Concepts avancés

Modèle de conception validé des profils SSL de Citrix ADC

Vue d’ensemble

Récapitulatif de Citrix ADC

Citrix ADC est un contrôleur de mise à disposition d’applications tout-en-un qui permet d’exécuter les applications jusqu’à cinq fois mieux, réduit les coûts de propriété des applications, optimise l’expérience utilisateur et garantit que les applications sont toujours disponibles à l’aide de :

  • Équilibrage de charge avancé L4-7 et gestion du trafic
  • Accélération éprouvée des applications comme la compression HTTP et la mise en cache
  • Un pare-feu intégré pour la sécurité des applications
  • Déchargement des serveurs pour réduire considérablement les coûts et consolider les serveurs

En tant que leader incontesté de la fourniture de services et d’applications, Citrix ADC est déployé sur des milliers de réseaux à travers le monde pour optimiser, sécuriser et contrôler la fourniture de tous les services d’entreprise et de cloud. Déployé directement devant les serveurs Web et de base de données, Citrix ADC combine l’équilibrage de charge et la commutation de contenu à grande vitesse, la compression http, la mise en cache du contenu, l’accélération SSL, la visibilité du flux d’applications et un pare-feu d’application puissant dans une plate-forme intégrée et facile à utiliser. Il est beaucoup plus simple de respecter les SLA grâce à une surveillance de bout en bout qui transforme les données réseau en Business Intelligence exploitable. Citrix ADC permet de définir et de gérer les stratégies à l’aide d’un moteur de stratégie déclarative simple sans expertise en programmation requise.

Présentation des profils SSL Citrix ADC

Vous pouvez utiliser un profil SSL pour spécifier comment un Citrix ADC traite le trafic SSL. Le profil est un ensemble de paramètres SSL pour les entités SSL, telles que les serveurs virtuels, les services et les groupes de services, et offre une configuration facile et une flexibilité. Vous n’êtes pas limité à la configuration d’un seul ensemble de paramètres globaux. Vous pouvez créer plusieurs ensembles (profils) de paramètres globaux et affecter différents ensembles à différentes entités SSL. Les profils SSL sont classés en deux catégories :

  • Profils frontaux contenant les paramètres applicables à l’entité frontale. En d’autres termes, ils s’appliquent à l’entité qui reçoit les demandes d’un client.
  • Profils principaux contenant les paramètres applicables à l’entité principale. En d’autres termes, ils s’appliquent à l’entité qui envoie les demandes des clients à un serveur.

Contrairement à un profil TCP ou HTTP, un profil SSL est facultatif. Une fois que les profils SSL (paramètre global) sont activés, tous les points de terminaison SSL héritent des profils par défaut. Le même profil peut être réutilisé sur plusieurs entités. Si aucun profil n’est attaché à une entité, les valeurs définies au niveau global s’appliquent. Pour les services apprises de manière dynamique, les valeurs globales actuelles s’appliquent.

Par rapport à la méthode alternative qui nécessite la configuration des paramètres SSL, des chiffrements et des courbes ECC sur des points de terminaison SSL individuels, les profils SSL sur Citrix ADC simplifient la gestion de la configuration en agissant comme un point unique de configuration SSL pour tous les points de terminaison associés. En outre, les problèmes de configuration tels que la réorganisation du chiffrement et les temps d’arrêt lorsque les chiffrements sont réorganisés sont résolus avec l’utilisation de profils SSL.

Les profils SSL aident à définir les paramètres SSL requis et les liaisons de chiffrement sur les points de terminaison SSL sur lesquels on ne pouvait traditionnellement pas définir ces paramètres et liaisons. Les profils SSL peuvent également être configurés sur des moniteurs sécurisés.

Le tableau suivant répertorie les paramètres qui font partie de chaque profil :

Profil frontal Profil principal
cipherRedirect, cipherURL denySSLReneg
clearTextPort* encryptTriggerPktCount
clientAuth, clientCert nonFipsCiphers
denySSLReneg pushEncTrigger
dh, dhFile, dhCount pushEncTriggerTimeout
dropReqWithNoHostHeader pushFlag
encryptTriggerPktCount quantumSize
eRSA, eRSACount serverAuth
insertionEncoding commonName
nonFipsCiphers sessReuse, sessTimeout
pushEncTrigger SNIEnable
pushEncTriggerTimeout ssl3
pushFlag sslTriggerTimeout
quantumSize strictCAChecks
redirectPortRewrite TLS 1.0, TLS 1.1, TLS 1.2
sendCloseNotify  
sessReuse, sessTimeout  
SNIEnable  
ssl3  
sslRedirect  
sslTriggerTimeout  
strictCAChecks  
tls1, tls11, tls12  

* Le paramètre ClearTextPort s’applique uniquement à un serveur virtuel SSL.

Un message d’erreur s’affiche si vous essayez de définir un paramètre qui ne fait pas partie du profil (par exemple, si vous essayez de définir le paramètre ClientAuth dans un profil principal).

Certains paramètres SSL, tels que la taille de la mémoire CRL, la taille du cache OCSP, le contrôle UndefAction et les données UndefAction, ne font partie d’aucun des profils ci-dessus, car ces paramètres sont indépendants des entités. Ces paramètres sont présents dans Gestion du trafic > SSL > Paramètres SSL avancés.

Un profil SSL prend en charge les opérations suivantes :

  • Add : crée un profil SSL sur Citrix ADC. Spécifiez si le profil est frontal ou principal. Front end est la valeur par défaut.

  • Set : modifie les paramètres d’un profil existant.

  • Unset : définit les paramètres spécifiés sur leurs valeurs par défaut. Si vous ne spécifiez aucun paramètre, un message d’erreur s’affiche. Si vous désactivez un profil sur une entité, le profil est indépendant de l’entité.

  • Remove : supprime un profil. Un profil utilisé par une entité ne peut pas être supprimé. La suppression de la configuration supprime toutes les entités. Par conséquent, les profils sont également supprimés.

  • Bind : lie un profil à un serveur virtuel.

  • Unbind : délie un profil d’un serveur virtuel.

  • Afficher : affiche tous les profils disponibles sur Citrix ADC. Si un nom de profil est spécifié, les détails de ce profil sont affichés. Si une entité est spécifiée, les profils associés à cette entité sont affichés.


Cas d’utilisation des profils SSL

Profils par défaut SSL

Les appliances Citrix ADC sont livrés avec deux profils par défaut intégrés :

  1. ns_default_ssl_profile_frontend — profil frontal par défaut pour tous les serveurs virtuels de type SSL et les services internes.

  2. ns_default_ssl_profile_backend — profil principal par défaut pour les services de type SSL, les groupes de services et les moniteurs sécurisés.

Tout nouveau point de terminaison créé obtient le profil SSL par défaut correspondant lié.

Il est possible de modifier les paramètres SSL et les chiffrements des profils SSL par défaut. Cela garantit que les clients peuvent modifier les paramètres et les liaisons à un point qui est référencé par les points de terminaison correspondants.

Important :

Enregistrez votre configuration avant de mettre à niveau le logiciel et d’activer les profils par défaut.

Mettez à niveau le logiciel vers une version qui prend en charge l’infrastructure de profil améliorée, puis activez les profils par défaut. Vous pouvez adopter l’une des deux approches en fonction de votre déploiement spécifique. Si votre déploiement a une configuration SSL commune à travers les points d’extrémité, reportez-vous au cas d’utilisation 1. Si votre déploiement a une configuration SSL importante et que les paramètres SSL et les chiffrements ne sont pas courants entre les points de terminale, reportez-vous au cas d’utilisation 2.

Après la mise à niveau du logiciel, si vous activez le profil, vous ne pouvez pas inverser les modifications. Autrement dit, le profil ne peut pas être désactivé. Par conséquent, la seule façon d’inverser la modification est de redémarrer en utilisant l’ancienne configuration.

Remarque : Une seule opération (Activer le profil par défaut ou définir le paramètre ssl -defaultProfile ENABLED) active (lie) à la fois le profil frontal par défaut et le profil principal par défaut.

Remarque : les profils SSL par défaut sont désormais disponibles pour le clustering à partir de la version 11.1

Pour enregistrer la configuration à l’aide de la ligne de commande Citrix ADC, à l’invite de commandes, tapez :

>save config

>shell

root@ns# cd /nsconfig

root@ns# cp ns.conf ns.conf.NS<currentreleasenumber><currentbuildnumber>
<!--NeedCopy-->

Cas d’utilisation 1

Une fois que vous avez activé les profils par défaut, ils sont liés à tous les points de terminaison SSL. Les profils par défaut sont modifiables. Si votre déploiement utilise la plupart des paramètres par défaut et ne modifie que quelques paramètres, vous pouvez modifier les profils par défaut. Les modifications sont immédiatement répercutées sur tous les points finaux.

L’organigramme suivant explique les étapes que vous devez effectuer :

image-ssl-profiles-01

  1. Pour plus d’informations sur la mise à niveau du logiciel, reportez-vous à la section Mise à niveau du logiciel système.

  2. Activez les profils par défaut à l’aide de la ligne de commande ou de l’interface graphique de Citrix ADC.
    • Sur la ligne de commande, tapez : set ssl paramètre -DefaultProfile ENABLED
    • Si vous préférez utiliser l’interface utilisateur graphique, accédez à Gestion du trafic > SSL > Modifier les paramètres SSL avancés, faites défiler vers le bas et sélectionnez Activer le profil par défaut.
  3. (Facultatif) Modifiez manuellement tous les paramètres du profil par défaut.
    • Sur la ligne de commande, tapez :set ssl profile <name> suivi des paramètres à modifier.
    • Si vous préférez utiliser l’interface utilisateur graphique, accédez à Système > Profils. Dans Profils SSL, sélectionnez un profil et cliquez sur Modifier.

Cas d’utilisation 2

Si votre déploiement utilise des paramètres spécifiques pour la plupart des entités SSL, vous pouvez exécuter un script qui crée automatiquement des profils personnalisés pour chaque point final et les lie au point final. Utilisez la procédure décrite dans cette section pour conserver les paramètres SSL pour tous les points d’extrémité SSL de votre déploiement. Après la mise à niveau du logiciel, téléchargez et exécutez un script de migration pour capturer les modifications spécifiques à SSL. La sortie de l’exécution de ce script est un fichier batch. Activez les profils par défaut, puis appliquez les commandes dans le fichier de commandes. Voir l’annexe pour un exemple de migration de la configuration SSL après la mise à niveau.

L’organigramme suivant explique les étapes que vous devez effectuer :

image-ssl-profiles-02

  1. Pour plus d’informations sur la mise à niveau du logiciel, reportez-vous à la section Mise à niveau du logiciel système.

  2. Téléchargez et exécutez un script pour capturer les modifications spécifiques à SSL. Outre d’autres activités de migration, le script analyse l’ancien fichier ns.conf et déplace tous les paramètres spéciaux (autres que la valeur par défaut) d’une configuration de point d’extrémité SSL vers un profil personnalisé. Vous devez activer les profils par défaut après la mise à niveau pour que les modifications de configuration s’appliquent.

    Remarque :

    Lorsque vous exécutez le script de migration, vous pouvez choisir de générer automatiquement les noms de profil ou vous pouvez demander à l’utilisateur de saisir les noms de profil de manière interactive. Le script de migration vérifie ce qui suit et crée des fichiers pro en conséquence.

    • Points de fin avec les paramètres par défaut et les paramètres de chiffrement et de groupe de chiffrement similaires : Le script crée un profil.
    • Points de terminaison avec les paramètres par défaut et avec différents groupes de chiffrement ou priorités pour les groupes de chiffres/chiffrement : dans chaque cas, le script crée un groupe de chiffrement défini par l’utilisateur, le lie à un profil et lie chaque profil aux points d’extrémité appropriés.
    • Points de terminaison avec les paramètres par défaut et les chiffrements par défaut : un profil par défaut est lié au point de fin.
    To run the script, at the command prompt, type:
    
    ./default_profile_script /nsconfig/ns.conf -b > <output file name>`
    <!--NeedCopy-->
    
    You must run this command from the folder in which you store the script.
    
  3. Activez les profils par défaut à l’aide de la ligne de commande ou de l’interface graphique de Citrix ADC.

    • Sur la ligne de commande, tapez : set ssl parameter -defaultProfile ENABLED
    • Si vous préférez utiliser l’interface utilisateur graphique, accédez à Gestion du trafic > SSL > Modifier les paramètres SSL avancés, faites défiler vers le bas et sélectionnez Activer le profil par défaut.

Profils SSL personnalisés

Outre les profils SSL par défaut, les clients peuvent créer des profils SSL frontaux et principaux personnalisés pour des cas d’utilisation spécifiques. Il peut y avoir des scénarios où différentes applications nécessitent différents chiffrements et paramètres SSL. Dans ce cas, les clients peuvent créer de nouveaux profils et les lier aux points de terminaison.

Il n’y a pas de limite supérieure sur le nombre de profils personnalisés qui peuvent être créés dans un système.

Consultez la documentation des profils SSL pour plus d’informations sur la façon d’activer les profils SSL et plus encore.


Profils frontaux SSL

Les profils SSL frontaux sont liés aux serveurs virtuels de type SSL et aux services internes. Les profils frontaux sont applicables à tous les serveurs virtuels de type SSL dans les catégories serveur virtuel d’équilibrage de charge, serveur virtuel de commutation de contenu, serveur virtuel AAA-TM et serveur virtuel Gateway VPN.

Les types de serveurs virtuels suivants prennent en charge les profils frontaux : SSL, SSL_TCP, SIP_SSL, SSL_FIX et SSL_DIAMETER.

Tous les services internes prennent en charge les profils frontaux.


Profils principaux SSL

Les profils principaux sont liés aux services de type SSL, aux groupes de services et aux moniteurs sécurisés. Les services et les groupes de services suivants prennent en charge les profils principaux : SSL, SSL_TCP, SIP_SSL, SSL_FIX, SSL_DIAMETER.

Certains moniteurs peuvent être configurés pour vérifier l’intégrité des serveurs principaux sur des connexions sécurisées. Les profils SSL peuvent être liés à de tels moniteurs pour configurer les paramètres SSL et les chiffrements. Ces moniteurs sont HTTP, HTTP-ECV, HTTP-INLINE, TCP et TCP-ECV.

Modèle de conception validé des profils SSL de Citrix ADC