciónSSLIntercepción:

Habilitar o inhabilitar la interceptación de sesiones SSL.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: DISABLED

SSLIreneg:

Habilitar o inhabilitar la activación de la renegociación del cliente cuando se recibe una solicitud de renegociación del servidor de origen.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: ENABLED

ComprobaciónSSLIOCSPCheck:

Habilitar o inhabilitar la comprobación de OCSP para un certificado de servidor de origen.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: ENABLED

sslimaxsessperServer:

Número máximo de sesiones SSL que se almacenarán en caché por servidor de origen dinámico. Se crea una sesión SSL única para cada extensión SNI recibida del cliente en un mensaje de saludo de cliente. La sesión coincidente se utiliza para la reutilización de la sesión del servidor.

Valor predeterminado: 10

Valor mínimo: 1

Valor máximo: 1000

Ejemplo:

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done

Enlazar un certificado de CA de interceptación SSL a un perfil SSL mediante la CLI

En el símbolo del sistema, escriba:

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert>

Ejemplo:

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done

Enlazar un certificado de CA de interceptación SSL a un perfil SSL mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Perfiles > Perfil SSL.

  2. Haga clic en Agregar.

  3. Especifique un nombre para el perfil.

  4. Habilite la intercepción de sesiones SSL.

  5. Haga clic en OK.

  6. En Configuración avanzada, haga clic en Clave de certificado.

  7. Especifique una clave de certificado de CA SSLi para enlazar al perfil.

  8. Haga clic en Seleccionar y, a continuación, haga clic en Vincular.

  9. Opcionalmente, configure los cifrados para que se adapten a su implementación.

    • Haga clic en el icono de edición y, a continuación, haga clic en Agregar.
    • Seleccione uno o más grupos de cifrado y haga clic en la flecha derecha.
    • Haga clic en OK.
  10. Haga clic en Listo.

Enlazar un perfil SSL a un servidor proxy mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad >Proxy de reenvío SSL > Servidores virtuales proxy y agregue un servidor o seleccione un servidor para modificarlo.
  2. En Perfil SSL, haga clic en el icono de edición.
  3. En la lista Perfil SSL, seleccione el perfil SSL que creó anteriormente.
  4. Haga clic en OK.
  5. Haga clic en Listo.

Perfil de muestra:

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Intercepción SSL