Citrix ADC

Directivas SSL

Las directivas del dispositivo Citrix ADC ayudan a identificar conexiones específicas que quiere procesar. El procesamiento se basa en las acciones configuradas para esa directiva en particular. Una vez creada la directiva y configurada una acción para ella, debe realizar una de las siguientes acciones:

  • Enlazar la directiva a un servidor virtual del dispositivo, de modo que solo se aplique al tráfico que fluye a través de ese servidor virtual.
  • Enlazar la directiva globalmente, de modo que se aplique a todo el tráfico que fluye a través de cualquier servidor virtual configurado en el dispositivo Citrix ADC.

La función SSL del dispositivo Citrix ADC admite directivas de sintaxis predeterminadas (avanzadas). Para obtener una descripción completa de las expresiones de sintaxis predeterminadas, cómo funcionan y cómo configurarlas manualmente, consulte Directivas y expresiones.

Nota:

Los usuarios que no tienen experiencia en la configuración de directivas en la CLI suelen encontrar el uso de la utilidad de configuración considerablemente más fácil.

Las directivas SSL requieren que cree una acción antes de crear una directiva, de modo que pueda especificar las acciones al crear las directivas. En las directivas de sintaxis predeterminadas de SSL, también puede utilizar las acciones integradas. Para obtener más información acerca de las acciones integradas, consulte Acciones integradas SSL y acciones definidas por el usuario.

Directivas de sintaxis predeterminadas de SSL

Una directiva de sintaxis predeterminada SSL, también conocida como directiva avanzada, define un control o una acción de datos que se va a realizar en las solicitudes. Por lo tanto, las directivas SSL pueden clasificarse como directivas de control y directivas de datos:

  • Directiva de control. Una directiva de control utiliza una acción de control, como forzar la autenticación del cliente. Nota: En la versión 10.5 o posterior, denegar la renegociación SSL (DenySSLRenEG) se establece, por defecto, en ALL. Sin embargo, las directivas de control, como CLIENTEAUTH, desencadenan un protocolo de enlace de renegociación. Si utiliza dichas directivas, debe establecer DenysslReneg en NO.
  • Directiva de datos. Una directiva de datos utiliza una acción de datos, como insertar algunos datos en la solicitud.

Los componentes esenciales de una directiva son una expresión y una acción. La expresión identifica las solicitudes en las que se va a realizar la acción.

Puede configurar una directiva de sintaxis predeterminada con una acción integrada o una acción definida por el usuario. Puede configurar una directiva con una acción integrada sin crear una acción independiente. Sin embargo, para configurar una directiva con una acción definida por el usuario, primero configure la acción y, a continuación, configure la directiva.

Puede especificar una acción adicional, denominada acción UNDEF, que se realizará cuando la aplicación de la expresión a una solicitud tenga un resultado indefinido.

Configuración de directivas SSL

Puede configurar una directiva de sintaxis predeterminada SSL mediante la CLI y la GUI.

Configurar una directiva SSL mediante la CLI

En el símbolo del sistema, escriba:

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]

Configurar una directiva SSL mediante la interfaz gráfica de usuario

Vaya a Administración del tráfico > SSL > Directivas y, en la ficha Directivas, haga clic en Agregar.

Compatibilidad con directivas SSL con protocolo TLS1.3

A partir de la versión 13.0 compilación 71.x y versiones posteriores, se agrega soporte para directivas SSL con el protocolo TLS1.3. Cuando se negocia el protocolo TLSV1.3 para una conexión, las reglas de directiva que inspeccionan los datos TLS recibidos del cliente desencadenan ahora la acción configurada.

Por ejemplo, si la siguiente regla de directiva devuelve true, el tráfico se reenvía al servidor virtual definido en la acción.

add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1

Limitaciones

  • No se admiten directivas de control.
  • No se admiten las siguientes acciones:
    • DOCLIENTAUTH
    • NOCLIENTAUTH
    • CacertGRPName
    • ClientCertVerificación
    • SSLlogProfile
Directivas SSL