Perfil SSL
Un perfil SSL es una colección de configuraciones SSL, como cifrados y protocolos. Un perfil es útil si tiene una configuración común para diferentes servidores. En lugar de especificar la misma configuración para cada servidor, puede crear un perfil, especificar la configuración en el perfil y, a continuación, enlazar el perfil a diferentes servidores. Si no se crea un perfil SSL front-end personalizado, el perfil front-end predeterminado está enlazado a entidades del lado cliente. Este perfil le permite configurar los parámetros para administrar las conexiones del lado del cliente. Para la intercepción SSL, debe crear un perfil SSL y habilitar la intercepción SSL (SSLi) en el perfil. Un grupo de cifrado predeterminado está enlazado a este perfil, pero puede configurar más cifrados para adaptarse a su implementación. Debe enlazar un certificado de CA SSLi a este perfil y, a continuación, enlazar el perfil a un servidor proxy. Para la interceptación SSL, los parámetros esenciales de un perfil son los que se utilizan para comprobar el estado OCSP del certificado del servidor de origen, activar la renegociación del cliente si el servidor de origen solicita la renegociación y verificar el certificado del servidor de origen antes de volver a utilizar la sesión SSL front-end. Debe utilizar el perfil backend predeterminado al comunicarse con los servidores de origen. Establezca los parámetros del lado del servidor, como conjuntos de cifrado, en el perfil de back-end predeterminado. No se admite un perfil de back-end personalizado.
Para ver ejemplos de la configuración SSL más utilizada, consulte “Perfil de muestra” al final de esta sección.
El soporte de cifrado/protocolo difiere en la red interna y externa. En las tablas siguientes, la conexión entre los usuarios y un dispositivo SWG es la red interna. La red externa se encuentra entre el dispositivo e Internet.
Tabla 1: Tabla de compatibilidad de cifrados/protocolos para la red interna
| (cifrado/protocolo) /Plataforma | MPX (N3) * | VPX |
|---|---|---|
| TLS 1.1/1.2 | 12,1 | 12,1 |
| ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) | 12,1 | 12,1 |
| AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) | 12,1 | 12,1 |
| Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) | 12,1 | 12,1 |
| ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) | 12,1 | 12,1 |
Tabla 2: Tabla de compatibilidad de cifrados/protocolos para la red externa
| (cifrado/protocolo) /Plataforma | MPX (N3) * | VPX |
|---|---|---|
| TLS 1.1/1.2 | 12,1 | 12,1 |
| ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) | 12,1 | 12,1 |
| AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) | 12,1 | 12,1 |
| Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) | 12,1 | 12,1 |
| ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) | 12,1 | No se admite |
* Utilice el comando sh hardware (show hardware) para identificar si el dispositivo tiene chips N3.
Ejemplo:
sh hardware
Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
Manufactured on: 8/19/2013
CPU: 2900MHZ
Host Id: 1006665862
Serial no: ENUK6298FT
Encoded serial no: ENUK6298FT
Done
<!--NeedCopy-->
Agregue un perfil SSL y habilite la intercepción SSL mediante la CLI de Citrix SWG
En el símbolo del sistema, escriba:
add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>
Argumentos:
IntercepciónSSLIntercepción:
Habilitar o inhabilitar la interceptación de sesiones SSL.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: DISABLED
SSLIreneg:
Habilitar o inhabilitar la activación de la renegociación del cliente cuando se recibe una solicitud de renegociación del servidor de origen.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: ENABLED
ComprobaciónSSLIOCSPCheck:
Habilitar o inhabilitar la comprobación de OCSP para un certificado de servidor de origen.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: ENABLED
sslimaxsessperServer:
Número máximo de sesiones SSL que se almacenarán en caché por servidor de origen dinámico. Se crea una sesión SSL única para cada extensión SNI recibida del cliente en un mensaje de saludo de cliente. La sesión coincidente se utiliza para la reutilización de la sesión del servidor.
Valor predeterminado: 10
Valor mínimo: 1
Valor máximo: 1000
Ejemplo:
add ssl profile swg_ssl_profile -sslinterception ENABLED
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Enlazar un certificado de CA de interceptación SSL a un perfil SSL mediante la CLI de Citrix SWG
En el símbolo del sistema, escriba:
bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >
Ejemplo:
bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
Done
<!--NeedCopy-->
Enlazar un certificado de CA de interceptación SSL a un perfil SSL mediante la GUI de Citrix SWG
-
Vaya a Sistema > Perfiles > Perfil SSL.
-
Haga clic en Agregar.
-
Especifique un nombre para el perfil.
-
Habilite la intercepción de sesiones SSL.
-
Haga clic en OK.
-
En Configuración avanzada, haga clic en Clave de certificado.
-
Especifique una clave de certificado de CA SSLi para enlazar al perfil.
-
Haga clic en Seleccionar y, a continuación, haga clic en Vincular.
-
Opcionalmente, configure los cifrados para que se adapten a su implementación.
- Haga clic en el icono de edición y, a continuación, haga clic en Agregar.
- Seleccione uno o más grupos de cifrado y haga clic en la flecha derecha.
- Haga clic en OK.
-
Haga clic en Done.
Enlazar un perfil SSL a un servidor proxy mediante la GUI de Citrix SWG
- Desplácese hasta Secure Web Gateway > Servidores proxyy agregue un nuevo servidor o seleccione un servidor que desee modificar.
- En Perfil SSL, haga clic en el icono de edición.
- En la lista Perfil SSL, seleccione el perfil SSL que creó anteriormente.
- Haga clic en OK.
- Haga clic en Done.
Perfil de muestra:
Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->
En este artículo
- Agregue un perfil SSL y habilite la intercepción SSL mediante la CLI de Citrix SWG
- Enlazar un certificado de CA de interceptación SSL a un perfil SSL mediante la CLI de Citrix SWG
- Enlazar un certificado de CA de interceptación SSL a un perfil SSL mediante la GUI de Citrix SWG
- Enlazar un perfil SSL a un servidor proxy mediante la GUI de Citrix SWG