-
-
-
Configuración de Citrix ADC para Citrix Virtual Apps and Desktops
-
Preferencia de zona alimentada de Equilibrio de carga de servidor global (GSLB)
-
Implemente una plataforma de publicidad digital en AWS con Citrix ADC
-
Mejorar el análisis de Clickstream en AWS mediante Citrix ADC
-
Citrix ADC en una nube privada administrada por Microsoft Windows Azure Pack y Cisco ACI
-
-
Implementar una instancia de Citrix ADC VPX
-
Instalar una instancia de Citrix ADC VPX en un servidor desnudo
-
Instalar una instancia de Citrix ADC VPX en Citrix Hypervisor
-
Instalar una instancia de Citrix ADC VPX en la nube de VMware en AWS
-
Instalar una instancia de Citrix ADC VPX en servidores Microsoft Hyper-V
-
Instalar una instancia de Citrix ADC VPX en la plataforma Linux-KVM
-
Requisitos previos para instalar dispositivos virtuales Citrix ADC VPX en la plataforma Linux-KVM
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante OpenStack
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante Virtual Machine Manager
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red SR-IOV
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red PCI Passthrough
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante el programa virsh
-
Aprovisionamiento de Citrix ADC Virtual Appliance con SR-IOV, en OpenStack
-
-
Implementar una instancia de Citrix ADC VPX en AWS
-
Implementar una instancia independiente de Citrix ADC VPX en AWS
-
Servidores de equilibrio de carga en diferentes zonas de disponibilidad
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en diferentes zonas de AWS
-
Agregar el servicio de escalado automático de AWS de back-end
-
Configurar una instancia de Citrix ADC VPX para utilizar la interfaz de red SR-IOV
-
Configurar una instancia de Citrix ADC VPX para utilizar redes mejoradas con AWS ENA
-
Implementar una instancia de Citrix ADC VPX en Microsoft Azure
-
Arquitectura de red para instancias de Citrix ADC VPX en Microsoft Azure
-
Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX
-
Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC
-
Configurar una instancia de Citrix ADC VPX para usar redes aceleradas de Azure
-
Configurar nodos HA-INC mediante la plantilla de alta disponibilidad de Citrix con ILB de Azure
-
Configurar GSLB en una configuración de alta disponibilidad en espera activa
-
Configurar grupos de direcciones (IIP) para un dispositivo Citrix Gateway
-
Scripts de PowerShell adicionales para la implementación de Azure
-
Implementar una instancia de Citrix ADC VPX en Google Cloud Platform
-
Automatizar la implementación y las configuraciones de Citrix ADC
-
Soluciones para proveedores de servicios de telecomunicaciones
-
Tráfico de plano de control de equilibrio de carga basado en los protocolos de diameter, SIP y SMPP
-
Utilización del ancho de banda mediante la funcionalidad de redirección de caché
-
Optimización TCP de Citrix ADC
-
Autenticación, autorización y auditoría del tráfico de aplicaciones
-
Cómo funciona la autenticación, la autorización y la auditoría
-
Componentes básicos de configuración de autenticación, autorización y auditoría
-
Autorizar el acceso de usuario a los recursos de la aplicación
-
Citrix ADC como proxy del servicio de federación de Active Directory
-
Citrix Gateway local como proveedor de identidades para Citrix Cloud
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Configuración de autenticación, autorización y auditoría para protocolos de uso común
-
Solucionar problemas relacionados con la autenticación y la autorización
-
-
-
-
Configuración de la expresión de directiva avanzada: Introducción
-
Expresiones de directiva avanzadas: Trabajar con fechas, horas y números
-
Expresiones de directiva avanzadas: Análisis de datos HTTP, TCP y UDP
-
Expresiones de directiva avanzadas: Análisis de certificados SSL
-
Expresiones de directivas avanzadas: Direcciones IP y MAC, rendimiento, ID de VLAN
-
Expresiones de directiva avanzadas: Funciones de análisis de flujo
-
Ejemplos de resumen de expresiones y directivas de sintaxis predeterminadas
-
Ejemplos de tutoriales de directivas de sintaxis predeterminadas para reescribir
-
Migración de las reglas mod_rewrite de Apache a la sintaxis predeterminada
-
-
-
-
Traducir la dirección IP de destino de una solicitud a la dirección IP de origen
-
-
Compatibilidad con la configuración de Citrix ADC en un clúster
-
-
Administración del clúster de Citrix ADC
-
Grupos de nodos para configuraciones manchadas y parcialmente rayadas
-
Desactivación de la dirección en el plano anterior del clúster
-
Quitar un nodo de un clúster implementado mediante la agregación de vínculos de clúster
-
Supervisión de la configuración del clúster mediante SNMP MIB con enlace SNMP
-
Supervisión de errores de propagación de comandos en una implementación de clúster
-
Compatibilidad con logotipos listos para IPv6 para clústeres
-
Enlace de interfaz VRRP en un clúster activo de un solo nodo
-
Casos de configuración y uso del clúster
-
Migración de una configuración de alta disponibilidad a una configuración de clúster
-
Interfaces comunes para cliente y servidor e interfaces dedicadas para plano anterior
-
Conmutador común para cliente y servidor y conmutador dedicado para plano anterior
-
Servicios de supervisión en un clúster mediante supervisión de rutas
-
Copia de seguridad y restauración de la configuración del clúster
-
-
-
Caso de uso 1: Configurar DataStream para una arquitectura de base de datos primaria/secundaria
-
Caso de uso 2: Configurar el método de token de equilibrio de carga para DataStream
-
Caso de uso 3: Registrar transacciones MSSQL en modo transparente
-
Caso de uso 4: Equilibrio de carga específico de base de datos
-
-
Configurar Citrix ADC como un solucionador de stub-aware no validador de seguridad
-
Soporte de tramas jumbo para DNS para manejar respuestas de tamaños grandes
-
Configurar el almacenamiento en caché negativo de registros DNS
-
Equilibrio de carga global del servidor
-
Configurar entidades GSLB individualmente
-
Caso de uso: Implementación de un grupo de servicios de escalado automático basado en direcciones IP
-
-
Estado de servicio y servidor virtual de equilibrio de carga
-
Insertar atributos de cookie a las cookies generadas por ADC
-
Proteger una configuración de equilibrio de carga contra fallos
-
Administrar el tráfico del cliente
-
Configurar servidores virtuales de equilibrio de carga sin sesión
-
Reescritura de puertos y protocolos para la redirección HTTP
-
Insertar la dirección IP y el puerto de un servidor virtual en el encabezado de solicitud
-
Usar una IP de origen especificada para la comunicación de back-end
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Administrar el tráfico del cliente sobre la base de la tasa de tráfico
-
Usar un puerto de origen de un intervalo de puertos especificado para la comunicación de back-end
-
Configurar la persistencia de IP de origen para la comunicación de back-end
-
-
Configuración avanzada de equilibrio de carga
-
Incremente gradualmente la carga en un nuevo servicio con inicio lento a nivel de servidor virtual
-
Proteja las aplicaciones en servidores protegidos contra sobretensiones de tráfico
-
Habilitar la limpieza de las conexiones de servidor virtual y servicio
-
Habilitar o inhabilitar la sesión de persistencia en los servicios TROFS
-
Habilitar la comprobación externa del estado de TCP para servidores virtuales UDP
-
Mantener la conexión de cliente para varias solicitudes de cliente
-
Inserte la dirección IP del cliente en el encabezado de solicitud
-
Usar la dirección IP de origen del cliente al conectarse al servidor
-
Configurar el puerto de origen para las conexiones del lado del servidor
-
Establecer un límite en el número de solicitudes por conexión al servidor
-
Establecer un valor de umbral para los monitores enlazados a un servicio
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Establecer un valor de tiempo de espera para las conexiones de servidor inactivas
-
Establecer un límite en el uso del ancho de banda por parte de los clientes
-
Conservar el identificador de VLAN para la transparencia de VLAN
-
-
Configurar monitores en una configuración de equilibrio de carga
-
Configurar el equilibrio de carga para los protocolos de uso común
-
Caso de uso 3: Configurar el equilibrio de carga en el modo de retorno directo del servidor
-
Caso de uso 6: Configurar el equilibrio de carga en modo DSR para redes IPv6 mediante el campo TOS
-
Caso de uso 7: Configurar el equilibrio de carga en modo DSR mediante IP sobre IP
-
Caso de uso 8: Configurar el equilibrio de carga en modo de un brazo
-
Caso de uso 9: Configurar el equilibrio de carga en el modo en línea
-
Caso de uso 10: Equilibrio de carga de servidores del sistema de detección de intrusiones
-
Caso de uso 11: Aislamiento del tráfico de red mediante directivas de escucha
-
Caso de uso 12: Configurar XenDesktop para el equilibrio de carga
-
Caso de uso 13: Configurar XenApp para el equilibrio de carga
-
Caso de uso 14: Asistente para ShareFile para equilibrio de carga Citrix ShareFile
-
-
-
Compatibilidad con el protocolo TLSv1.3 tal como se define en RFC 8446
-
Tabla compatibilidad con certificados de servidor en el dispositivo ADC
-
-
Acciones integradas SSL y acciones definidas por el usuario
-
Compatibilidad con plataformas basadas en chips Intel Coleto SSL
-
Soporte para el módulo de seguridad de hardware de red Gemalto SafeNet
-
-
-
-
-
Configuración de un túnel de conector de CloudBridge entre dos centros de datos
-
Configuración de CloudBridge Connector entre Datacenter y AWS Cloud
-
Configuración de un túnel de conector de CloudBridge entre un centro de datos y Azure Cloud
-
Configuración de CloudBridge Connector Tunnel entre Datacenter y SoftLayer Enterprise Cloud
-
Diagnóstico y solución de problemas del túnel del conector de CloudBridge
-
-
Puntos a tener en cuenta para una configuración de alta disponibilidad
-
Sincronizar archivos de configuración en una configuración de alta disponibilidad
-
Restricción del tráfico de sincronización de alta disponibilidad a una VLAN
-
Configuración de nodos de alta disponibilidad en diferentes subredes
-
Limitación de fallas causadas por monitores de ruta en modo no INC
-
Configuración del conjunto de interfaces de conmutación por error
-
Descripción del cálculo de comprobación de estado de alta disponibilidad
-
Administración de mensajes de latido de alta disponibilidad en un dispositivo Citrix ADC
-
Quitar y reemplazar un dispositivo Citrix ADC en una instalación de alta disponibilidad
-
Gracias por sus comentarios.
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Acciones integradas SSL y acciones definidas por el usuario
A menos que solo necesite las acciones integradas en sus directivas, debe crear las acciones antes de crear las directivas. A continuación, puede especificar las acciones al crear las directivas. Las acciones integradas son de dos tipos, acciones de control y acciones de datos. Las acciones de control se utilizan en las directivas de control y las acciones de datos en las directivas de datos.
Las acciones de control integradas son:
- doClientAuth—Ejecute la autenticación de certificados de cliente. (No compatible con TLS1.3)
- NoClientAuth—No realice la autenticación de certificados de cliente. (No compatible con TLS1.3)
Las acciones de datos integradas son:
- Restablecer: cierre la conexión enviando un paquete RST al cliente.
- Descartar: Suelta todos los paquetes del cliente. La conexión permanece abierta hasta que el cliente la cierra.
- Noop: Reenvía el paquete sin realizar ninguna operación en él.
Nota: Las acciones dependientes de la autenticación del cliente, como ClientCertVerification y SSLLogProfile, no son compatibles con el protocolo TLS 1.3.
Puede crear acciones de datos definidas por el usuario. Si habilita la autenticación de cliente, puede crear una acción SSL para insertar datos de certificado de cliente en el encabezado de solicitud antes de reenviar la solicitud al servidor web.
Si una evaluación de directivas resulta en un estado indefinido, se realiza una acción del FNUD. Para una directiva de datos o una directiva de control, puede especificar RESET, DROP o NOOP como acción UNDEF. Para una directiva de control, también tiene la opción de especificar DOCENTEAUTH o NOCLIENTEAUTH.
Ejemplos de acciones integradas en una directiva
En el ejemplo siguiente, si el cliente envía un cifrado distinto de un cifrado de categoría EXPORT, el dispositivo Citrix ADC solicita la autenticación del cliente. El cliente tiene que proporcionar un certificado válido para una transacción correcta.
add ssl policy pol1 -rule CLIENT.SSL.CIPHER_EXPORTABLE.NOT -reqAction DOCLIENTAUTH
En los ejemplos siguientes se supone que la autenticación de cliente está habilitada.
Si la versión del certificado proporcionado por el usuario coincide con la versión de la directiva, no se realiza ninguna acción y se reenvía el paquete:
add ssl policy pol1 -rule CLIENT.SSL.CLIENT_CERT.VERSION.EQ(2) -reqAction NOOP
Si la versión del certificado proporcionado por el usuario coincide con la versión de la directiva, se elimina la conexión:
add ssl policy pol1 -rule CLIENT.SSL.CLIENT_CERT.VERSION.EQ(2) -reqAction DROP
Si la versión del certificado proporcionado por el usuario coincide con la versión de la directiva, se restablece la conexión:
add ssl policy pol1 -rule CLIENT.SSL.CLIENT_CERT.VERSION.EQ(2) -reqAction RESET
Verificación de certificados de cliente con autenticación de cliente basada en directivas
Puede establecer la verificación de certificados de cliente como obligatoria u opción cuando haya configurado la autenticación de cliente basada en directivas. El valor predeterminado es obligatorio.
Establezca la verificación de certificados de cliente como opcional mediante la CLI
En el símbolo del sistema, escriba:
add ssl action <name> ((-clientAuth ( DOCLIENTAUTH | NOCLIENTAUTH ) [-clientCertVerification ( Mandatory | Optional )]
Ejemplo:
add ssl action sslact -clientauth DOCLIENTAUTH -clientcertverification OPTIONAL
Establezca la verificación de certificados de cliente como opcional mediante la interfaz gráfica de usuario
-
Vaya a Administración de Tráfico > SSL > Directivas.
-
En la ficha Acciones SSL, haga clic en Agregar.
-
Especifique un nombre y, en la lista Verificación de certificados de cliente, seleccione Opcional.
Acciones SSL definidas por el usuario
Además de las acciones integradas, también puede configurar otras acciones SSL en función de su implementación. Estas acciones se denominan acciones definidas por el usuario.
Configurar una acción SSL definida por el usuario mediante la CLI
En el símbolo del sistema, escriba los siguientes comandos para configurar una acción y verificar la configuración:
add SSL action <name> -clientAuth(DOCLIENTAUTH | NOCLIENTAUTH) -clientCert (ENABLED | DISABLED) certHeader <string> -clientHeader <string> -clientCertSerialNumber (ENABLED | DISABLED) -certSerialHeader <string> -clientCertSubject (ENABLED | DISABLED) -certSubjectHeader <string> -clientCertHash (ENABLED | DISABLED) -certHashHeader <string> -clientCertIssuer (ENABLED | DISABLED) -certIssuerHeader <string> -sessionID (ENABLED | DISABLED) -sessionIDheader <string> -cipher (ENABLED | DISABLED) -cipherHeader <string> -clientCertNotBefore (ENABLED | DISABLED) -certNotBeforeHeader <string> -clientCertNotAfter (ENABLED | DISABLED) -certNotAfterHeader <string> -OWASupport (ENABLED | DISABLED)
show ssl action [<name>]
Ejemplo:
add ssl action Action-SSL-ClientCert -clientCert ENABLED -certHeader "X-Client-Cert"
show ssl action Action-SSL-ClientCert
1) Name: Action-SSL-ClientCert
Data Insertion Action:
Cert Header: ENABLED Cert Tag: X-Client-Cert
Done
Configurar una acción SSL definida por el usuario mediante la interfaz gráfica de usuario
Vaya a Administración del tráfico > SSL > Directivas y, en la ficha Acciones, haga clic en Agregar.
Configurar una acción SSL para reenviar tráfico de cliente a otro servidor virtual
Los administradores pueden configurar una acción SSL para reenviar el tráfico de cliente recibido en un servidor virtual SSL a otro servidor virtual para evitar la descarga de SSL. O para finalizar la conexión en el dispositivo ADC. Este servidor virtual puede ser del tipo: SSL, TCP o SSL_BRIDGE. Por ejemplo, los administradores pueden optar por reenviar la solicitud a otro servidor virtual para que realice más acciones en lugar de terminar la conexión si alguno de los siguientes casos:
- El dispositivo no tiene un certificado.
- El dispositivo no admite un cifrado específico.
Para lograr lo anterior, se agrega un nuevo punto de enlace ‘CLIENTHELLO_REQ’ para evaluar el tráfico del cliente cuando se recibe un saludo de cliente. Si la directiva enlazada al servidor virtual que recibe tráfico de cliente se evalúa como true después de analizar el saludo del cliente, el tráfico se reenvía a otro servidor virtual. Si este servidor virtual es de tipo SSL, realiza el protocolo de enlace. Si este servidor virtual es de tipo TCP o SSL_BRIDGE, el servidor back-end realiza el protocolo de enlace.
En la versión 12.1-49.x, solo se admiten las acciones de reenvío y restablecimiento para el punto de enlace CLIENTHELLO_REQ. Los prefijos de expresión siguientes están disponibles:
- CLIENT.SSL.CLIENT_HELLO.CIPHERS.HAS_HEXCODE
- CLIENT.SSL.CLIENT_HELLO.CLIENT_VERSION
- CLIENT.SSL.CLIENT_HELLO.IS_RENEGOTIATE
- CLIENT.SSL.CLIENT_HELLO.IS_REUSE
- CLIENT.SSL.CLIENT_HELLO.IS_SCSV
- CLIENT.SSL.CLIENT_HELLO.IS_SESSION_TICKET
- CLIENT.SSL.CLIENT_HELLO.LENGTH
- CLIENT.SSL.CLIENT_HELLO.SNI
- CLIENT.SSL.CLIENT_HELLO.ALPN.HAS_NEXTPROTOCOL (de la versión 13.0 compilación 61.x)
Para obtener una descripción de estos prefijos, consulte Expresiones de directiva avanzadas: Analizar SSL.
forward Se agrega un parámetro al add SSL action comando y CLIENTHELLO_REQ se agrega un nuevo punto de enlace al bind ssl vserver comando.
Configuración mediante la CLI
En el símbolo del sistema, escriba:
add ssl action <name> -forward <virtual server name>
add ssl policy <name> -rule <expression> -action <string>
bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type <type>
EJEMPLO:
add ssl action act1 -forward v2
add ssl policy pol1 -rule client.ssl.client_hello.ciphers.has_hexcode(0x002f) -action act1
bind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ
Configuración mediante la GUI
Vaya a Administración de Tráfico > SSL > Directivas.
Crear acción SSL:
- En Acciones SSL, haga clic en Agregar.
- En Crear acción SSL, especifique un nombre para la acción.
- En el Servidor virtual de acción directa, seleccione un servidor virtual existente o agregue un nuevo servidor virtual al que reenviar el tráfico.
- Opcionalmente, defina otros parámetros.
- Haga clic en Crear.
Crear directiva SSL:
- En Directivas SSL, haga clic en Agregar.
- En Crear directiva SSL, especifique un nombre para la directiva.
- En Acción, seleccione la acción que creó anteriormente.
- En el Editor de expresiones, escriba la regla que quiere evaluar.
- Haga clic en Crear.
Cree o agregue un servidor virtual y una directiva de enlace:
- Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
- Agregue o seleccione un servidor virtual.
- En Configuración avanzada, haga clic en Directivas SSL.
- Haga clic en la sección Directiva SSL.
- En Seleccionar directiva, seleccione la directiva que creó anteriormente.
- En Enlace de directivas, especifique una prioridad para la directiva.
- En Tipo, seleccione CLIENTHELLO_REQ.
- Haga clic en Bind.
- Haga clic en Done.
Para obtener información sobre la configuración de extremo a extremo para los casos de uso más populares, consulte los siguientes temas:
Acción SSL para seleccionar selectivamente CA basadas en SNI para la autenticación del cliente
Solo puede enviar la lista de CA basadas en SNI (dominio) en la solicitud de certificado de cliente en lugar de la lista de todas las CA enlazadas a un servidor virtual SSL. Por ejemplo, cuando se recibe un saludo de cliente, solo se envían los certificados de CA basados en la expresión de directiva SSL (por ejemplo, SNI). Para enviar un conjunto específico de certificados, debe crear un grupo de certificados de CA. A continuación, vincule este grupo a una acción SSL y vincule la acción a una directiva SSL. Si la directiva enlazada al servidor virtual que recibe tráfico de cliente se evalúa como true después de analizar el saludo del cliente, solo se envía un grupo de certificados de CA específico en el certificado de solicitud de cliente.
Anteriormente, tenía que enlazar certificados de CA a un servidor virtual SSL. Con esta mejora, puede simplemente agregar grupos de certificados de CA y asociarlos a una acción SSL.
Nota: Habilite la autenticación de cliente y SNI en el servidor virtual SSL. Enlazar los certificados SNI correctos al servidor virtual.
Siga estos pasos:
-
Agregue un grupo de certificados de CA.
-
Agregue pares de claves de certificado.
-
Enlazar los pares de clave de certificado a este grupo.
-
Agregue una acción SSL.
-
Agregue una directiva SSL. Especifique la acción en la directiva.
-
Enlazar la directiva a un servidor virtual SSL. Especifique el punto de enlace como CLIENTHELLO_REQ.
Configuración mediante la CLI
En el símbolo del sistema, escriba los siguientes comandos en una secuencia:
add ssl caCertGroup <caCertGroupName>
add ssl certkey <certkey_name> -cert <cert> -key <key>
bind ssl caCertGroup <caCertGroupName> <certkey_name>
add ssl action <name> -caCertGrpName <string>
add ssl policy <name> -rule <expression> -action <string>
bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type CLIENTHELLO_REQ
Ejemplo:
add ssl cacertGroup ca_cert_group
add ssl certkey ca_certkey1 -cert cacert1 -key cakey1
add ssl certkey ca_certkey2 -cert cacert2 -key cakey2
add ssl certkey snicert -cert snicert -key snikey
bind ssl cacertGroup ca_cert_group ca_certkey1
bind ssl caCertGroup ca_cert_group ca_certkey2
sh ssl caCertGroup ca_cert_group
CA GROUP NAME: ca_cert_group
ACTIONS REFERRING: 1
1) CertKey Name: ca_certkey1 CA Certificate CRLCheck: Optional CA_Name Sent
2) CertKey Name: ca_certkey2 CA Certificate CRLCheck: Optional CA_Name Sent
add ssl action pick_ca_group -cacertGrpName ca_cert_group
sh ssl action pick_ca_group
1) Name: pick_ca_group
Type: Data Insertion
PickCaCertGroup: ca_cert_group
Hits: 0
Undef Hits: 0
Action Reference Count: 1
add ssl policy snipolicy -rule client.ssl.client_hello.sni.contains("abc") -action pick_ca_group
bind ssl vserver v_SSL -policyName snipolicy -type CLIENTHELLO_REQ -priority 10
sh ssl policy snipolicy
Name: snipolicy
Rule: client.ssl.client_hello.sni.contains("abc")
Action: pick_ca_group
UndefAction: Use Global
Hits: 0
Undef Hits: 0
Policy is bound to following entities
1) Bound to: CLIENTHELLO_REQ VSERVER v_SSL
Priority: 10
set ssl vserver v_SSL -clientauth ENABLED -SNIEnable ENABLED
bind ssl vserver v_SSL -certkeyName snicert -sniCert
sh ssl vserver v_SSL
Advanced SSL configuration for VServer v_SSL:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: ENABLED Client Cert Required: Mandatory
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: ENABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: snicert Server Certificate for SNI
Data policy
1) Policy Name: snipolicy Priority: 10
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Configuración mediante la GUI
Cree un grupo de certificados de CA y vincule certificados al grupo:
- Vaya a Administración de tráfico > SSL > Grupo de certificados de CA.
- Haga clic en Agregar y especifique un nombre para el grupo.
- Haga clic en Crear.
- Seleccione el grupo de certificados de CA y, a continuación, haga clic en Mostrar enlaces.
- Haga clic en Bind.
- En la página Enlace de certificados de CA, seleccione un certificado existente o haga clic en Agregar para agregar un certificado nuevo.
- Haga clic en Seleccionar y, a continuación, haga clic en Vincular.
- Para enlazar otro certificado, repita los pasos 5 a 7.
- Haga clic en Cerrar.
Vaya a Administración de Tráfico > SSL > Directivas.
Crear acción SSL:
- En Acciones SSL, haga clic en Agregar.
- En Crear acción SSL, especifique un nombre para la acción.
- En el Servidor virtual de acción directa, seleccione un servidor virtual existente o agregue un servidor virtual al que reenviar el tráfico.
- Opcionalmente, defina otros parámetros.
- Haga clic en Crear.
Crear directiva SSL:
- En Directivas SSL, haga clic en Agregar.
- En Crear directiva SSL, especifique un nombre para la directiva.
- En Acción, seleccione la acción creada anteriormente.
- En el Editor de expresiones, escriba la regla que quiere evaluar.
- Haga clic en Crear.
Cree o agregue un servidor virtual y una directiva de enlace:
- Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
- Agregue o seleccione un servidor virtual.
- En Configuración avanzada, haga clic en Directivas SSL.
- Haga clic en la sección Directiva SSL.
- En Seleccionar directiva, seleccione la directiva que creó anteriormente.
- En Enlace de directivas, especifique una prioridad para la directiva.
- En Tipo, seleccione CLIENTHELLO_REQ.
- Haga clic en Bind.
- Haga clic en Done.
Desenlazar un grupo de certificados de CA mediante la interfaz gráfica de usuario
- Vaya a Administración de tráfico > SSL > Grupo de certificados de CA.
- Seleccione un grupo de certificados y haga clic en Mostrar enlaces.
- Seleccione el certificado que quiere quitar del grupo y haga clic en Desenlazar.
- Si se le solicita confirmación, haga clic en **Sí••.
- Haga clic en Cerrar.
Quitar un grupo de certificados de CA mediante la interfaz gráfica de usuario
- Vaya a Administración de tráfico > SSL > Grupo de certificados de CA.
- Seleccione un grupo de certificados y haga clic en Eliminar.
- Si se le solicita confirmación, haga clic en Sí.
Gracias por sus comentarios.
Compartir
Compartir
En este artículo
- Ejemplos de acciones integradas en una directiva
- Verificación de certificados de cliente con autenticación de cliente basada en directivas
- Acciones SSL definidas por el usuario
- Configurar una acción SSL para reenviar tráfico de cliente a otro servidor virtual
- Acción SSL para seleccionar selectivamente CA basadas en SNI para la autenticación del cliente
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.