Registro SSL selectivo
En una implementación grande que comprende miles de servidores virtuales, se registra toda la información relacionada con SSL. Anteriormente, filtrar los éxitos y fallas de autenticación de cliente y protocolo de enlace SSL para algunos servidores virtuales críticos no era fácil. La búsqueda de todo el registro para obtener esta información fue una tarea laboriosa y tediosa, ya que la infraestructura no ofrecía el control para filtrar los registros. Ahora, puede registrar información relacionada con SSL en ns.log, para un servidor virtual específico o para un grupo de servidores virtuales. Esta información es especialmente útil para errores de depuración. Para registrar esta información, debe agregar un perfil de registro SSL.
Consulte la salida de ejemplo de ns.log para obtener una autenticación de cliente correcta al final de esta página.
Importante: Establezca el nivel de registro de syslog en DEBUG. En el símbolo del sistema, escriba:
set audit syslogParams -logLevel DEBUG
Perfil de registro SSL
Un perfil de registro SSL proporciona control sobre el registro de los siguientes eventos para un servidor virtual o un grupo de servidores virtuales:
-
Errores y errores de autenticación de cliente, o solo errores.
-
El éxito y los fallos del protocolo de enlace SSL, o solo los errores.
De forma predeterminada, todos los parámetros están inhabilitados.
Un perfil de registro SSL se puede establecer en un perfil SSL o en una acción SSL. Si se establece en un perfil SSL, puede registrar tanto la autenticación del cliente como la información de éxito y error del protocolo de enlace SSL. Si se establece en una acción SSL, solo puede registrar la información de error y éxito de autenticación de cliente porque el protocolo de enlace se ha completado antes de que se evalúe la directiva.
Los errores y los errores de autenticación de cliente y protocolo de enlace SSL se registran incluso si no se configura un perfil de registro SSL. Sin embargo, el registro selectivo solo es posible si se utiliza un perfil de registro SSL.
Nota:
El perfil de registro SSL es compatible con configuraciones de clúster y alta disponibilidad.
Agregar un perfil de registro SSL mediante la CLI
En el símbolo del sistema, escriba:
add ssl logprofile <name> [-sslLogClAuth ( ENABLED | DISABLED )] [-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]
Parámetros:
Nombre:
Nombre del perfil de registro SSL. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). No se puede cambiar después de crear el perfil.
Nombre es un argumento obligatorio. Longitud máxima: 127
sslLogClAuth:
Registre todos los eventos de autenticación de cliente. Incluye eventos de éxito y de fracaso.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: DISABLED
ssllogClAuthFailures:
Registrar todos los eventos de error de autenticación de cliente.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: DISABLED
sslLogHS:
Registre todos los eventos relacionados con el protocolo de enlace SSL. Incluye eventos de éxito y de fracaso.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: DISABLED
sslLogHSfailures:
Registre todos los eventos de error relacionados con el protocolo de enlace SSL.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: DISABLED
Ejemplo:
> add ssl logprofile ssllog10 -sslLogClAuth ENABLED -sslLogHS ENABLED
Done
sh ssllogprofile ssllog10
1) Name: ssllog10
SSL log ClientAuth [Success/Failures] : ENABLED
SSL log ClientAuth [Failures] : DISABLED
SSL log Handshake [Success/Failures] : ENABLED
SSL log Handshake [Failures] : DISABLED
Done
Agregar un perfil de registro SSL mediante la interfaz gráfica de usuario
Vaya a Sistema > Perfiles > Perfil de registro SSL y agregue un perfil.
Modificar un perfil de registro SSL mediante la CLI
En el símbolo del sistema, escriba:
set ssl logprofile <name> [-sslLogClAuth ( ENABLED | DISABLED )][-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]
Ejemplo:
set ssllogprofile ssllog10 -ssllogClAuth en -ssllogClAuthFailures en -ssllogHS en -ssllogHSfailures en
Done
sh ssllogprofile ssllog10
1) Name: ssllog10
SSL log ClientAuth [Success/Failures] : ENABLED
SSL log ClientAuth [Failures] : ENABLED
SSL log Handshake [Success/Failures] : ENABLED
SSL log Handshake [Failures] : ENABLED
Done
Modificar un perfil de registro SSL mediante la interfaz gráfica de usuario
- Vaya a Sistema > Perfiles > Perfil de registro SSL, seleccione un perfil y haga clic en Modificar.
- Realice los cambios y haga clic en Aceptar.
Ver todos los perfiles de registro SSL mediante la CLI
En el símbolo del sistema, escriba:
sh ssl logprofile
Ejemplo:
sh ssl logprofile
1) Name: ssllogp1
SSL log ClientAuth [Success/Failures] : ENABLED
SSL log ClientAuth [Failures] : ENABLED
SSL log Handshake [Success/Failures] : DISABLED
SSL log Handshake [Failures] : ENABLED
2) Name: ssllogp2
SSL log ClientAuth [Success/Failures] : DISABLED
SSL log ClientAuth [Failures] : DISABLED
SSL log Handshake [Success/Failures] : DISABLED
SSL log Handshake [Failures] : DISABLED
3) Name: ssllogp3
SSL log ClientAuth [Success/Failures] : DISABLED
SSL log ClientAuth [Failures] : DISABLED
SSL log Handshake [Success/Failures] : DISABLED
SSL log Handshake [Failures] : DISABLED
4) Name: ssllog10
SSL log ClientAuth [Success/Failures] : ENABLED
SSL log ClientAuth [Failures] : ENABLED
SSL log Handshake [Success/Failures] : ENABLED
SSL log Handshake [Failures] : ENABLED
Done
Ver todos los perfiles de registro SSL mediante la interfaz gráfica de usuario
Vaya a Sistema > Perfiles > Perfil de registro SSL. Todos los perfiles están listados.
Adjuntar un perfil de registro SSL a un perfil SSL
Puede adjuntar (establecer) un perfil de registro SSL en un perfil SSL cuando cree un perfil SSL, o más adelante editando el perfil SSL. Puede registrar los éxitos y errores de autenticación de cliente y el protocolo de enlace.
Importante:
El perfil SSL predeterminado debe estar habilitado para poder adjuntar un perfil de registro SSL.
Adjuntar un perfil de registro SSL en un perfil SSL mediante la CLI
En el símbolo del sistema, escriba:
set ssl profile <name> [-ssllogProfile <string>]
Ejemplo:
set ssl profile fron_1 -ssllogProfile ssllog10
Adjuntar un perfil de registro SSL a un perfil SSL mediante la interfaz gráfica de usuario
- Vaya a Sistema > Perfiles > Perfil SSL.
- Haga clic en Modificar y, en Perfil de registro SSL, especifique un perfil.
Adjuntar un perfil de registro SSL a una acción SSL
Solo puede establecer un perfil de registro SSL mientras crea una acción SSL. No puede modificar una acción SSL para establecer el perfil de registro. Asocie la acción a una directiva. Solo puede registrar los éxitos y errores de autenticación de cliente.
Adjuntar un perfil de registro SSL a una acción SSL mediante la CLI
En el símbolo del sistema, escriba:
add ssl action <name> -clientAuth ( DOCLIENTAUTH | NOCLIENTAUTH ) -ssllogProfile <string>
Ejemplo:
> add ssl action act1 -clientAuth DoCLIENTAUTH -ssllogProfile ssllog10
Done
> sh ssl action act1
1) Name: act1
Type: Client Authentication (DOCLIENTAUTH)
Hits: 0
Undef Hits: 0
Action Reference Count: 0
SSLlogProfile: ssllog10
Done
Adjuntar un perfil de registro SSL a una acción SSL mediante la interfaz gráfica de usuario
- Vaya a Administración de tráfico > SSL > Directivas y haga clic en Acciones de SSL.
- Haga clic en Agregar.
- En Autenticación de cliente, seleccione ENABLED.
- En Perfil de registro SSL, seleccione un perfil de la lista o haga clic en “+” para crear un perfil.
- Haga clic en Crear.
Salida de ejemplo del archivo de registro
A continuación se muestra un resultado de registro de ejemplo de ns.log para la autenticación de cliente correcta.
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 158 0 : SPCBId 671 - ClientIP 10.102.1.98 - ClientPort 49451 - VserverServiceIP 10.102.57.82 - VserverServicePort 443 - ClientVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session New - CLIENT_AUTHENTICATED -SerialNumber "2A" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 22 09:15:20 2008 GMT" - ValidTo "Feb 8 09:15:20 2036 GMT" - HandshakeTime 10 ms
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 159 0 : SPCBId 671 - IssuerName " C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 160 0 : SPCBId 671 - SubjectName " C=IN,ST=KAR,O=Citrix Pvt Ltd,OU=A,CN=B"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 161 0 : Backend SPCBId 674 - ServerIP 10.102.57.85 - ServerPort 443 - ProtocolVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session Reuse - SERVER_AUTHENTICATED -SerialNumber "3E" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 24 06:40:37 2008 GMT" - ValidTo "Feb 10 06:40:37 2036 GMT" - HandshakeTime 1 ms
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 162 0 : SPCBId 674 - IssuerName " C=IN,ST=KAR,O=Citrix Pvt Ltd"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 163 0 : SPCBId 674 - SubjectName " C=IN,ST=P,L=Q,O=R"