SSL profile infrastructure

Las vulnerabilidades en la implementación de SSLv3 y RC4 han enfatizado la necesidad de utilizar los últimos cifrados y protocolos para negociar la configuración de seguridad para una conexión de red. Implementar cualquier cambio en la configuración, como inhabilitar SSLv3 en miles de puntos finales SSL, es un proceso engorroso. Por lo tanto, los valores que formaban parte de la configuración de los extremos SSL se han movido a los perfiles SSL, junto con los cifrados predeterminados. Para implementar cambios en la configuración, incluido el soporte de cifrado, solo necesita modificar el perfil enlazado a las entidades.

Los perfiles SSL predeterminados (front-end y back-end predeterminados) contienen todos los cifrados y curvas ECC predeterminados, además de los parámetros que formaban parte de los perfiles antiguos. Las salidas de muestra para los perfiles predeterminados se proporcionan en el apéndice. La operación Habilitar perfil predeterminado vincula automáticamente el perfil front-end predeterminado a todas las entidades front-end y el perfil back-end predeterminado a todas las entidades back-end. Puede modificar un perfil predeterminado para adaptarlo a su implementación. También puede crear perfiles personalizados y vincularlos a entidades SSL.

Importante:

Después de la actualización, si habilita los perfiles predeterminados, no podrá deshacer los cambios. Es decir, los perfiles no se pueden inhabilitar. Guarde la configuración y cree una copia del archivo de configuración (ns.conf) antes de habilitar los perfiles. Sin embargo, si no desea utilizar las funciones del perfil predeterminado, puede seguir mediante los perfiles SSL antiguos. Para obtener más información acerca de estos perfiles, consulte Perfil SSL heredado.

Desde la versión 11.1 51.x, en la GUI y CLI, se agrega un mensaje de confirmación cuando se habilita el perfil predeterminado para que no se habilite por error.

Comando:

set ssl parameter -defaultProfile ENABLED
    Save your configuration before enabling the Default profile. You cannot undo the changes. Are you sure you want to enable the Default profile? [Y/N]Y
Done

De forma predeterminada, algunos parámetros SSL, denominados parámetros globales, se aplican a todos los puntos finales SSL. Sin embargo, si un perfil está enlazado a un punto final SSL, los parámetros globales no se aplican. En su lugar, se aplican los parámetros especificados en el perfil.

Puntos a tener en cuenta

  1. Un perfil se puede enlazar a varios servidores virtuales, pero un servidor virtual solo puede tener un perfil enlazado a él.
  2. Para eliminar un perfil enlazado a un servidor virtual, primero desenlazar el perfil.
  3. Un grupo de cifrado o cifrado se puede enlazar a varios perfiles con diferentes prioridades.
  4. Un perfil puede tener varios cifrados y grupos de cifrado vinculados a diferentes prioridades.
  5. Los cambios en un grupo de cifrado se reflejan inmediatamente en todos los perfiles y en todos los servidores virtuales a los que está enlazado uno de los perfiles.
  6. Si un conjunto de cifrado forma parte de un grupo de cifrado, modifique el grupo de cifrado para quitar ese conjunto de cifrado antes de quitar el conjunto de cifrado del perfil.
  7. Si no asigna prioridad a un conjunto de cifrado o grupo de cifrado asociado a un perfil, se le asigna la prioridad más baja dentro del perfil.
  8. Puede crear un grupo de cifrado personalizado (también denominado grupo de cifrado definido por el usuario) a partir de grupos de cifrado y conjuntos de cifrado existentes. Si crea un grupo de cifrado A y agrega grupos de cifrado existentes X e Y, en ese orden, Y se asigna a una prioridad inferior a X. Es decir, el grupo que se agrega primero tiene una prioridad más alta.
  9. Si un conjunto de cifrado forma parte de dos grupos de cifrado asociados al mismo perfil, el conjunto de cifrado no se agrega de nuevo como parte del segundo grupo de cifrado. El conjunto de cifrado con la prioridad más alta está en vigor cuando se procesa el tráfico.
  10. Los grupos de cifrado no se expanden en el perfil. Como resultado, el número de líneas en el archivo de configuración (ns.conf) se reduce considerablemente. Por ejemplo, si dos grupos de cifrado que contienen 15 cifrados cada uno están enlazados a mil servidores virtuales SSL, la expansión agrega 30*1000 entradas relacionadas con cifrado en el archivo de configuración. Con el nuevo perfil, solo tendría dos entradas: Una para cada grupo de cifrado enlazado a un perfil.
  11. Crear un grupo de cifrado definido por el usuario a partir de cifrados y grupos de cifrado existentes es una operación de copiar y pegar. Cualquier cambio en el grupo original no se refleja en el nuevo grupo.
  12. Un grupo de cifrado definido por el usuario enumera todos los perfiles de los que forma parte.
  13. Un perfil enumera todos los servidores virtuales SSL, servicios y grupos de servicios a los que está enlazado.
  14. Si la función de perfil SSL predeterminada está habilitada, utilice el perfil para establecer o cambiar cualquiera de los atributos de un servidor virtual, servicio, grupo de servicios o servicio interno.

Guarde la configuración mediante la CLI

En el símbolo del sistema, escriba:

save config

shell

root@ns# cd /nsconfig

root@ns# cp ns.conf ns.conf.NS<currentreleasenumber><currentbuildnumber>

Ejemplo:

save config
shell
root@ns# cd /nsconfig
root@ns# cp ns.conf ns.conf.NS.11.0.jun.16

Habilitar el perfil predeterminado

Importante:

Guarde la configuración antes de actualizar el software y habilite los perfiles predeterminados.

Desde la versión 11.1 build 51.x, en la GUI y CLI, aparece un mensaje de confirmación cuando habilita el perfil predeterminado para evitar habilitarlo por error.

Comando: El siguiente comando habilita el perfil por defecto y vincula este perfil a las entidades SSL a las que ya está enlazado un perfil. Es decir, si un perfil (por ejemplo P1) ya está enlazado a una entidad SSL, P1 se reemplaza por el perfil front-end predeterminado o el perfil back-end predeterminado. El perfil anterior (P1) no se elimina. Ahora es un perfil SSL mejorado y contiene los ajustes anteriores, así como los cifrados y las curvas ECC. Si no desea el perfil predeterminado, puede vincular explícitamente P1 a la entidad SSL.

set ssl parameter -defaultProfile ENABLED
    Save your configuration before enabling the Default profile. You cannot undo the changes. Are you sure you want to enable the Default profile? [Y/N]Y
Done

Actualice el software a una compilación que admita la infraestructura de perfiles mejorada y, a continuación, habilite los perfiles predeterminados.

Notas:

  • Si un perfil heredado (P1) ya está enlazado a una entidad SSL y se habilita el perfil predeterminado, el perfil predeterminado anula el enlace anterior. Es decir, el perfil predeterminado está enlazado a las entidades SSL. Si no desea que el perfil predeterminado esté enlazado, debe volver a enlazar P1 a la entidad SSL.

  • Una sola operación (Habilitar perfil predeterminado o set ssl parameter -defaultProfile ENABLED) habilita (vincula) tanto el perfil front-end como el perfil back-end predeterminado.

Caso de uso

Después de habilitar los perfiles predeterminados, están enlazados a todos los puntos finales SSL. Los perfiles predeterminados son editables. Si la implementación utiliza la mayoría de la configuración predeterminada y cambia solo unos pocos parámetros, puede modificar los perfiles predeterminados. Los cambios se reflejan inmediatamente en todos los puntos finales. También puede crear perfiles SSL personalizados con algunos parámetros personalizados y algunos predeterminados y vincularlos a las entidades SSL.

El siguiente diagrama de flujo explica los pasos que debe realizar:

Perfiles SSL caso de uso 1

  1. Para obtener información sobre cómo actualizar el software, consulte Actualización del software del sistema.

  2. Habilite los perfiles predeterminados mediante la CLI o GUI.

  • En la línea de comando, escriba: set ssl parameter -defaultProfile ENABLED
  • Si prefiere utilizar la GUI, vaya a Administración de tráfico > SSL > Cambiar configuración avanzada de SSL, desplácese hacia abajo y seleccione Habilitar perfil predeterminado.

Si un perfil no estaba enlazado a un punto final antes de la actualización, un perfil predeterminado está enlazado al punto final SSL. Si un perfil estaba enlazado a un punto final antes de la actualización, el mismo perfil se enlazará después de la actualización y los cifrados predeterminados se agregarán al perfil.

  1. (Opcional) Cambie manualmente cualquier configuración del perfil predeterminado.
  • En la línea de comandos, escriba: set ssl profile <name> seguido de los parámetros que quiere modificar.
  • Si prefiere utilizar la GUI, vaya a Sistema > Perfiles. En Perfiles SSL, seleccione un perfil y haga clic en Modificar.

Parámetros de perfil SSL

Puede establecer los siguientes parámetros SSL en un perfil SSL. Puede establecer algunos de estos parámetros en un servidor virtual SSL. Para obtener más información acerca de los parámetros del servidor virtual SSL, consulte Parámetros del servidor virtual SSL.

Establecer parámetros de perfil SSL mediante la CLI

En el símbolo del sistema, escriba:

 set ssl profile <name> [-ssllogProfile <string>] [-dh ( ENABLED |
       DISABLED ) -dhFile <string>] [-dhCount <positive_integer>]
       [-dhKeyExpSizeLimit ( ENABLED | DISABLED )] [-eRSA ( ENABLED | DISABLED
       ) [-eRSACount <positive_integer>]] [-sessReuse ( ENABLED | DISABLED )
       [-sessTimeout <positive_integer>]] [-cipherRedirect ( ENABLED |
       DISABLED ) [-cipherURL <URL>]] [-clientAuth ( ENABLED | DISABLED )
       [-clientCert ( Mandatory | Optional )]] [-sslRedirect ( ENABLED |
       DISABLED )] [-redirectPortRewrite ( ENABLED | DISABLED )] [-ssl3 (
       ENABLED | DISABLED )] [-tls1 ( ENABLED | DISABLED )] [-tls11 ( ENABLED
       | DISABLED )] [-tls12 ( ENABLED | DISABLED )] [-tls13 ( ENABLED |
       DISABLED )] [-SNIEnable ( ENABLED | DISABLED )] [-ocspStapling (
       ENABLED | DISABLED )] [-serverAuth ( ENABLED | DISABLED )] [-commonName
       <string>] [-pushEncTrigger <pushEncTrigger>] [-sendCloseNotify ( YES |
       NO )] [-clearTextPort <port|*>] [-insertionEncoding ( Unicode | UTF-8
       )] [-denySSLReneg <denySSLReneg>] [-quantumSize <quantumSize>]
       [-strictCAChecks ( YES | NO )] [-encryptTriggerPktCount
       <positive_integer>] [-pushFlag <positive_integer>]
       [-dropReqWithNoHostHeader ( YES | NO )] [-pushEncTriggerTimeout
       <positive_integer>] [-sslTriggerTimeout <positive_integer>]
       [-clientAuthUseBoundCAChain ( ENABLED | DISABLED )] [-sslInterception (
       ENABLED | DISABLED )] [-ssliReneg ( ENABLED | DISABLED )]
       [-ssliOCSPCheck ( ENABLED | DISABLED )] [-ssliMaxSessPerServer
       <positive_integer>] [-HSTS ( ENABLED | DISABLED )] [-maxage
       <positive_integer>] [-IncludeSubdomains ( YES | NO )] [-sessionTicket (
       ENABLED | DISABLED )] [-sessionTicketLifeTime <positive_integer>]
       [-sessionTicketKeyRefresh ( ENABLED | DISABLED )]
       {-sessionTicketKeyData } [-sessionKeyLifeTime <positive_integer>]
       [-prevSessionKeyLifeTime <positive_integer>] [-cipherName <string>
       -cipherPriority <positive_integer>] [-strictSigDigestCheck ( ENABLED |
       DISABLED )] [-skipClientCertPolicyCheck ( ENABLED | DISABLED )]
       [-zeroRttEarlyData ( ENABLED | DISABLED )]
       [-tls13SessionTicketsPerAuthContext <positive_integer>]
       [-dheKeyExchangeWithPsk ( YES | NO )]

Extensión de ticket de sesión TLS

Un protocolo de enlace SSL es una operación de uso intensivo de la CPU. Si la reutilización de sesión está habilitada, la operación de intercambio de claves de servidor/cliente se omite para los clientes existentes. Se les permite reanudar sus sesiones. Esta acción mejora el tiempo de respuesta y aumenta el número de transacciones SSL por segundo que un servidor puede admitir. Sin embargo, el servidor debe almacenar los detalles de cada estado de sesión, que consume memoria y es difícil de compartir entre varios servidores si las solicitudes se equilibran la carga entre los servidores.

Los dispositivos Citrix ADC admiten la extensión SessionTicket TLS. El uso de esta extensión indica que los detalles de la sesión se almacenan en el cliente en lugar de en el servidor. El cliente debe indicar que admite este mecanismo mediante la inclusión de la extensión TLS del ticket de sesión en el mensaje Hello del cliente. Para nuevos clientes, esta extensión está vacía. El servidor envía un nuevo ticket de sesión en el mensaje de enlace NewSessionTicket. El ticket de sesión se cifra mediante un par de claves conocido solo por el servidor. Si un servidor no puede emitir un nuevo ticket ahora, se completa un protocolo de enlace regular.

Esta función solo está disponible en perfiles SSL front-end y solo en el front-end de la comunicación en la que el dispositivo actúa como servidor y genera tickets de sesión.

Limitaciones

  • Esta función no es compatible con una plataforma FIPS.
  • Esta función solo es compatible con las versiones 1.1 y 1.2 de TLS.
  • La persistencia del ID de sesión SSL no es compatible con los tickets de sesión.

Habilitar la extensión de ticket de sesión TLS mediante la CLI

En el símbolo del sistema, escriba:

set ssl profile <name> -sessionTicket (ENABLED | DISABLED ) [-sessionTicketLifeTime <positive_integer>

Cliente:

SessionTicket: Estado de extensión de ticket de sesión TLS. El uso de esta extensión indica que los detalles de la sesión se almacenan en el cliente en lugar de en el servidor, tal como se define en RFC 5077.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: DISABLED

SessionTicketLifetime: Especifique una hora, en segundos, después de la cual caduca el ticket de sesión y se debe iniciar un nuevo protocolo de enlace SSL.

Valor predeterminado: 300

Valor mínimo: 0

Valor máximo: 172800

Ejemplo:

add ssl profile profile1 -sessionTicket ENABLED -sessionTicketlifeTime 300
Done

Habilitar la extensión de ticket de sesión TLS mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Perfiles. Seleccione Perfiles SSL.
  2. Haga clic en Agregar y especifique un nombre para el perfil.
  3. Seleccione Ticket de sesión.
  4. Opcionalmente, especifique la duración del ticket de sesión (segundos).

Implementación segura de tickets de sesión

Mediante el uso de tickets de sesión TLS, los clientes pueden usar apretones de manos abreviados para una reconexión más rápida a los servidores. Sin embargo, si los tickets de sesión no se cifran o cambian durante largos períodos de tiempo, pueden suponer un riesgo para la seguridad. Puede proteger los tickets de sesión cifrándolos con una clave simétrica. Para lograr el secreto directo, puede especificar un intervalo de tiempo en el que se actualiza la clave de ticket de sesión.

El dispositivo genera las claves de ticket de sesión de forma predeterminada. Sin embargo, si varios dispositivos de una implementación necesitan descifrar los tickets de sesión de cada uno, todos deben usar la misma clave de ticket de sesión. Por lo tanto, debe establecer (agregar o cargar) los mismos datos de clave de ticket de sesión manualmente en todos los dispositivos. Los datos clave del ticket de sesión incluyen la siguiente información:

  • Nombre del ticket de sesión.
  • Clave AES de sesión utilizada para cifrar o descifrar el ticket.
  • Clave HMAC de sesión utilizada para calcular el resumen del ticket.

Ahora puede configurar datos de clave de ticket de sesión de 64 bytes de longitud para admitir claves HMAC de 256 bits como se recomienda en RFC 5077. También se admiten longitudes de clave de 48 bytes para compatibilidad con versiones anteriores.

Nota:

Al escribir manualmente los datos de clave de ticket de sesión, asegúrese de que la configuración en todos los dispositivos Citrix ADC en una configuración de alta disponibilidad o en una configuración de clúster sea la misma.

El parámetro sessionTicketKeyLifeTime especifica la frecuencia con la que se actualiza una clave de ticket de sesión. Puede establecer el parámetro prevSessionTicketKeyLifeTime para especificar cuánto tiempo se mantendrá la clave de ticket de sesión anterior para descifrar tickets mediante esa clave, después de generar una nueva clave. El parámetro prevSessionTicketKeyLifeTime amplía el tiempo durante el cual un cliente puede utilizar un apretón de manos abreviado para volver a conectarse. Por ejemplo, si sessionTicketKeyLifeTime se establece en 10 minutos y prevSessionTicketKeyLifeTime en 5 minutos, se genera una nueva clave después de 10 minutos y se utiliza para todas las sesiones nuevas. Sin embargo, los clientes previamente conectados tienen otros 5 minutos para los cuales los boletos emitidos anteriormente se honran para un apretón de manos abreviado.

Configurar los datos de ticket de sesión SSL mediante la CLI

En el símbolo del sistema, escriba:

set ssl profile <name> -sessionTicket ENABLED -sessionTicketLifeTime <positive_integer> -sessionTicketKeyRefresh ( ENABLED | DISABLED )] -sessionTicketKeyLifeTime <positive_integer> [-prevSessionTicketKeyLifeTime <positive_integer>]

Cliente:

SessionTicket: Utilice los tickets de sesión como se describe en RFC 5077. El establecimiento del protocolo de enlace inicial requiere operaciones de cifrado de clave pública que requieren un uso intensivo de la CPU. Con la configuración habilitada, un servidor emite un ticket de sesión a un cliente, que el cliente puede utilizar para realizar un apretón de manos abreviado.

Valores posibles: ENABLED, DISABLED. Predeterminado: DISABLED

SessionTicketLifetime: Vida útil, en segundos, del ticket de sesión. Una vez transcurrido este tiempo, los clientes no pueden utilizar este ticket para reanudar sus sesiones.

Valor máximo: 172800. Valor mínimo: 0. Valor predeterminado: 300.

SessionTicketKeyRefresh: Cuando el tiempo especificado por el parámetro de duración de la clave de ticket de sesión caduca, vuelva a generar la clave de ticket de sesión utilizada para cifrar o descifrar los tickets de sesión. Activado automáticamente si SessionTicket está habilitado. Inhabilitado si un administrador introduce los datos del ticket de sesión.

Valores posibles: ENABLED, DISABLED. Predeterminado: ENABLED

SessionKeyLifetime: Duración, en segundos, de una clave simétrica utilizada para cifrar los tickets de sesión emitidos por un dispositivo Citrix ADC.

Valor máximo: 86400. Valor mínimo: 600. Predeterminado: 3000

PrevSessionKeyLifetime: Tiempo, en segundos, para el que la clave simétrica anterior utilizada para cifrar los tickets de sesión sigue siendo válida para los clientes existentes después de que expire la duración de la clave de ticket de sesión. Dentro de este tiempo, los clientes existentes pueden reanudar sus sesiones mediante la clave de ticket de sesión anterior. Los tickets de sesión para nuevos clientes se cifran mediante la nueva clave.

Valor máximo: 172800. Valor mínimo: 0. Predeterminado: 0

Ejemplo:

set ssl profile ns_default_ssl_profile_frontend -sessionTicket ENABLED -sessionTicketlifeTime 120 -sessionTicketKeyRefresh ENABLED -sessionTicketKeyLifeTime 100 -prevSessionTicketKeyLifeTime 60

Done

show ssl profile ns_default_ssl_profile_frontend

    Session Ticket: ENABLED
    Session Ticket Lifetime: 120 (secs)
    Session Key Auto Refresh: ENABLED
    Session Key Lifetime: 100 (secs)
    Previous Session Key Lifetime: 60 (secs)

Configurar los datos de ticket de sesión SSL mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Perfiles y seleccione Perfil SSL.

  2. Seleccione ns_default_ssl_profile_frontend y haga clic en Modificar.

  3. En la sección Configuración básica, haga clic en el icono del lápiz y establezca los siguientes parámetros:

    • Ticket de sesión
    • Duración del ticket de sesión (segundos)
    • Actualización automática de la clave de ticket de sesión
    • Duración de la clave de ticket de sesión (segundos)
    • Duración de la clave de ticket de sesión anterior (segundos)
  4. Haga clic en Aceptar.

Escriba manualmente los datos del ticket de sesión SSL mediante la CLI

En el símbolo del sistema, escriba:

set ssl profile <name> -sessionTicket ENABLED

set ssl profile <name> -sessionTicketKeyData

show ssl profile ns_default_ssl_profile_frontend

Cliente:

SessionTicket: Uso de tickets de sesión según lo descrito por RFC 5077. El establecimiento del protocolo de enlace inicial requiere operaciones de cifrado de clave pública que requieren un uso intensivo de la CPU. Con la configuración habilitada, un servidor emite un ticket de sesión a un cliente, que el cliente puede utilizar para realizar un apretón de manos abreviado.

Valores posibles: ENABLED, DISABLED. Predeterminado: DISABLED

SessionTicketKeyData: Contiene el nombre del ticket de sesión (0-15 bytes), la clave AES de sesión utilizada para cifrar o descifrar el ticket de sesión (16-31 bytes) y la clave HMAC de sesión utilizada para calcular el resumen del ticket (32-63 bytes). Generado externamente por un administrador y agregado a un dispositivo Citrix ADC.

Longitud máxima: 64 bytes

Ejemplo:

set ssl profile ns_default_ssl_profile_frontend -sessionticket ENABLED

Done

set ssl profile ns_default_ssl_profile_frontend -sessionticketkey 111111111111111111111111111111111111111111111111

Done

show ssl profile ns_default_ssl_profile_frontend

    1) Name: ns_default_ssl_profile_frontend (Front-End)
    SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
    Client Auth: DISABLED
    Use only bound CA certificates: DISABLED
    Strict CA checks: NO
    Session Reuse: ENABLED Timeout: 120 seconds
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
    Deny SSL Renegotiation ALL
    Non FIPS Ciphers: DISABLED
    Cipher Redirect: DISABLED
    SSL Redirect: DISABLED
    Send Close-Notify: YES
    Push Encryption Trigger: Always
    PUSH encryption trigger timeout: 1 ms
    SNI: DISABLED
    OCSP Stapling: DISABLED
    Strict Host Header check for SNI enabled SSL sessions: NO
    Push flag: 0x0 (Auto)
    SSL quantum size: 8 kB
    Encryption trigger timeout 100 mS
    Encryption trigger packet count: 45
    Subject/Issuer Name Insertion Format: Unicode
    Session Ticket: ENABLED
    Session Ticket Lifetime: 300 (secs)
    Session Key Auto Refresh: DISABLED
    Session Key Lifetime: 3000 (secs)
    Previous Session Key Lifetime: 0 (secs)
    Session Key Data: 84dad1afc6d56b0deeb0a7fd7f299a207e8d8c15cdd087a5684a11a329fd732e87a0535d90883
    47e8c181ba266f5c8838ae472cb3ab9255b683bf922fad32cee816c329989ef7cdeb278e93ac37882e3

    ECC Curve: P_256, P_384, P_224, P_521

    1) Cipher Name: DEFAULT Priority :4
    Description: Predefined Cipher Alias

    1) Internal Service Name (Front-End): nsrnatsip-127.0.0.1-5061
    2) Internal Service Name (Front-End): nskrpcs-127.0.0.1-3009
    3) Internal Service Name (Front-End): nshttps-::1l-443
    4) Internal Service Name (Front-End): nsrpcs-::1l-3008
    5) Internal Service Name (Front-End): nshttps-127.0.0.1-443
    6) Internal Service Name (Front-End): nsrpcs-127.0.0.1-3008
    7) Vserver Name: v1

Done

Escriba manualmente los datos del ticket de sesión SSL mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Perfiles y seleccione Perfil SSL.

  2. Seleccione ns_default_ssl_profile_frontend y haga clic en Modificar.

  3. En la sección Configuración básica, haga clic en el icono del lápiz y establezca los siguientes parámetros:

    • Ticket de sesión
    • Datos de clave de ticket de sesión
    • Confirmar datos de clave de ticket de sesión
  4. Haga clic en Aceptar.

Cargar una configuración antigua

La activación de los perfiles predeterminados no es reversible. Sin embargo, si decide que la implementación no requiere los perfiles predeterminados, puede cargar una configuración anterior que guardó antes de habilitar los perfiles predeterminados. Los cambios son efectivos después de reiniciar el dispositivo.

Cargar una configuración antigua mediante la CLI

En el símbolo del sistema, escriba:

shell

root@ns# clear config

root@ns# cd /nsconfig

root@ns# cp ns.conf.NS.11.0.jun.16 ns.conf

root@ns# reboot