ADC

Intercepción SSL

Un dispositivo NetScaler configurado para la interceptación SSL actúa como un proxy. Puede interceptar y descifrar el tráfico SSL/TLS, inspeccionar la solicitud no cifrada y permitir que un administrador haga cumplir las normas de cumplimiento y las comprobaciones de seguridad. La intercepción SSL utiliza una directiva que especifica el tráfico que interceptar, bloquear o permitir. Por ejemplo, el tráfico hacia y desde sitios web financieros, como bancos, no debe ser interceptado, pero se puede interceptar otro tráfico, y los sitios de la lista de prohibidos se pueden identificar y bloquear. Citrix recomienda configurar una directiva genérica para interceptar tráfico y directivas más específicas para omitir parte del tráfico.

El cliente y el proxy establecen un protocolo de enlace HTTPS/TLS. El proxy establece otro protocolo de enlace HTTPS/TLS con el servidor y recibe el certificado del servidor. El proxy verifica el certificado del servidor en nombre del cliente y también comprueba la validez del certificado del servidor mediante el Protocolo de estado de certificados en línea (OCSP). Regenera el certificado del servidor, lo firma con la clave del certificado de CA instalado en el dispositivo y lo presenta al cliente. Por lo tanto, se utiliza un certificado entre el cliente y el dispositivo NetScaler y otro certificado entre el dispositivo y el servidor de fondo.

Importante

El certificado de CA que se usa para firmar el certificado del servidor debe estar preinstalado en todos los dispositivos cliente, de modo que el cliente confíe en el certificado de servidor regenerado.

En el caso del tráfico HTTPS interceptado, el servidor proxy descifra el tráfico saliente, accede a la solicitud HTTP de texto sin cifrar y puede utilizar cualquier aplicación de capa 7 para procesar el tráfico, por ejemplo, consultando la URL de texto sin formato y permitiendo o bloqueando el acceso según la directiva corporativa y la reputación de la URL. Si la decisión directiva es permitir el acceso al servidor de origen, el servidor proxy reenvía la solicitud cifrada nuevamente al servicio de destino (en el servidor de origen). El proxy descifra la respuesta del servidor de origen, accede a la respuesta HTTP de texto sin cifrar y, opcionalmente, aplica cualquier directiva a la respuesta. A continuación, el proxy vuelve a cifrar la respuesta y la reenvía al cliente. Si la decisión directiva es bloquear la solicitud al servidor de origen, el proxy puede enviar una respuesta de error, como HTTP 403, al cliente.

Para realizar la interceptación SSL, además del servidor proxy configurado anteriormente, debe configurar lo siguiente en el dispositivo ADC:

  • Perfil SSL
  • Directiva SSL
  • Almacén de certificados de CA
  • Aprendizaje automático y almacenamiento en caché de errores SSL

Nota:

La función de interceptación SSL no intercepta el tráfico HTTP/2.

Almacén de certificados de intercepción SSL

Un certificado SSL, que forma parte de cualquier transacción SSL, es un formulario de datos digitales (X509) que identifica a una empresa (dominio) o a un individuo. Un certificado SSL lo emite una autoridad certificadora (CA). Una CA puede ser pública o privada. Las aplicaciones que realizan transacciones SSL confían en los certificados emitidos por CA públicas, como Verisign. Estas aplicaciones mantienen una lista de las CA en las que confían.

Como proxy de reenvío, el dispositivo ADC cifra y descifra el tráfico entre un cliente y un servidor. Actúa como un servidor para el cliente (usuario) y como un cliente para el servidor. Antes de que un dispositivo pueda procesar el tráfico HTTPS, debe validar la identidad de un servidor para evitar transacciones fraudulentas. Por lo tanto, como cliente del servidor de origen, el dispositivo debe comprobar el certificado del servidor de origen antes de aceptarlo. Para verificar un certificado de servidor, todos los certificados (por ejemplo, certificados raíz e intermedios) que se utilizan para firmar y emitir el certificado de servidor deben estar presentes en el dispositivo. Un conjunto predeterminado de certificados de CA está preinstalado en un dispositivo. El dispositivo puede utilizar estos certificados para verificar casi todos los certificados de servidor de origen comunes. Este conjunto predeterminado no se puede modificar. Sin embargo, si su implementación requiere más certificados de CA, puede crear un paquete de dichos certificados e importarlo al dispositivo. Un paquete también puede contener un único certificado.

Al importar un paquete de certificados al dispositivo, el dispositivo descarga el paquete desde la ubicación remota y, tras comprobar que el paquete contiene solo certificados, lo instala en el dispositivo. Debe aplicar un paquete de certificados antes de poder usarlo para validar un certificado de servidor. También puede exportar un paquete de certificados para editarlo o almacenarlo en una ubicación sin conexión como copia de seguridad.

Importe y aplique un paquete de certificados de CA en el dispositivo mediante la CLI

En la línea de comandos, escriba:

import ssl certBundle <name> <src>
apply ssl certBundle <name>
<!--NeedCopy-->
show ssl certBundle
<!--NeedCopy-->

ARGUMENTOS:

Nombre:

Nombre que se va a asignar al paquete de certificados importado. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, escríbalo entre comillas dobles o simples (por ejemplo, “mi archivo” o “mi archivo”).

Longitud máxima: 31

src:

URL que especifica el protocolo, el host y la ruta, incluido el nombre del archivo, al paquete de certificados que se va a importar o exportar. Por ejemplo: http://www.example.com/cert_bundle_file.

NOTA: La importación falla si el objeto que se va a importar se encuentra en un servidor HTTPS que requiere la autenticación con certificado de cliente para acceder.

Longitud máxima: 2047

Ejemplo:

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
apply ssl certBundle swg-certbundle
<!--NeedCopy-->
show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done
<!--NeedCopy-->

Importe y aplique un paquete de certificados de CA en el dispositivo mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Proxy de reenvío SSL > Introducción > Paquetes de certificados.
  2. Lleve a cabo una de las siguientes acciones:
    • Seleccione un paquete de certificados de la lista.
    • Para agregar un paquete de certificados, haga clic en “+” y especifique un nombre y una URL de origen. Haga clic en Aceptar.
  3. Haga clic en Aceptar.

Elimine un paquete de certificados de CA del dispositivo mediante la CLI

En la línea de comandos, escriba:

remove certBundle <cert bundle name>
<!--NeedCopy-->

Ejemplo:

remove certBundle mytest-cacert
<!--NeedCopy-->

Exporte un paquete de certificados de CA desde el dispositivo mediante la CLI

En la línea de comandos, escriba:

export certBundle <cert bundle name> <Path to export>
<!--NeedCopy-->

ARGUMENTOS:

Nombre:

Nombre que se va a asignar al paquete de certificados importado. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, escríbalo entre comillas dobles o simples (por ejemplo, “mi archivo” o “mi archivo”).

Longitud máxima: 31

src:

URL que especifica el protocolo, el host y la ruta, incluido el nombre del archivo, al paquete de certificados que se va a importar o exportar. Por ejemplo: http://www.example.com/cert_bundle_file.

NOTA: La importación falla si el objeto que se va a importar se encuentra en un servidor HTTPS que requiere la autenticación con certificado de cliente para acceder.

Longitud máxima: 2047

Ejemplo:

export certBundle mytest-cacert http://192.0.2.20/
<!--NeedCopy-->

Importar, aplicar y verificar un paquete de certificados de CA del almacén de certificados de CA de Mozilla

En la línea de comandos, escriba:

> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done
<!--NeedCopy-->

Para aplicar el paquete, escriba:

> apply certbundle mozilla_public_ca
Done
<!--NeedCopy-->

Para comprobar el paquete de certificados en uso, escriba:

> sh certbundle | grep mozilla
                Name : mozilla_public_ca (Inuse)
<!--NeedCopy-->

Limitaciones

  • Los paquetes de certificados no se admiten en una configuración de clúster ni en un dispositivo particionado.
  • El protocolo TLSv1.3 no es compatible con SSL Forward Proxy.

Infraestructura de directivas SSL para interceptación SSL

Una directiva actúa como un filtro del tráfico entrante. Las directivas del dispositivo ADC ayudan a definir cómo administrar las conexiones y solicitudes proxies. El procesamiento se basa en las acciones configuradas para esa directiva. Es decir, los datos de las solicitudes de conexión se comparan con una regla especificada en la directiva y la acción se aplica a las conexiones que coinciden con la regla (expresión). Tras definir una acción para asignar a la directiva y crear la directiva, debe vincularla a un servidor proxy para que se aplique al tráfico que fluye a través de ese servidor proxy.

Una directiva SSL para la interceptación de SSL evalúa el tráfico entrante y aplica una acción predefinida a las solicitudes que coinciden con una regla (expresión). La decisión de interceptar, omitir o restablecer una conexión se toma en función de la directiva SSL definida. Puede configurar una de las tres acciones de una directiva: interceptar, BYPASS o RESET. Debe especificar una acción al crear una directiva. Para que una directiva entre en vigor, debe vincularla a un servidor proxy del dispositivo. Para especificar que una directiva está destinada a la interceptación SSL, debe especificar el tipo (punto de enlace) como INTERCEPT_REQ al vincular la directiva a un servidor proxy. Al desvincular una directiva, debe especificar el tipo como INTERCEPT_REQ.

Nota:

El servidor proxy no puede tomar la decisión de interceptar a menos que especifique una directiva.

La interceptación del tráfico se puede basar en cualquier atributo de protocolo de enlace SSL. El más utilizado es el dominio SSL. El dominio SSL suele indicarse mediante los atributos del protocolo de enlace SSL. Puede ser el valor del indicador de nombre del servidor extraído del mensaje de saludo del cliente SSL, si está presente, o el valor del nombre alternativo del servidor (SAN) extraído del certificado del servidor de origen. La directiva de interceptación SSL presenta un atributo especial, DETECTED_DOMAIN. Este atributo facilita a los clientes crear directivas de interceptación basadas en el dominio SSL del certificado del servidor de origen. El cliente puede hacer coincidir el nombre de dominio con una cadena, una lista de direcciones URL (conjunto de direcciones URL o patset) o una categoría de URL derivada del dominio.

Crear una directiva SSL mediante la CLI

En la línea de comandos, escriba:

add ssl policy <name> -rule <expression> -action <string>
<!--NeedCopy-->

Ejemplos:

Los siguientes ejemplos son de directivas con expresiones que utilizan el detected_domain atributo para comprobar un nombre de dominio.

No intercepte el tráfico a una institución financiera, como XYZBANK

add ssl policy pol1 -rule client.ssl.detected_domain.contains("XYZBANK") -action BYPASS
<!--NeedCopy-->

No permita que un usuario se conecte a YouTube desde la red corporativa

add ssl policy pol2 -rule client.ssl.client.ssl.detected_domain.url_categorize(0,0).category.eq ("YouTube") -action RESET
<!--NeedCopy-->

Intercepta todo el tráfico de usuarios

add ssl policy pol3 –rule true –action INTERCEPT
<!--NeedCopy-->

Si el cliente no quiere usar el dominio detectado, puede usar cualquiera de los atributos de protocolo de enlace SSL para extraer e inferir el dominio.

Por ejemplo, no se encuentra un nombre de dominio en la extensión SNI del mensaje de saludo del cliente. El nombre de dominio debe tomarse del certificado del servidor de origen. Los siguientes ejemplos son de directivas con expresiones que comprueban si hay un nombre de dominio en el nombre del asunto del certificado del servidor de origen.

Interceptar todo el tráfico de usuarios a cualquier dominio de Yahoo

add ssl policy pol4 -rule client.ssl.origin_server_cert.subject.contains("yahoo") –action INTERCEPT
<!--NeedCopy-->

Interceptar todo el tráfico de usuarios de la categoría “Compras/Retail”

add ssl policy pol_url_category -rule client.ssl.origin_server_cert.subject.URL_CATEGORIZE(0,0).CATEGORY.eq("Shopping/Retail") -action INTERCEPT
<!--NeedCopy-->

Interceptar todo el tráfico de usuario a una URL no categorizada

add ssl policy pol_url_category -rule client.ssl.origin_server_cert.subject.url_categorize(0,0).category.eq("Uncategorized") -action INTERCEPT
<!--NeedCopy-->

Los siguientes ejemplos son para directivas que coinciden con el dominio con una entrada de un conjunto de direcciones URL.

Interceptar todo el tráfico de usuarios si el nombre de dominio en SNI coincide con una entrada del conjunto de URL “top100”

add ssl policy pol_url_set  -rule client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top100") -action INTERCEPT
<!--NeedCopy-->

Interceptar todo el tráfico de usuario del nombre de dominio si el certificado del servidor de origen coincide con una entrada del conjunto de URL “top100”

add ssl policy pol_url_set  -rule client.ssl.origin_server_cert.subject.URLSET_MATCHES_ANY("top100") -action INTERCEPT
<!--NeedCopy-->

Crear una directiva SSL en un servidor proxy mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL > Directivas.
  2. En la ficha Directivas SSL, haga clic en Agregar y especifique los siguientes parámetros:
    • Nombre de directiva
    • Acción directiva: seleccione entre interceptar, omitir o restablecer.
    • Expresión
  3. Haga clic en Create.

Enlazar una directiva SSL a un servidor proxy mediante la CLI

En la línea de comandos, escriba:

bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type  INTERCEPT_REQ
<!--NeedCopy-->

Ejemplo:

bind ssl vserver <name> -policyName pol1 -priority 10 -type INTERCEPT_REQ
<!--NeedCopy-->

Enlazar una directiva SSL a un servidor proxy mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Proxy de reenvío SSL > Servidores virtuales proxy.
  2. Seleccione un servidor virtual y haga clic en Modificar.
  3. En Configuración avanzada, haga clic en Directivas SSL.
  4. Haga clic en el cuadro de directiva SSL .
  5. En Seleccionar directiva, seleccione la directiva que desee vincular.
  6. En Tipo, seleccione INTERCEPT_REQ.
  7. Haga clic en Vincular y, a continuación, haga clic en Aceptar.

Desvincular una directiva SSL a un servidor proxy mediante la CLI

En la línea de comandos, escriba:

unbind ssl vserver <vServerName> -policyName <string> -type INTERCEPT_REQ
<!--NeedCopy-->

Expresiones SSL utilizadas en las directivas SSL

Expresión Descripción
CLIENT.SSL.CLIENT_HELLO.SNI.* Devuelve la extensión SNI en formato de cadena. Evalúe la cadena para ver si contiene el texto especificado. Ejemplo: client.ssl.client_hello.sni.contains ()“xyz.com”
CLIENT.SSL.ORIGIN_SERVER_CERT.* Devuelve un certificado, recibido de un servidor de fondo, en formato de cadena. Evalúe la cadena para ver si contiene el texto especificado. Ejemplo: client.ssl.origin_server_cert.subject.contains ()“xyz.com”
CLIENT.SSL.DETECTED_DOMAIN.* Devuelve un dominio, ya sea de la extensión SNI o del certificado del servidor de origen, en formato de cadena. Evalúe la cadena para ver si contiene el texto especificado. Ejemplo: client.ssl.detected_domain.contains ()“xyz.com”

Error SSL autoaprendizaje

El dispositivo agrega un dominio a la lista de omisión de SSL si el modo de aprendizaje está activado. El modo de aprendizaje se basa en el mensaje de alerta SSL recibido de un cliente o de un servidor de origen. Es decir, el aprendizaje depende del cliente o servidor que envíe un mensaje de alerta. No se aprende si no se envía un mensaje de alerta. El dispositivo aprende si se cumple alguna de las siguientes condiciones:

  1. Se recibe una solicitud de certificado de cliente del servidor.

  2. Se recibe cualquiera de las siguientes alertas como parte del apretón de manos:

    • CERTIFICADO_MALO
    • CERTIFICADO_NO COMPATIBLE
    • CERTIFICADO_REVOCADO
    • CERTIFICADO_CADUCADO
    • CERTIFICADO_DESCONOCIDO
    • UNKNOWN_CA (Si un cliente utiliza la fijación, envía este mensaje de alerta si recibe un certificado de servidor).
    • FALLO_DE_APRETÓN DE MANOS

Para habilitar el aprendizaje, debe habilitar la memoria caché de errores y especificar la memoria reservada para el aprendizaje.

Habilite el aprendizaje mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL.

  2. En Parámetros, haga clic en Cambiar parámetros SSL avanzados.

  3. En Intercepción SSL, seleccione Caché de errores de intercepción SSL.

  4. En SSL Interception Max Error Cache Memory, especifique la memoria (en bytes) que se va a reservar.

    Caché de errores

  5. Haga clic en Aceptar.

Habilite el aprendizaje mediante la CLI

En el símbolo del sistema, escriba:

set ssl parameter -ssliErrorCache ( ENABLED | DISABLED ) -ssliMaxErrorCacheMem <positive_integer>
<!--NeedCopy-->

Argumentos:

Caché de errores SSLI:

Habilite o inhabilite el aprendizaje dinámico y almacene en caché la información aprendida para tomar decisiones posteriores a fin de interceptar o eludir las solicitudes. Cuando está habilitado, el dispositivo realiza una búsqueda en caché para decidir si omitir la solicitud.

Valores posibles: ENABLED, DISABLED

Valor por defecto: DISABLED

Caché de error SSLIMAX:

Especifique la memoria máxima, en bytes, que se puede utilizar para almacenar en caché los datos aprendidos. Esta memoria se utiliza como caché de LRU para que las entradas antiguas se sustituyan por entradas nuevas una vez que se haya agotado el límite de memoria establecido. Un valor de 0 decide el límite automáticamente.

Valor predeterminado: 0

Valor mínimo: 0

Valor máximo: 4294967294

Perfil SSL

Un perfil SSL es un conjunto de configuraciones SSL, como cifrados y protocolos. Un perfil es útil si tiene configuraciones comunes para diferentes servidores. En lugar de especificar la misma configuración para cada servidor, puede crear un perfil, especificar la configuración en el perfil y, a continuación, vincular el perfil a diferentes servidores. Si no se crea un perfil SSL de front-end personalizado, el perfil de front-end predeterminado está enlazado a las entidades del lado del cliente. Este perfil le permite configurar los ajustes para administrar las conexiones del lado del cliente.

Para la interceptación SSL, debe crear un perfil SSL y habilitar la intercepción SSL en el perfil. Un grupo de cifrado predeterminado está enlazado a este perfil, pero puede configurar más cifrados para adaptarlos a su implementación. Enlaza un certificado CA de interceptación SSL a este perfil y, a continuación, vincula el perfil a un servidor proxy. Para la interceptación SSL, los parámetros esenciales de un perfil son los que se utilizan para las siguientes acciones:

  • Compruebe el estado de OCSP del certificado del servidor de origen.
  • Activa la renegociación del cliente si el servidor de origen solicita la renegociación.
  • Verifique el certificado del servidor de origen antes de volver a utilizar la sesión SSL del front-end.

Utilice el perfil de back-end predeterminado cuando se comunique con los servidores de origen. Defina cualquier parámetro del lado del servidor, como los conjuntos de cifrado, en el perfil de back-end predeterminado. No se admite un perfil de back-end personalizado.

Para ver ejemplos de las configuraciones SSL más utilizadas, consulta la sección “Perfil de ejemplo” al final de esta sección.

El soporte de cifrado/protocolo difiere en la red interna y externa. En las tablas siguientes, la conexión entre los usuarios y un dispositivo ADC es la red interna. La red externa se encuentra entre el dispositivo e Internet.

Imagen de perfil SSL

Tabla 1: Tabla de compatibilidad de cifrados/protocolos para la red interna

Consulte Tabla 1 Compatibilidad con servidor/servidor frontend virtual/servicio interno en Ciphers disponibles en los dispositivos NetScaler.

Tabla 2: Tabla de compatibilidad de cifrados/protocolos para la red externa

Consulte Tabla 2 Compatibilidad con servicios back-end en Ciphers disponibles en los dispositivos NetScaler.

Agregue un perfil SSL y habilite la interceptación SSL mediante la CLI

En la línea de comandos, escriba:

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

Argumentos:

Intercepción SSL:

Habilita o inhabilita la interceptación de sesiones SSL.

Valores posibles: ENABLED, DISABLED

Valor por defecto: DISABLED

SSLIReneg:

Habilite o inhabilite la activación de la renegociación del cliente cuando se reciba una solicitud de renegociación del servidor de origen.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: ENABLED

Verificación SSLIOCSP:

Habilite o inhabilite la comprobación de OCSP para ver si hay un certificado de servidor de origen.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: ENABLED

SSL Limax Sesspor servidor:

Cantidad máxima de sesiones SSL que se almacenarán en caché por servidor de origen dinámico. Se crea una sesión SSL única para cada extensión de SNI recibida del cliente en un mensaje de saludo del cliente. La sesión coincidente se utiliza para reutilizar la sesión del servidor.

Valor predeterminado: 10

Valor mínimo: 1

Valor máximo: 1000

Ejemplo:

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

Enlazar un certificado CA de interceptación SSL a un perfil SSL mediante la CLI

En la línea de comandos, escriba:

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert>

Ejemplo:

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done
<!--NeedCopy-->

Enlazar un certificado CA de interceptación SSL a un perfil SSL mediante la interfaz gráfica de usuario

  1. Vaya a Sistema > Perfiles > Perfil SSL.

  2. Haga clic en Agregar.

  3. Especifique un nombre para el perfil.

  4. Habilite la intercepción de sesiones SSL.

  5. Haga clic en Aceptar.

  6. En Configuración avanzada, haga clic en Clave de certificado.

  7. Especifique una clave de certificado CA de intercepción SSL para vincularla al perfil.

  8. Haga clic en Seleccionar y, a continuación, en Enlazar.

  9. Si lo desea, configure los cifrados para que se adapten a su implementación.

    • Haga clic en el icono de edición y, a continuación, en Agregar.
    • Seleccione uno o más grupos de cifrado y haga clic en la flecha de la derecha.
    • Haga clic en Aceptar.
  10. Haga clic en Listo.

Enlazar un perfil SSL a un servidor proxy mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad >Proxy de reenvío SSL > Servidores virtuales proxyy agregue un servidor o seleccione un servidor para modificarlo.
  2. En Perfil SSL, haga clic en el icono de edición.
  3. En la lista de perfiles SSL, seleccione el perfil SSL que creó anteriormente.
  4. Haga clic en Aceptar.
  5. Haga clic en Listo.

Perfil de muestra:

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->
Intercepción SSL