Citrix ADC

Configurar la acción SSL para reenviar tráfico de cliente si no se admite un cifrado en el ADC

Nota: Esta función está disponible en la versión 12.1 compilación 49.x y versiones posteriores.

En el mensaje de saludo del cliente, si recibe un cifrado que no es compatible con el ADC, puede configurar una acción SSL para reenviar el tráfico del cliente a un servidor virtual diferente. Si no quiere descarga SSL, configure este servidor virtual de tipo TCP o SSL_BRIDGE. No hay descarga SSL en el ADC y ese tráfico se omite. Para la descarga SSL, configure un servidor virtual SSL como servidor virtual de reenvío.

Siga estos pasos:

  1. Agregue un servidor virtual de equilibrio de carga de tipo SSL. El tráfico de cliente se recibe en este servidor virtual.
  2. Enlazar un servicio SSL a este servidor virtual.
  3. Agregue un servidor virtual de equilibrio de carga de tipo TCP. Nota: La dirección IP o el número de puerto no son obligatorios para el servidor virtual al que se reenvía el tráfico.
  4. Agregue un servicio TCP con el puerto 443.
  5. Enlazar este servicio al servidor virtual TCP creado anteriormente.
  6. Agregue una acción SSL especificando el servidor virtual TCP en el parámetro ‘forward’.
  7. Agregue una directiva SSL que especifique la acción anterior si el conjunto de cifrado específico (identificado por su código hexadecimal) se recibe en el mensaje de saludo del cliente.
  8. Enlazar esta directiva al servidor virtual SSL.
  9. Guarde la configuración.

Configuración mediante la CLI

add service ssl-service 10.102.113.155 SSL 443
add ssl certkey sv -cert complete/server/server_rsa_2048.pem -key complete/server/server_rsa_2048.ky
add ssl certkey cacert -cert complete/CA/root_rsa_1024.pem -key complete/CA/root_rsa_1024.ky
add lb vserver v1 SSL 10.102.57.186 443
bind ssl vserver v1 -certkeyName sv
bind lb vserver v1 ssl-service
add lb vserver v2 TCP
add service tcp-service 10.102.113.150 TCP 443
bind lb vserver v2 tcp-service
add ssl action act1 -forward v2
add ssl policy pol2 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1
bind ssl vserver v1 -policyName pol2 -type CLIENTHELLO_REQ -priority 1
sh ssl vserver v1

    Advanced SSL configuration for VServer v1:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120 seconds
    Cipher Redirect: DISABLED
    SSLv2 Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: ENABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLv2: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate


    Data policy
1)  Policy Name: pol2   Priority: 1



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit
 Done
sh ssl policy pol2
    Name: pol2
    Rule: client.ssl.client_hello.ciphers.has_hexcode(0x002f)
    Action: act1
    UndefAction: Use Global
    Hits: 0
    Undef Hits: 0


    Policy is bound to following entities
1)  Bound to: CLIENTHELLO_REQ VSERVER v1
    Priority: 1

 Done
sh ssl action act1
1)  Name: act1
    Type: Data Insertion
    Forward to: v2
    Hits: 0
    Undef Hits: 0
    Action Reference Count: 1
 Done
sh ssl vserver v2

    Advanced SSL configuration for VServer v2:
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED  Refresh Count: 0
    Session Reuse: ENABLED  Timeout: 120    seconds
    Cipher Redirect: DISABLED
    SSLv2 Redirect: DISABLED
    ClearText Port: 0
    Client Auth: DISABLED
    SSL Redirect: DISABLED
    Non FIPS Ciphers: DISABLED
    SNI: DISABLED
    OCSP Stapling: DISABLED
    HSTS: DISABLED
    HSTS IncludeSubDomains: NO
    HSTS Max-Age: 0
    SSLv2: DISABLED  SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Push Encryption Trigger: Always
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1

    ECC Curve: P_256, P_384, P_224, P_521

1)  CertKey Name: sv    Server Certificate



1)  Cipher Name: DEFAULT
    Description: Default cipher list with encryption strength >= 128bit

Configuración mediante la GUI

Crear un servidor virtual TCP:

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Cree un servidor virtual TCP.
  3. Haga clic en la sección Servicios y grupos de servicios y agregue un servicio TCP o vincule un servicio existente.
  4. Haga clic en Bind.
  5. Haga clic en Continuar.

Crear un servidor virtual SSL:

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Cree otro servidor virtual SSL.
  3. Haga clic en la sección Servicios y grupos de servicios y agregue un nuevo servicio SSL o vincule un servicio existente.
  4. Haga clic en Bind.
  5. Haga clic en Continuar.
  6. Haga clic en la sección Certificado y vincule un certificado de servidor.
  7. Haga clic en Continuar.
  8. En Configuración avanzada, haga clic en Directivas SSL.
  9. Haga clic en la sección Directiva SSL para agregar o seleccionar una directiva existente.
  10. En Enlace de directivas, haga clic en Agregar y especifique un nombre para la directiva.
  11. En Acción, haga clic en Agregar.
  12. Especifique un nombre para la acción SSL. En Forward Action Virtual Server, seleccione el servidor virtual TCP creado anteriormente.
  13. Haga clic en Crear.
  14. Especifique CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE (código hexadecimal del cifrado no admitido) en la expresión.
  15. Haga clic en Listo.
  16. En la directiva, configure una expresión para evaluar el tráfico del cifrado no admitido.
  17. Enlace la acción a la directiva y la directiva al servidor virtual SSL. Especifique el punto de enlace CLIENTHELLO_REQ.
  18. Haga clic en Listo.

Configurar la acción SSL para reenviar tráfico de cliente si no se admite un cifrado en el ADC