Citrix ADC

Registro SSL selectivo

En una implementación grande que comprende miles de servidores virtuales, se registra toda la información relacionada con SSL. Anteriormente, no era fácil filtrar los éxitos y fallos de autenticación del cliente y del apretón de manos SSL para algunos servidores virtuales críticos. Realizar un recorrido por todo el registro para obtener esta información era una tarea laboriosa y tediosa porque la infraestructura no ofrecía el control para filtrar los registros. Ahora puede registrar información relacionada con SSL para un servidor virtual específico o para un grupo de servidores virtuales en ns.log. Esta información es especialmente útil para depurar errores.

Con la configuración DEBUG, se inicia sesión toda la información relacionada con SSL ns.log. Sin embargo, al configurar un perfil de registro SSL, solo se registra la información relacionada con la autenticación del cliente y el protocolo de enlace SSL. Para registrar esta información, siga estos pasos:

  1. Configure DEBUG en los parámetros de syslog.
  2. Configure un perfil de registro SSL. Habilite el registro de los errores, éxitos y errores de la autenticación del cliente y del protocolo de enlace SSL únicamente. Los cuatro se registran al adjuntar el perfil de registro SSL al perfil SSL. Solo los errores o éxitos de autenticación del cliente y los errores solo se registran al adjuntar el perfil de registro SSL a la acción SSL.
  3. Adjunte el perfil de registro SSL a un perfil SSL o a una acción SSL.

Consulte la salida de ejemplo de ns.log para obtener una autenticación de cliente correcta al final de esta página.

Establecer el nivel DEBUG

Establezca el nivel de registro de syslog en DEBUG. En el símbolo del sistema, escriba:

set audit syslogParams -logLevel DEBUG

Cuando se establece la depuración, se incluyen los registros SSL tanto para el front-end (servidores virtuales) como para el back-end (servicios y grupos de servicios). Sin embargo, el registro SSL selectivo ofrece control solo sobre el front-end.

Perfil de registro SSL

Un perfil de registro SSL proporciona control sobre el registro de los siguientes eventos para un servidor virtual o un grupo de servidores virtuales:

  • Autenticación correcta y fallida del cliente, o solo fallos de autenticación.

  • Protocolo de enlace SSL correcto o fallido, o solo fallos del protocolo.

De forma predeterminada, todos los parámetros están inhabilitados.

Un perfil de registro SSL se puede establecer en un perfil SSL o en una acción SSL. Si se establece en un perfil SSL, puede registrar la información de éxito y error del protocolo de manos SSL tanto de la autenticación del cliente como del protocolo de manos SSL. Si se establece en una acción SSL, solo puede registrar la información de éxito y error de la autenticación del cliente porque el apretón de manos se ha completado antes de que se evalúe la directiva.

El éxito y los errores de la autenticación del cliente y del protocolo de manos SSL se registran incluso si no configura un perfil de registro SSL. Sin embargo, el registro selectivo solo es posible si se utiliza un perfil de registro SSL.

Nota:

El perfil de registro SSL se admite en configuraciones de clúster y alta disponibilidad.

Agregar un perfil de registro SSL mediante la CLI

En el símbolo del sistema, escriba:

add ssl logprofile <name> [-sslLogClAuth ( ENABLED | DISABLED )] [-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]
<!--NeedCopy-->

Parámetros:

Name:

Nombre del perfil de registro SSL. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). No se puede cambiar una vez creado el perfil.

El nombre es un argumento obligatorio. Longitud máxima: 127

sslLogClAuth:

Registra todos los eventos de autenticación de clientes. Incluye eventos de éxito y fracaso.

Valores posibles: ENABLED, DISABLED

Valor por defecto: DISABLED

ssllogClAuthFailures:

Registra todos los eventos de error de autenticación del cliente.

Valores posibles: ENABLED, DISABLED

Valor por defecto: DISABLED

sslLogHS:

Registra todos los eventos relacionados con el apretón de manos SSL. Incluye eventos de éxito y fracaso.

Valores posibles: ENABLED, DISABLED

Valor por defecto: DISABLED

sslLogHSfailures:

Registra todos los eventos de error relacionados con el protocolo de manos SSL.

Valores posibles: ENABLED, DISABLED

Valor por defecto: DISABLED

Ejemplo:

> add ssl logprofile ssllog10 -sslLogClAuth ENABLED -sslLogHS ENABLED

 Done

sh ssllogprofile ssllog10

1)      Name: ssllog10

        SSL log ClientAuth [Success/Failures] : ENABLED

        SSL log ClientAuth [Failures] : DISABLED

        SSL log Handshake [Success/Failures] : ENABLED

        SSL log Handshake [Failures] : DISABLED

 Done
<!--NeedCopy-->

Agregar un perfil de registro SSL mediante la interfaz gráfica de usuario

Vaya a Sistema > Perfiles > Perfil de registro SSL y agregue un perfil.

Modificar un perfil de registro SSL mediante la CLI

En el símbolo del sistema, escriba:

set ssl logprofile <name> [-sslLogClAuth ( ENABLED | DISABLED )][-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]
<!--NeedCopy-->

Ejemplo:

set ssllogprofile ssllog10 -ssllogClAuth en -ssllogClAuthFailures en -ssllogHS en -ssllogHSfailures en

Done

sh ssllogprofile ssllog10

    1)            Name: ssllog10

                    SSL log ClientAuth [Success/Failures] : ENABLED
                    SSL log ClientAuth [Failures] : ENABLED
                    SSL log Handshake [Success/Failures] : ENABLED
                    SSL log Handshake [Failures] : ENABLED
     Done
<!--NeedCopy-->

Modificar un perfil de registro SSL mediante la GUI

  1. Vaya a Sistema > Perfiles > Perfil de registro SSL, seleccione un perfil y haga clic en Modificar.
  2. Realice los cambios y haga clic en Aceptar.

Ver todos los perfiles de registro SSL mediante la CLI

En el símbolo del sistema, escriba:

sh ssl logprofile
<!--NeedCopy-->

Ejemplo:

sh ssl logprofile

    1)            Name: ssllogp1
                    SSL log ClientAuth [Success/Failures] : ENABLED
                    SSL log ClientAuth [Failures] : ENABLED
                    SSL log Handshake [Success/Failures] : DISABLED
                    SSL log Handshake [Failures] : ENABLED

    2)            Name: ssllogp2
                    SSL log ClientAuth [Success/Failures] : DISABLED
                    SSL log ClientAuth [Failures] : DISABLED
                    SSL log Handshake [Success/Failures] : DISABLED
                    SSL log Handshake [Failures] : DISABLED

    3)            Name: ssllogp3
                    SSL log ClientAuth [Success/Failures] : DISABLED
                    SSL log ClientAuth [Failures] : DISABLED
                    SSL log Handshake [Success/Failures] : DISABLED
                    SSL log Handshake [Failures] : DISABLED

    4)            Name: ssllog10
                    SSL log ClientAuth [Success/Failures] : ENABLED
                    SSL log ClientAuth [Failures] : ENABLED
                    SSL log Handshake [Success/Failures] : ENABLED
                    SSL log Handshake [Failures] : ENABLED
Done
<!--NeedCopy-->

Ver todos los perfiles de registro SSL mediante la interfaz gráfica de usuario

Vaya a Sistema > Perfiles > Perfil de registro SSL. Se enumeran todos los perfiles.

Adjuntar un perfil de registro SSL a un perfil SSL

Puede adjuntar (establecer) un perfil de registro SSL en un perfil SSL cuando cree un perfil SSL o, más adelante, al modificar el perfil SSL. Puede registrar los éxitos y fallos tanto de la autenticación del cliente como del apretón de manos.

Importante:

El perfil SSL predeterminado debe estar habilitado para poder adjuntar un perfil de registro SSL. Para obtener más información sobre cómo habilitar el perfil SSL predeterminado, consulte Habilitar el perfil predeterminado.

Adjunte un perfil de registro SSL a un perfil SSL mediante la CLI

En el símbolo del sistema, escriba:

set ssl profile <name> [-ssllogProfile <string>]
<!--NeedCopy-->

Ejemplo:

set ssl profile fron_1 -ssllogProfile ssllog10
<!--NeedCopy-->

Adjunte un perfil de registro SSL a un perfil SSL mediante la GUI

  1. Vaya a Sistema > Perfiles > Perfil SSL.
  2. Haga clic en Modificar y, en Perfil de registro SSL, especifique un perfil.

Adjuntar un perfil de registro SSL a una acción SSL

Puede configurar un perfil de registro SSL solo al crear una acción SSL. No puede modificar una acción SSL para establecer el perfil de registro. Asocie la acción a una directiva. Solo puede registrar los éxitos y los errores de la autenticación del cliente.

Adjunte un perfil de registro SSL a una acción SSL mediante la CLI

En el símbolo del sistema, escriba:

add ssl action <name> -clientAuth ( DOCLIENTAUTH | NOCLIENTAUTH ) -ssllogProfile <string>
<!--NeedCopy-->

Ejemplo:

> add ssl action act1 -clientAuth DoCLIENTAUTH -ssllogProfile ssllog10

Done

> sh ssl action act1

    1)            Name: act1
                    Type: Client Authentication (DOCLIENTAUTH)
                    Hits: 0
                    Undef Hits: 0
                    Action Reference Count: 0
                    SSLlogProfile: ssllog10
Done
<!--NeedCopy-->

Adjuntar un perfil de registro SSL a una acción SSL mediante la GUI

  1. Vaya a Administración del tráfico > SSL > Directivas y haga clic en Acciones SSL.
  2. Haga clic en Agregar.
  3. En Autenticación de clientes, seleccione ACTIVADO.
  4. En Perfil de registro SSL, seleccione un perfil de la lista o haga clic en “+” para crear un perfil.
  5. Haga clic en Crear.

Salida de ejemplo del archivo de registro

A continuación se muestra un ejemplo de salida de registro de ns.log para una autenticación de cliente correcta.

Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 158 0 :  SPCBId 671 - ClientIP 10.102.1.98 - ClientPort 49451 - VserverServiceIP 10.102.57.82 - VserverServicePort 443 - ClientVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session New - CLIENT_AUTHENTICATED -SerialNumber "2A" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 22 09:15:20 2008 GMT" - ValidTo "Feb  8 09:15:20 2036 GMT" - HandshakeTime 10 ms
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 159 0 :  SPCBId 671 - IssuerName " C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 160 0 :  SPCBId 671 - SubjectName " C=IN,ST=KAR,O=Citrix Pvt Ltd,OU=A,CN=B"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 161 0 :  Backend SPCBId 674 - ServerIP 10.102.57.85 - ServerPort 443 - ProtocolVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session Reuse - SERVER_AUTHENTICATED -SerialNumber "3E" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 24 06:40:37 2008 GMT" - ValidTo "Feb 10 06:40:37 2036 GMT" - HandshakeTime 1 ms
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 162 0 :  SPCBId 674 - IssuerName " C=IN,ST=KAR,O=Citrix Pvt Ltd"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 163 0 :  SPCBId 674 - SubjectName " C=IN,ST=P,L=Q,O=R"
<!--NeedCopy-->
Registro SSL selectivo