Prise en main du proxy de transfert SSL

Important :

  • La vérification OCSP nécessite une connexion Internet pour vérifier la validité des certificats. Si votre appliance n’est pas accessible depuis Internet à l’aide de l’adresse NSIP, ajoutez des listes de contrôle d’accès (ACL) pour effectuer NAT à partir de l’adresse NSIP à l’adresse SNIP du sous-réseau (SNIP). Le SNIP doit être accessible à partir d’Internet. Par exemple, les opérations suivantes peuvent être effectuées :

     add ns acl a1 ALLOW -srcIP = <NSIP> -destIP "!=" 10.0.0.0-10.255.255.255
    
     add rnat RNAT-1 a1 -natIP <SNIP>
    
     bind rnat RNAT-1 -natIP <SNIP>
    
     apply acls
    
  • Spécifiez un serveur de noms DNS pour résoudre les noms de domaine.
  • Assurez-vous que la date de l’appliance est synchronisée avec les serveurs NTP. Si la date n’est pas synchronisée, l’appliance ne peut pas vérifier efficacement si un certificat de serveur d’origine est expiré.

Pour utiliser la fonctionnalité de transfert de proxy SSL, vous devez effectuer les tâches suivantes :

  • Ajoutez un serveur proxy en mode explicite ou transparent.
  • Activer l’interception SSL.
    • Configurez un profil SSL.
    • Ajouter et lier des stratégies SSL au serveur proxy.
    • Ajoutez et liez une paire de clés de certification CA pour l’interception SSL.

Remarque :

Une appliance ADC configurée en mode proxy transparent peut intercepter uniquement les protocoles HTTP et HTTPS. Pour contourner tout autre protocole, tel que telnet, vous devez ajouter la stratégie d’écoute suivante sur le serveur virtuel proxy.

Le serveur virtuel accepte désormais uniquement le trafic entrant HTTP et HTTPS.

set cs vserver transparent-pxy1 PROXY * * -cltTimeout 180 -Listenpolicy "CLIENT.TCP.DSTPORT.EQ(80) || CLIENT.TCP.DSTPORT.EQ(443)"`

Vous devrez peut-être configurer les fonctionnalités suivantes, en fonction de votre déploiement :

  • Service d’authentification (recommandé) — pour authentifier les utilisateurs. Sans le service d’authentification, l’activité de l’utilisateur est basée sur l’adresse IP du client.
  • Filtrage d’URL : pour filtrer les URL par catégories, score de réputation et listes d’URL.
  • Analytics : permet d’afficher l’activité utilisateur, les indicateurs de risque utilisateur, la consommation de bande passante et les transactions dans Citrix Application Delivery Management (ADM).

Remarque : SSL Forward Proxy implémente la plupart des standards HTTP et HTTPS typiques suivis de produits similaires. Cette implémentation est faite sans navigateur spécifique à l’esprit et est compatible avec la plupart des navigateurs courants. SSL Forward Proxy a été testé avec les navigateurs courants et les versions récentes de Google Chrome, Internet Explorer et Mozilla Firefox.

Assistant de transfert de proxy SSL

L’assistant de transfert de proxy SSL fournit aux administrateurs un outil pour gérer l’intégralité du déploiement de proxy de transfert SSL à l’aide d’un navigateur Web. Il aide les clients à mettre rapidement en place un service proxy SSL avancé et aide à simplifier la configuration en suivant une séquence d’étapes bien définies.

  1. Accédez à Sécurité > Proxy de transfert SSL. Dans Mise en route, cliquez sur Assistant Proxy Transférer SSL.

    image localisée

  2. Suivez les étapes de l’Assistant pour configurer votre déploiement.

Ajouter une stratégie d’écoute au serveur proxy transparent

  1. Accédez à Sécurité > Proxy de transfert SSL > Serveurs virtuels proxy . Sélectionnez le serveur proxy transparent et cliquez sur Modifier.

  2. Modifiez les paramètres de base, puis cliquez sur Plus.

  3. Dans Priorité d’écoute, entrez 1.

  4. Dans Listen Policy Expression, entrez l’expression suivante :

    (CLIENT.TCP.DSTPORT.EQ(80)||CLIENT.TCP.DSTPORT.EQ(443))
    

    Cette expression suppose des ports standard pour le trafic HTTP et HTTPS. Si vous avez configuré différents ports, par exemple 8080 pour HTTP ou 8443 pour HTTPS, modifiez l’expression pour refléter ces ports.

Limitations

Le proxy de transfert SSL n’est pas pris en charge dans une configuration de cluster, dans les partitions d’administration et sur une appliance Citrix ADC FIPS.