Perfil SSL heredado

Nota:

Citrix recomienda utilizar los perfiles mejorados en lugar de los perfiles heredados. Para obtener información acerca de la infraestructura de perfiles mejorada, consulte SSL profile infrastructure.

Importante:

Debe enlazar un perfil SSL a un servidor virtual SSL. No enlazar un perfil DTLS a un servidor virtual SSL. Para obtener información acerca de los perfiles DTLS, consulte Perfiles DTLS.

Puede utilizar un perfil SSL para especificar cómo un dispositivo Citrix ADC procesa el tráfico SSL. El perfil es una colección de parámetros SSL para entidades SSL, como servidores virtuales, servicios y grupos de servicios, y ofrece facilidad de configuración y flexibilidad. No se limita a configurar solo un conjunto de parámetros globales. Puede crear varios conjuntos (perfiles) de parámetros globales y asignar diferentes conjuntos a diferentes entidades SSL. Los perfiles SSL se clasifican en dos categorías:

  • Perfiles front-end, que contienen parámetros aplicables a la entidad front-end. Es decir, se aplican a la entidad que recibe solicitudes de un cliente.
  • Perfiles de backend, que contienen parámetros aplicables a la entidad back-end. Es decir, se aplican a la entidad que envía solicitudes de cliente a un servidor.

A diferencia de un perfil TCP o HTTP, un perfil SSL es opcional. Por lo tanto, no hay ningún perfil SSL predeterminado. El mismo perfil se puede reutilizar en varias entidades. Si una entidad no tiene un perfil asociado, se aplicarán los valores establecidos en el nivel global. Para los servicios aprendidos dinámicamente, se aplican los valores globales actuales.

En la tabla siguiente se enumeran los parámetros que forman parte de cada perfil.

Perfil de extremo delantero Perfil de backend
cipherRedirect, cipherURL denySSLReneg
clearTextPort* encryptTriggerPktCount
clientAuth, clientCert nonFipsCiphers
denySSLReneg pushEncTrigger
dh, dhFile, dhCount pushEncTriggerTimeout
dropReqWithNoHostHeader pushFlag
encryptTriggerPktCount quantumSize
eRSA, eRSACount serverAuth
insertionEncoding commonName
nonFipsCiphers sessReuse, sessTimeout
pushEncTrigger SNIEnable
pushEncTriggerTimeout ssl3
pushFlag sslTriggerTimeout
quantumSize strictCAChecks
redirectPortRewrite tls1
sendCloseNotify -
sessReuse, sessTimeout -
SNIEnable -
ssl3 -
sslRedirect -
sslTriggerTimeout -
strictCAChecks -
tls1, tls11, tls12 -

* El parámetro ClearTextPort se aplica solo a un servidor virtual SSL.

Aparece un mensaje de error si intenta establecer un parámetro que no forma parte del perfil (por ejemplo, si intenta establecer el parámetro clientAuth en un perfil back-end).

Algunos parámetros SSL, como el tamaño de la memoria CRL, el tamaño de la caché OCSP, UndefAction Control y UndefAction Data, no forman parte de ninguno de los perfiles anteriores, ya que estos parámetros son independientes de las entidades.

Un perfil SSL admite las siguientes operaciones:

  • Agregar: Crea un perfil SSL en Citrix ADC. Especifique si el perfil es front-end o back-end. El front-end es el valor predeterminado.
  • Definir: Permite modificar la configuración de un perfil existente.
  • Desestablecer: Establece los parámetros especificados en sus valores predeterminados. Si no especifica ningún parámetro, aparecerá un mensaje de error. Si desestablece un perfil en una entidad, el perfil está independiente de la entidad.
  • Eliminar: Permite borrar un perfil. Un perfil que está siendo utilizado por ninguna entidad no se puede eliminar. Al borrar la configuración, se eliminan todas las entidades. Como resultado, los perfiles también se eliminan.
  • Mostrar: Muestra todos los perfiles disponibles en Citrix ADC. Si se especifica un nombre de perfil, se muestran los detalles de ese perfil. Si se especifica una entidad, se muestran los perfiles asociados a esa entidad.

Crear un perfil SSL mediante la CLI

  • Para agregar un perfil SSL, escriba:
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
  • Para modificar un perfil existente, escriba:
set ssl profile <name>
  • Para anular la configuración de un perfil existente, escriba:
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
  • Para anular la configuración de un perfil existente de una entidad, escriba:
unset ssl vserver <vServerName> –sslProfile
  • Para eliminar un perfil existente, escriba:
rm ssl profile <name>
  • Para mostrar un perfil existente, escriba:
sh ssl profile <name>

Crear un perfil SSL mediante la interfaz gráfica de usuario

Vaya a Sistema > Perfiles, seleccione la ficha Perfiles SSL y cree un perfil SSL.

Habilitar un control más estricto en la validación de certificados de cliente

El dispositivo Citrix ADC acepta certificados de CA intermedia válidos si los emite una sola CA Root-CA. Es decir, si solo el certificado Root-CA está enlazado al servidor virtual y cualquier certificado intermedio enviado con el certificado de cliente es validado por dicha Root-CA, el dispositivo confía en la cadena de certificados y el protocolo de enlace se realiza correctamente.

Sin embargo, si un cliente envía una cadena de certificados en el protocolo de enlace, ninguno de los certificados intermedios se puede validar mediante un respondedor CRL u OCSP, a menos que dicho certificado esté enlazado al servidor virtual SSL. Por lo tanto, incluso si se revoca uno de los certificados intermedios, el protocolo de enlace se realiza correctamente. Como parte del protocolo de enlace, el servidor virtual SSL envía la lista de certificados de CA que están enlazados a él. Para un control más estricto, puede configurar el servidor virtual SSL para que acepte solo un certificado firmado por uno de los certificados de CA enlazados a ese servidor virtual. Para ello, debe habilitar la configuración ClientAuthUseBoundCachain en el perfil SSL enlazado al servidor virtual. El protocolo de enlace falla si el certificado de cliente no está firmado por uno de los certificados de CA enlazados al servidor virtual.

Por ejemplo, digamos que dos certificados de cliente, clientcert1 y clientcert2, están firmados por los certificados intermedios INT-CA-A e INT-CA-B, respectivamente. Los certificados intermedios están firmados por el certificado raíz Root-CA. Int-ca-A y Root-CA están enlazados al servidor virtual SSL. En el caso predeterminado (ClientAuthUseBoundCachain inhabilitado), se aceptan tanto clientcert1 como clientcert2. Sin embargo, si ClientAuthUseBoundCachain está habilitado, el dispositivo Citrix ADC solo acepta clientcert1

Habilitar un control más estricto en la validación de certificados de cliente mediante la CLI

En el símbolo del sistema, escriba: set ssl profile <name> -ClientAuthUseBoundCAChain Enabled

Habilitar un control más estricto en la validación de certificados de cliente mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Perfiles, seleccione la ficha Perfiles SSL y cree un perfil SSL o seleccione un perfil existente.
  2. Seleccione Habilitar autenticación de cliente mediante cadena de CA enlazada.