Perfil SSL heredado
Nota:
Citrix recomienda utilizar los perfiles mejorados en lugar de los perfiles heredados. Para obtener información acerca de la infraestructura de perfiles mejorada, consulte SSL profile infrastructure.
Importante:
Enlazar un perfil SSL a un servidor virtual SSL. No enlazar un perfil DTLS a un servidor virtual SSL. Para obtener información acerca de los perfiles DTLS, consulte Perfiles DTLS.
Puede utilizar un perfil SSL para especificar cómo un dispositivo Citrix ADC procesa el tráfico SSL. El perfil es una colección de parámetros SSL para entidades SSL, como servidores virtuales, servicios y grupos de servicios, y ofrece facilidad de configuración y flexibilidad. No se limita a configurar solo un conjunto de parámetros globales. Puede crear varios conjuntos (perfiles) de parámetros globales y asignar diferentes conjuntos a diferentes entidades SSL. Los perfiles SSL se clasifican en dos categorías:
- Perfiles front-end, que contienen parámetros aplicables a la entidad front-end. Es decir, se aplican a la entidad que recibe solicitudes de un cliente.
- Perfiles de back-end, que contienen parámetros aplicables a la entidad back-end. Es decir, se aplican a la entidad que envía solicitudes de cliente a un servidor.
A diferencia de un perfil TCP o HTTP, un perfil SSL es opcional. Por lo tanto, no hay ningún perfil SSL predeterminado. El mismo perfil se puede reutilizar en varias entidades. Si una entidad no tiene un perfil asociado, se aplicarán los valores establecidos en el nivel global. Para los servicios aprendidos dinámicamente, se aplican los valores globales actuales.
En la tabla siguiente se enumeran los parámetros que forman parte de cada perfil.
| Perfil de extremo delantero | Perfil de back-end |
|---|---|
| cipherRedirect, cipherURL | denySSLReneg |
| clearTextPort* | encryptTriggerPktCount |
| clientAuth, clientCert | nonFipsCiphers |
| denySSLReneg | pushEncTrigger |
| dh, dhFile, dhCount | pushEncTriggerTimeout |
| dropReqWithNoHostHeader | pushFlag |
| encryptTriggerPktCount | quantumSize |
| eRSA, eRSACount | serverAuth |
| insertionEncoding | commonName |
| nonFipsCiphers | sessReuse, sessTimeout |
| pushEncTrigger | SNIEnable |
| pushEncTriggerTimeout | ssl3 |
| pushFlag | sslTriggerTimeout |
| quantumSize | strictCAChecks |
| redirectPortRewrite | tls1 |
| sendCloseNotify | - |
| sessReuse, sessTimeout | - |
SNIEnable |
- |
| ssl3 | - |
| sslRedirect | - |
| sslTriggerTimeout | - |
| strictCAChecks | - |
| tls1, tls11, tls12 | - |
* El parámetro ClearTextPort se aplica solo a un servidor virtual SSL.
Aparece un mensaje de error si intenta establecer un parámetro que no forma parte del perfil. Por ejemplo, si intenta establecer el parámetro ClientAuth en un perfil de back-end.
Algunos parámetros SSL, como el tamaño de la memoria CRL, el tamaño de caché de OCSP, el control de undefaction y los datos de desdefacción, no forman parte de ninguno de los perfiles anteriores, ya que estos parámetros son independientes de las entidades.
Un perfil SSL admite las siguientes operaciones:
- Agregar: Crea un perfil SSL en Citrix ADC. Especifique si el perfil es front-end o back-end. El front-end es el valor predeterminado.
- Definir: Permite modificar la configuración de un perfil existente.
- Desestablecer: Establece los parámetros especificados en sus valores predeterminados. Si no especifica ningún parámetro, aparecerá un mensaje de error. Si desestablece un perfil en una entidad, el perfil está independiente de la entidad.
- Eliminar: Permite borrar un perfil. Un perfil que está siendo utilizado por ninguna entidad no se puede eliminar. Al borrar la configuración, se eliminan todas las entidades. Como resultado, los perfiles también se eliminan.
- Mostrar: Muestra todos los perfiles disponibles en Citrix ADC. Si se especifica un nombre de perfil, se muestran los detalles de ese perfil. Si se especifica una entidad, se muestran los perfiles asociados a esa entidad.
Crear un perfil SSL mediante la CLI
- Para agregar un perfil SSL, escriba:
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
- Para modificar un perfil existente, escriba:
set ssl profile <name>
- Para anular la configuración de un perfil existente, escriba:
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
- Para anular la configuración de un perfil existente de una entidad, escriba:
unset ssl vserver <vServerName> –sslProfile
- Para eliminar un perfil existente, escriba:
rm ssl profile <name>
- Para mostrar un perfil existente, escriba:
sh ssl profile <name>
Crear un perfil SSL mediante la interfaz gráfica de usuario
Vaya a Sistema > Perfiles, seleccione la ficha Perfiles SSL y cree un perfil SSL.
Habilitar un control más estricto en la validación de certificados de cliente
El dispositivo Citrix ADC acepta certificados de CA intermedia válidos si una sola CA raíz los ha emitido. Es decir, si solo el certificado de CA raíz está enlazado al servidor virtual y esa CA de raíz valida cualquiera de los certificados intermedios enviados con el certificado de cliente, el dispositivo confía en la cadena de certificados y el enlace se realiza correctamente.
Sin embargo, si un cliente envía una cadena de certificados en el protocolo de enlace, los certificados intermedios se pueden validar mediante un contestador CRL u OCSP solo si ese certificado está enlazado al servidor virtual SSL. Por lo tanto, incluso si se revoca uno de los certificados intermedios, el protocolo de enlace se realiza correctamente. Como parte del protocolo de enlace, el servidor virtual SSL envía la lista de certificados de CA que están enlazados a él. Para un control más estricto, puede configurar el servidor virtual SSL para que acepte solo un certificado que haya firmado uno de los certificados de CA enlazados a ese servidor virtual. Para ello, debe habilitar la ClientAuthUseBoundCAChain configuración en el perfil SSL enlazado al servidor virtual. El protocolo de enlace falla si uno de los certificados de CA enlazados al servidor virtual no ha firmado el certificado de cliente.
Por ejemplo, digamos que dos certificados de cliente, clientcert1 y clientcert2, están firmados por los certificados intermedios INT-CA-A e INT-CA-B, respectivamente. Los certificados intermedios están firmados por el certificado raíz Root-CA. Int-ca-A y Root-CA están enlazados al servidor virtual SSL. En el caso predeterminado (ClientAuthUseBoundCachain inhabilitado), se aceptan tanto clientcert1 como clientcert2. Sin embargo, si ClientAuthUseBoundCachain está habilitado, el dispositivo Citrix ADC solo acepta clientcert1.
Habilitar un control más estricto en la validación de certificados de cliente mediante la CLI
En el símbolo del sistema, escriba: set ssl profile <name> -ClientAuthUseBoundCAChain Enabled
Habilitar un control más estricto en la validación de certificados de cliente mediante la interfaz gráfica de usuario
- Vaya a Sistema > Perfiles, seleccione la ficha Perfiles SSL y cree un perfil SSL o seleccione un perfil existente.
- Seleccione Habilitar autenticación de cliente mediante cadena de CA enlazada.