Citrix ADC

Seguridad del tráfico balanceado de carga mediante SSL

La función de descarga SSL de Citrix ADC mejora de forma transparente el rendimiento de los sitios web que realizan transacciones SSL. Al descargar tareas de cifrado y descifrado SSL que requieren mucha CPU desde el servidor web local al dispositivo, la descarga SSL garantiza la entrega segura de aplicaciones web sin la penalización de rendimiento incurrida cuando el servidor procesa los datos SSL. Una vez que el tráfico SSL se descifra, puede ser procesado por todos los servicios estándar. El protocolo SSL funciona perfectamente con varios tipos de datos HTTP y TCP y proporciona un canal seguro para las transacciones que utilizan dichos datos.

Para configurar SSL, primero debe habilitarlo. A continuación, configure los servicios HTTP o TCP y un servidor virtual SSL en el dispositivo y vincule los servicios al servidor virtual. También debe agregar un par de claves de certificado y vincularlo al servidor virtual SSL. Si utiliza servidores de Outlook Web Access, debe crear una acción para habilitar la compatibilidad con SSL y una directiva para aplicar la acción. Un servidor virtual SSL intercepta el tráfico cifrado entrante y lo descifra mediante un algoritmo negociado. A continuación, el servidor virtual SSL reenvía los datos descifrados a las demás entidades del dispositivo para su procesamiento adecuado.

Para obtener información detallada sobre la descarga de SSL, consulte Descarga y aceleración de SSL.

Secuencia de tareas de configuración SSL

Para configurar SSL, primero debe habilitarlo. A continuación, debe crear un servidor virtual SSL y servicios HTTP o TCP en el dispositivo Citrix ADC. Por último, se debe enlazar un certificado SSL válido y los servicios configurados al servidor virtual SSL.

Un servidor virtual SSL intercepta el tráfico cifrado entrante y lo descifra mediante un algoritmo negociado. A continuación, el servidor virtual SSL reenvía los datos descifrados a las demás entidades del dispositivo Citrix ADC para su procesamiento adecuado.

El siguiente diagrama de flujo muestra la secuencia de tareas para configurar una configuración básica de descarga SSL.

Ilustración 1. Secuencia de tareas para configurar la descarga SSL

imagen

Habilitar descarga SSL

Debe habilitar la función SSL antes de configurar la descarga SSL. Puede configurar entidades basadas en SSL en el dispositivo sin habilitar la función SSL, pero no funcionarán hasta que habilite SSL.

Habilitar SSL mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para habilitar la descarga SSL y verificar la configuración:

  • habilitar el SSL de función ns
  • show ns feature
> enable ns feature ssl




Done


> show ns feature


Feature Acronym Status


------- ------- ------


1) Web Logging WL ON


2) SurgeProtection SP OFF


3) Load Balancing LB ON . . .


 9) SSL Offloading SSL ON


10) Global Server Load Balancing GSLB ON . .


Done >

Habilitar SSL mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. En el panel de navegación, expanda Sistema y, a continuación, haga clic en Configuración.
  2. En el panel de detalles, en Modos y funciones, haga clic en Cambiar funciones básicas.
  3. Active la casilla de verificación Descarga SSL y, a continuación, haga clic en Aceptar.
  4. ¿En las funciones Activar/Desactivar?, haga clic en Sí.

Crear servicios HTTP

Un servicio del dispositivo representa una aplicación en un servidor. Una vez configurados, los servicios están inhabilitados hasta que el dispositivo pueda llegar al servidor de la red y supervisar su estado. En este tema se describen los pasos para crear un servicio HTTP.

Nota: Para el tráfico TCP, realice los procedimientos en este y en los temas siguientes, pero cree servicios TCP en lugar de servicios HTTP.

Agregar un servicio HTTP mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para agregar un servicio HTTP y verificar la configuración:

  • add service <name> (<IP> | <serverName>) <serviceType> <port>
  • servicio de demostración <name>

Ejemplo:

> add service SVC_HTTP1 10.102.29.18 HTTP 80


 Done


> show service SVC_HTTP1


        SVC_HTTP1 (10.102.29.18:80) - HTTP


        State: UP


        Last state change was at Wed Jul 15 06:13:05 2009


        Time since last state change: 0 days, 00:00:15.350


        Server Name: 10.102.29.18


        Server ID : 0   Monitor Threshold : 0


        Max Conn: 0     Max Req: 0      Max Bandwidth: 0 kbits


        Use Source IP: NO


        Client Keepalive(CKA): NO


        Access Down Service: NO


        TCP Buffering(TCPB): NO


        HTTP Compression(CMP): YES


        Idle timeout: Client: 180 sec   Server: 360 sec


        Client IP: DISABLED


        Cacheable: NO


        SC: OFF


        SP: OFF


        Down state flush: ENABLED





1)      Monitor Name: tcp-default


                State: UP       Weight: 1


                Probes: 4       Failed [Total: 0 Current: 0]


                Last response: Success - TCP syn+ack received.


                Response Time: N/A


 Done



Agregar un servicio HTTP mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Desplácese hasta Administración del tráfico > Descarga SSL > Servicios.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Crear servicio, en los cuadros de texto Nombre de servicio, Servidor y Puerto, escriba el nombre del servicio, la dirección IP y el puerto (por ejemplo, SVC_HTTP1, 10.102.29.18 y 80).
  4. En la lista Protocolo, seleccione el tipo de servicio (por ejemplo, HTTP).
  5. Haga clic en Crear y, a continuación, en Cerrar. El servicio HTTP configurado aparece en la página Servicios.
  6. Compruebe que los parámetros configurados estén configurados correctamente seleccionando el servicio y viendo la sección Detalles en la parte inferior del panel.

Agregar un servidor virtual basado en SSL

En una configuración básica de descarga SSL, el servidor virtual SSL intercepta el tráfico cifrado, lo descifra y envía los mensajes de texto sin cifrar a los servicios que están enlazados al servidor virtual. La descarga del procesamiento SSL intensivo de la CPU al dispositivo permite que los servidores back-end procesen un mayor número de solicitudes.

Agregar un servidor virtual basado en SSL mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para crear un servidor virtual basado en SSL y compruebe la configuración:

  • add lb vserver <name> <serviceType> [<IPAddress> <port>]
  • show lb vserver <name>

Precaución: Para garantizar conexiones seguras, debe vincular un certificado SSL válido al servidor virtual basado en SSL antes de habilitarlo.

Ejemplo:

> add lb vserver vserver-SSL-1 SSL 10.102.29.50 443




  Done


  > show lb vserver vserver-SSL-1


  vserver-SSL-1 (10.102.29.50:443) - SSL Type: ADDRESS


  State: DOWN[Certkey not bound] Last state change was at Tue Jun 16 06:33:08 2009 (+176 ms)


  Time since last state change: 0 days, 00:03:44.120


  Effective State: DOWN Client Idle Timeout: 180 sec


  Down state flush: ENABLED


  Disable Primary Vserver On Down : DISABLED


  No. of Bound Services : 0 (Total) 0 (Active)


  Configured Method: LEASTCONNECTION Mode: IP


  Persistence: NONE


  Vserver IP and Port insertion: OFF


  Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule: Done

Agregue un servidor virtual basado en SSL mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Desplácese hasta Administración del tráfico > Descarga SSL > Servidores virtuales.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Crear servidor virtual (descarga SSL), en los cuadros de texto Nombre, Dirección IP y Puerto, escriba el nombre del servidor virtual, la dirección IP y el puerto (por ejemplo, VServer-SSL-1, 10.102.29.50 y 443).
  4. En la lista Protocolo, seleccione el tipo de servidor virtual, por ejemplo, SSL.
  5. Haga clic en Crear y, a continuación, en Cerrar.
  6. Compruebe que los parámetros configurados están configurados correctamente seleccionando el servidor virtual y viendo la sección Detalles en la parte inferior del panel. El servidor virtual está marcado como DOWN porque un par de claves de certificado y servicios no se han enlazado a él.

Precaución: Para garantizar conexiones seguras, debe vincular un certificado SSL válido al servidor virtual basado en SSL antes de habilitarlo.

Vincular servicios al servidor virtual SSL

Después de descifrar los datos entrantes, el servidor virtual SSL reenvía los datos a los servicios que ha enlazado al servidor virtual.

La transferencia de datos entre el dispositivo y los servidores se puede cifrar o en texto sin cifrar. Si la transferencia de datos entre el dispositivo y los servidores está cifrada, toda la transacción estará segura de extremo a extremo. Para obtener más información acerca de la configuración del sistema para la seguridad de extremo a extremo, consulte Descarga y aceleración de SSL.

Enlazar un servicio a un servidor virtual mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para enlazar un servicio a un servidor virtual SSL y comprobar la configuración:

  • bind lb vserver <name> <serviceName>
  • show lb vserver <name>

Ejemplo:

> bind lb vserver vserver-SSL-1 SVC_HTTP1




  Done


  > show lb vserver vserver-SSL-1 vserver-SSL-1 (10.102.29.50:443) - SSL Type:


  ADDRESS State: DOWN[Certkey not bound]


  Last state change was at Tue Jun 16 06:33:08 2009 (+174 ms)


  Time since last state change: 0 days, 00:31:53.70


  Effective State: DOWN Client Idle


  Timeout: 180 sec


  Down state flush: ENABLED Disable Primary Vserver On Down :


  DISABLED No. of Bound Services : 1 (Total) 0 (Active)


  Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Vserver IP and


  Port insertion: OFF Push: DISABLED Push VServer: Push Multi Clients: NO Push Label Rule:





  1) SVC_HTTP1 (10.102.29.18: 80) - HTTP


  State: DOWN Weight: 1


  Done

Enlazar un servicio a un servidor virtual mediante la interfaz gráfica de usuario

  1. Desplácese hasta Administración del tráfico > Descarga SSL > Servidores virtuales.
  2. En el panel de detalles, seleccione un servidor virtual y haga clic en Open.
  3. En la ficha Servicios, en la columna Activo, active las casillas de verificación situadas junto a los servicios que quiere vincular al servidor virtual seleccionado.
  4. Haga clic en OK.
  5. Compruebe que el contador Número de servicios enlazados en la sección Detalles de la parte inferior del panel se incrementa en el número de servicios enlazados al servidor virtual.

Agregar un par de claves de certificado

Un certificado SSL es un elemento integral del proceso de cifrado y descifrado de claves SSL. El certificado se utiliza durante el protocolo de enlace SSL para establecer la identidad del servidor SSL. Puede utilizar un certificado SSL válido existente que tenga en el dispositivo Citrix ADC o puede crear su propio certificado SSL. El dispositivo admite certificados RSA/DSA de hasta 4096 bits.

Nota: Citrix recomienda utilizar un certificado SSL válido emitido por una entidad emisora de certificados de confianza. Los certificados no válidos y los certificados creados por sí mismos no son compatibles con todos los clientes SSL.

Antes de que se pueda utilizar un certificado para el procesamiento SSL, debe vincularlo con su clave correspondiente. El par de claves de certificado se vincula al servidor virtual y se utiliza para el procesamiento SSL.

Agregar un par de claves de certificado mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para crear un par de claves de certificado y verificar la configuración:

  • add ssl certKey <certkeyName> -cert <string> [-key <string>]
  • show sslcertkey <name>

Ejemplo:

> add ssl certKey CertKey-SSL-1 -cert ns-root.cert -key ns-root.key




 Done


> show sslcertkey CertKey-SSL-1


   Name: CertKey-SSL-1 Status: Valid,


   Days to expiration:4811 Version: 3


   Serial Number: 00 Signature Algorithm: md5WithRSAEncryption Issuer: C=US,ST=California,L=San


   Jose,O=Citrix ANG,OU=NS Internal,CN=de fault


   Validity Not Before: Oct 6 06:52:07 2006 GMT Not After : Aug 17 21:26:47 2022 GMT


   Subject: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=d efault Public Key


   Algorithm: rsaEncryption Public Key


   size: 1024


 Done

Agregar un par de claves de certificado mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Vaya a Administración del tráfico > SSL > Certificados.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Install Certificate, en el cuadro de texto Certificate-Key Pair Name, escriba el nombre de un par de claves de certificado que quiera agregar, por ejemplo, Certkey-SSL-1.
  4. En Detalles, en Nombre de archivo del certificado, haga clic en Examinar (dispositivo) para buscar el certificado. Tanto el certificado como la clave se almacenan en la carpeta /nsconfig/ssl/ del dispositivo. Para utilizar un certificado presente en el sistema local, seleccione Local.
  5. Seleccione el certificado que quiere utilizar y, a continuación, haga clic en Seleccionar.
  6. En Nombre de archivo de clave privada, haga clic en Examinar (equipo) para buscar el archivo de clave privada. Para utilizar una clave privada presente en el sistema local, seleccione Local.
  7. Seleccione la clave que quiere utilizar y haga clic en Seleccionar. Para cifrar la clave utilizada en el par de claves de certificado, escriba la contraseña que se utilizará para el cifrado en el cuadro de texto Contraseña.
  8. Haga clic en Instalar.
  9. Haga doble clic en el par de claves de certificado y, en la ventana Detalles del certificado, compruebe que los parámetros se han configurado y guardado correctamente.

Enlazar un par de claves de certificado SSL al servidor virtual

Después de emparejar un certificado SSL con su clave correspondiente, debe vincular el par de claves de certificado al servidor virtual SSL para que pueda utilizarse para el procesamiento SSL. Las sesiones seguras requieren establecer una conexión entre el equipo cliente y un servidor virtual basado en SSL del dispositivo. El procesamiento SSL se lleva a cabo en el tráfico entrante en el servidor virtual. Por lo tanto, antes de habilitar el servidor virtual SSL en el dispositivo, debe vincular un certificado SSL válido al servidor virtual SSL.

Enlazar un par de claves de certificado SSL a un servidor virtual mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para enlazar un par de claves de certificado SSL a un servidor virtual y compruebe la configuración:

  • <string>bind ssl vserver <vServerName> -CertKeyName
  • show ssl vserver <name>

Ejemplo:

> bind ssl vserver Vserver-SSL-1 -certkeyName CertKey-SSL-1




Done


> show ssl vserver Vserver-SSL-1





     Advanced SSL configuration for VServer Vserver-SSL-1:


     DH: DISABLED


     Ephemeral RSA: ENABLED Refresh Count: 0


     Session Reuse: ENABLED Timeout: 120 seconds


     Cipher Redirect: ENABLED


     SSLv2 Redirect: ENABLED


     ClearText Port: 0


     Client Auth: DISABLED


     SSL Redirect: DISABLED


     Non FIPS Ciphers: DISABLED


     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED





1) CertKey Name: CertKey-SSL-1 Server Certificate


1) Cipher Name: DEFAULT


   Description: Predefined Cipher Alias


Done

Enlazar un par de claves de certificado SSL a un servidor virtual mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Desplácese hasta Administración del tráfico > Descarga SSL > Servidores virtuales.
  2. Seleccione el servidor virtual al que quiere enlazar el par de claves de certificado, por ejemplo, VServer-SSL-1, y haga clic en Abrir.
  3. En el cuadro de diálogo Configurar servidor virtual (descarga SSL), en la ficha Configuración SSL, en Disponible, seleccione el par de claves de certificado que quiere vincular al servidor virtual (por ejemplo, Certkey-SSL-1) y, a continuación, haga clic en Agregar.
  4. Haga clic en OK.
  5. Compruebe que el par de claves de certificado seleccionado aparece en el área Configurada.

Configurar la compatibilidad con el acceso web de Outlook

Si utiliza servidores de Outlook Web Access (OWA) en el dispositivo Citrix ADC, debe configurar el dispositivo para que inserte un campo de encabezado especial, FRONT-END-HTTPS: ON, en las solicitudes HTTP dirigidas a los servidores OWA, de modo que los servidores generen vínculos URL como https:// en lugar de http://.

Nota: Puede habilitar la compatibilidad de OWA solo para servidores y servicios virtuales SSL basados en HTTP. No puede aplicarlo para servidores y servicios virtuales SSL basados en TCP.

Para configurar la compatibilidad con OWA, haga lo siguiente:

  • Cree una acción SSL para habilitar el soporte OWA.
  • Cree una directiva SSL.
  • Enlace la directiva al servidor virtual SSL.

Crear una acción SSL para habilitar el soporte de OWA

Antes de habilitar la compatibilidad con Outlook Web Access (OWA), debe crear una acción SSL. Las acciones SSL se vinculan a las directivas SSL y se activan cuando los datos entrantes coinciden con la regla especificada por la directiva.

Cree una acción SSL para habilitar el soporte de OWA mediante la CLI

En el símbolo del sistema, escriba los comandos siguientes para crear una acción SSL para habilitar la compatibilidad con OWA y verificar la configuración:

  • add ssl action <name> -OWASupport ENABLED
  • show SSL action <name>

Ejemplo:

```
> add ssl action Action-SSL-OWA -OWASupport enabled




Completado


> show SSL action Action-SSL-OWA


Nombre: Acción-SSL-OWA


Acción de inserción de datos: OWA


Soporte: ENABLED


Completado
```

Cree una acción SSL para habilitar el soporte de OWA mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Vaya a Administración del tráfico > SSL > Directivas.
  2. En el panel de detalles, en la ficha Acciones, haga clic en Agregar.
  3. En el cuadro de diálogo Create SSL Action, en el cuadro de texto Name, escriba Action-SSL-OWA.
  4. En Outlook Web Access, seleccione Habilitado.
  5. Haga clic en Crear y, a continuación, en Cerrar.
  6. Compruebe que Acción-SSL-OWA aparece en la página Acciones SSL.

Crear directivas SSL

Las directivas SSL se crean mediante la infraestructura de directivas. Cada directiva SSL tiene una acción SSL vinculada a ella, y la acción se lleva a cabo cuando el tráfico entrante coincide con la regla que se ha configurado en la directiva.

Crear una directiva SSL mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para configurar una directiva SSL y verificar la configuración:

  • add ssl policy <name> -rule <expression> -reqAction <string>
  • show ssl policy <name>

Ejemplo:

> add ssl policy Policy-SSL-1 -rule ns_true -reqaction Action-SSL-OWA

Done

> show ssl policy Policy-SSL-1

Name: Policy-SSL-1 Rule: ns_true

Action: Action-SSL-OWA Hits: 0

Policy is bound to following entities

1) PRIORITY : 0

Done

Crear una directiva SSL mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Vaya a Administración del tráfico > SSL > Directivas.
  2. En el panel de detalles, haga clic en Agregar.
  3. En el cuadro de diálogo Crear directiva SSL, en el cuadro de texto Nombre, escriba el nombre de la directiva SSL (por ejemplo, directiva SSL-1).
  4. En Acción de solicitud, seleccione la acción SSL configurada que quiere asociar a esta directiva (por ejemplo, Acción-SSL-OWA). La expresión general ns_true aplica la directiva a todo el tráfico de protocolo SSL correcto. Sin embargo, si necesita filtrar respuestas específicas, puede crear directivas con un nivel de detalle más alto. Para obtener más información acerca de cómo configurar expresiones de directiva granulares, consulte Acciones y directivas de SSL.
  5. En Expresiones con nombre, elija la expresión general incorporada ns_true y haga clic en Agregar expresión. La expresión ns_true aparece ahora en el cuadro de texto Expresión.
  6. Haga clic en Crear y, a continuación, en Cerrar.
  7. Compruebe que la directiva está configurada correctamente seleccionando la directiva y viendo la sección Detalles en la parte inferior del panel.

Enlazar la directiva SSL al servidor virtual SSL

Después de configurar una directiva SSL para Outlook Web Access, vincule la directiva a un servidor virtual que interceptará el tráfico entrante de Outlook. Si los datos entrantes coinciden con alguna de las reglas configuradas en la directiva SSL, se activa la directiva y se lleva a cabo la acción asociada.

Enlazar una directiva SSL a un servidor virtual SSL mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para enlazar una directiva SSL a un servidor virtual SSL y compruebe la configuración:

  • bind ssl vserver <vServerName> -policyName <string>
  • show ssl vserver <name>

Ejemplo:

> bind ssl vserver Vserver-SSL-1 -policyName Policy-SSL-1

 Done

> show ssl vserver Vserver-SSL-1

Advanced SSL configuration for VServer Vserver-SSL-1:

DH: DISABLED

Ephemeral RSA: ENABLED

Refresh Count: 0

Session Reuse: ENABLED

Timeout: 120 seconds

Cipher Redirect: ENABLED

SSLv2 Redirect: ENABLED

ClearText Port: 0

Client Auth: DISABLED

SSL Redirect: DISABLED

Non FIPS Ciphers: DISABLED

SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED

1) CertKey Name: CertKey-SSL-1 Server Certificate

1) Policy Name: Policy-SSL-1 Priority: 0

1) Cipher Name: DEFAULT Description: Predefined Cipher Alias

Done

Enlazar una directiva SSL a un servidor virtual SSL mediante la interfaz gráfica de usuario

Siga estos pasos:

  1. Desplácese hasta Administración del tráfico > Descarga SSL > Servidores virtuales.
  2. En el panel de detalles, seleccione el servidor virtual (por ejemplo, VServer-SSL-1) y, a continuación, haga clic en Abrir.
  3. En el cuadro de diálogo Configurar servidor virtual (descarga SSL), haga clic en Insertar directiva y, a continuación, seleccione la directiva que quiere enlazar al servidor virtual SSL. Si lo quiere, puede hacer doble clic en el campo Prioridad y escribir un nuevo nivel de prioridad.
  4. Haga clic en OK.