Perfil SSL

Un perfil SSL es una colección de configuraciones SSL, como cifrados y protocolos. Un perfil es útil si tiene configuraciones comunes para diferentes servidores. En lugar de especificar la misma configuración para cada servidor, puede crear un perfil, especificar la configuración en el perfil y, a continuación, enlazar el perfil a distintos servidores. Si no se crea un perfil SSL front-end personalizado, el perfil front-end predeterminado se enlaza a entidades del lado del cliente. Este perfil permite configurar las opciones para administrar las conexiones del lado del cliente. Para interceptar SSL, debe crear un perfil SSL y habilitar la intercepción SSL (SSLi) en el perfil. Un grupo de cifrado predeterminado está enlazado a este perfil, pero puede configurar más cifrados para que se adapten a su implementación. Debe enlazar un certificado de CA SSLi a este perfil y, a continuación, enlazar el perfil a un servidor proxy. Para la interceptación SSL, los parámetros esenciales de un perfil son los que se utilizan para comprobar el estado OCSP del certificado del servidor de origen, activar la renegociación del cliente si el servidor de origen solicita la renegociación y verificar el certificado del servidor de origen antes de volver a utilizar la sesión SSL front-end. Debe utilizar el perfil de back-end predeterminado al comunicarse con los servidores de origen. Defina cualquier parámetro del lado del servidor, como los conjuntos de cifrado, en el perfil de back-end predeterminado. No se admite un perfil de back-end personalizado.

Para obtener ejemplos de la configuración SSL más utilizada, consulte “Perfil de ejemplo” al final de esta sección.

El soporte de cifrado y protocolo difiere en la red interna y externa. En las tablas siguientes, la conexión entre los usuarios y un dispositivo SWG es la red interna. La red externa se encuentra entre el dispositivo e Internet.

Imagen localizada

Tabla 1: Matriz de soporte de cifrado y protocolo para la red interna

(Cifrar/protocolo) / Plataforma MPX (N3) * VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 12.1 12.1
Cifradores SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 12.1

Tabla 2: Matriz de soporte de cifrado y protocolo para la red externa

(Cifrar/protocolo) / Plataforma MPX (N3) * VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 12.1 12.1
Cifradores SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 No se admite

* Utilice el comando sh hardware (show hardware) para identificar si el dispositivo tiene chips N3.

Ejemplo:

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done

Agregar un perfil SSL y habilitar la interceptación SSL mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

Argumentos:

Intercepción SSL:

          Habilite o deshabilite la interceptación de sesiones SSL.

Valores          posibles: ENABLED, DISABLED

Valor          predeterminado: DISABLED

- ¿Por que?

          Habilite o deshabilite la activación de la renegociación del cliente cuando se recibe una solicitud de renegociación desde el servidor de origen.

Valores          posibles: ENABLED, DISABLED

Valor          predeterminado: ENABLED

SSLIOCSPCheck:

          Habilitar o deshabilitar la comprobación OCSP para un certificado de servidor de origen.

Valores          posibles: ENABLED, DISABLED

Valor          predeterminado: ENABLED

Servidor SSLIMaxsEssper:

Número          máximo de sesiones SSL que se van a almacenar en caché por servidor de origen dinámico. Se crea una sesión SSL única para cada extensión SNI recibida del cliente en un mensaje de saludo del cliente. La sesión coincidente se utiliza para la reutilización de la sesión del servidor.

Valor          predeterminado: 10

Valor          mínimo: 1

Valor          máximo: 1000

Ejemplo:

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done

Vincular un certificado de CA de intercepción SSL a un profle SSL mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

Ejemplo:

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done

Vincular un certificado de CA de intercepción SSL a un profle SSL mediante la GUI de Citrix SWG

  1. Vaya a Sistema > Perfiles > Perfil SSL.

  2. Haga clic en Agregar.

  3. Especifique un nombre para el perfil.

  4. Habilite la intercepción de sesiones SSL.

  5. Haga clic en Aceptar.

  6. En Configuración avanzada, haga clic en Clave de certificado.

  7. Especifique una clave de certificado de CA SSLi para enlazar con el perfil.

  8. Haga clic en Seleccionar y, a continuación, haga clic en Vincular.

  9. Opcionalmente, configure los cifrados para que se adapten a su implementación.

    • Haga clic en el icono de edición y, a continuación, haga clic en Agregar.
    • Seleccione uno o más grupos de cifrado y haga clic en la flecha derecha.
    • Haga clic en Aceptar.
  10. Haga clic en Done.

Vincular un perfil SSL a un servidor proxy mediante la GUI de Citrix SWG

  1. Vaya a Secure Web Gateway > Servidores proxy y agregue un nuevo servidor o seleccione un servidor que desee modificar.
  2. En Perfil SSL, haga clic en el icono de edición.
  3. En la lista Perfil SSL, seleccione el perfil SSL que creó anteriormente.
  4. Haga clic en Aceptar.
  5. Haga clic en Done.

Perfil de muestra:

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert