Citrix ADC

Journalisation SSL sélective

Dans un déploiement important comprenant des milliers de serveurs virtuels, toutes les informations relatives au SSL sont enregistrées. Auparavant, il n’était pas facile de filtrer l’authentification client et les succès et échecs de la poignée de main SSL pour quelques serveurs virtuels critiques. Parcourez tout le journal pour obtenir cette information a été une tâche fastidieuse et fastidieuse car l’infrastructure n’offrait pas le contrôle de filtrer les journaux. Vous pouvez désormais consigner des informations relatives à SSL dansns.log, pour un serveur virtuel spécifique ou pour un groupe de serveurs virtuels. Ces informations sont particulièrement utiles pour les échecs de débogage. Pour consigner ces informations, vous devez ajouter un profil de journal SSL.

Voir l’exemple de sortie ns.log pour une authentification client réussie à la fin de cette page.

Important : définissez le niveau du journal syslog sur DEBUG. À l’invite de commandes, tapez :

set audit syslogParams -logLevel DEBUG

Profil du journal SSL

Un profil de journal SSL permet de contrôler la journalisation des événements suivants pour un serveur virtuel ou un groupe de serveurs virtuels :

  • Succès et échecs de l’authentification du client, ou seulement échecs.

  • SSL succès et échecs de la poignée de main, ou seulement les échecs.

Par défaut, tous les paramètres sont désactivés.

Un profil de journal SSL peut être défini sur un profil SSL ou sur une action SSL. Si défini sur un profil SSL, vous pouvez consigner à la fois l’authentification client et les informations de réussite et d’échec de la poignée de main SSL. Si elle est définie sur une action SSL, vous ne pouvez consigner que les informations de réussite et d’échec de l’authentification du client, car la poignée de main est terminée avant l’évaluation de la stratégie.

L’authentification du client et la réussite et les échecs de la poignée de main SSL sont consignés même si vous ne configurez pas un profil de journal SSL. Cependant, la journalisation sélective n’est possible que si le profil de journal SSL est utilisé.

Remarque :

Le profil de journal SSL est pris en charge dans les configurations de haute disponibilité et de cluster.

Ajouter un profil de journal SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add ssl logprofile <name> [-sslLogClAuth ( ENABLED | DISABLED )] [-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]

Paramètres :

Nom :

Nom du profil de journal SSL. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier le profil après la création du profil.

Le nom est un argument obligatoire. Longueur maximale : 127

sslLogClAuth:

Enregistrez tous les événements d’authentification du client. Comprend les événements de réussite et d’échec.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

ssllogClAuthFailures:

Enregistrez tous les événements d’échec d’authentification client.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

sslLogHS:

Enregistrez tous les événements liés à la poignée de main SSL. Comprend les événements de réussite et d’échec.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

sslLogHSfailures:

Enregistrez tous les événements d’échec liés à la poignée de main SSL.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

Exemple :

> add ssl logprofile ssllog10 -sslLogClAuth ENABLED -sslLogHS ENABLED

 Done

sh ssllogprofile ssllog10

1)      Name: ssllog10

        SSL log ClientAuth [Success/Failures] : ENABLED

        SSL log ClientAuth [Failures] : DISABLED

        SSL log Handshake [Success/Failures] : ENABLED

        SSL log Handshake [Failures] : DISABLED

 Done

Ajouter un profil de journal SSL à l’aide de l’interface graphique

Accédez à Système > Profils > Profil de journal SSL et ajoutez un profil.

Modifier un profil de journal SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set ssl logprofile <name> [-sslLogClAuth ( ENABLED | DISABLED )][-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]

Exemple :

set ssllogprofile ssllog10 -ssllogClAuth en -ssllogClAuthFailures en -ssllogHS en -ssllogHSfailures en

Done

sh ssllogprofile ssllog10

    1)            Name: ssllog10

                    SSL log ClientAuth [Success/Failures] : ENABLED
                    SSL log ClientAuth [Failures] : ENABLED
                    SSL log Handshake [Success/Failures] : ENABLED
                    SSL log Handshake [Failures] : ENABLED
     Done

Modifier un profil de journal SSL à l’aide de l’interface graphique

  1. Accédez à Système > Profils > Profil du journal SSL, sélectionnez un profil et cliquez sur Modifier.
  2. Effectuez des modifications et cliquez sur OK.

Afficher tous les profils de journaux SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

sh ssl logprofile

Exemple :

sh ssl logprofile

    1)            Name: ssllogp1
                    SSL log ClientAuth [Success/Failures] : ENABLED
                    SSL log ClientAuth [Failures] : ENABLED
                    SSL log Handshake [Success/Failures] : DISABLED
                    SSL log Handshake [Failures] : ENABLED

    2)            Name: ssllogp2
                    SSL log ClientAuth [Success/Failures] : DISABLED
                    SSL log ClientAuth [Failures] : DISABLED
                    SSL log Handshake [Success/Failures] : DISABLED
                    SSL log Handshake [Failures] : DISABLED

    3)            Name: ssllogp3
                    SSL log ClientAuth [Success/Failures] : DISABLED
                    SSL log ClientAuth [Failures] : DISABLED
                    SSL log Handshake [Success/Failures] : DISABLED
                    SSL log Handshake [Failures] : DISABLED

    4)            Name: ssllog10
                    SSL log ClientAuth [Success/Failures] : ENABLED
                    SSL log ClientAuth [Failures] : ENABLED
                    SSL log Handshake [Success/Failures] : ENABLED
                    SSL log Handshake [Failures] : ENABLED
Done

Afficher tous les profils de journaux SSL à l’aide de l’interface graphique

Accédez à Système > Profils > Profil du journal SSL. Tous les profils sont répertoriés.

Attacher un profil de journal SSL à un profil SSL

Vous pouvez attacher (définir) un profil de journal SSL sur un profil SSL lorsque vous créez un profil SSL, ou ultérieurement en modifiant le profil SSL. Vous pouvez consigner à la fois l’authentification du client et les succès et échecs de la poignée de main.

Important :

Le profil SSL par défaut doit être activé avant de pouvoir joindre un profil de journal SSL.

Joindre un profil de journal SSL sur un profil SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set ssl profile <name> [-ssllogProfile <string>]

Exemple :

set ssl profile fron_1 -ssllogProfile ssllog10

Attacher un profil de journal SSL à un profil SSL à l’aide de l’interface graphique

  1. Accédez à Système > Profils > Profil SSL.
  2. Cliquez sur Modifier et dans SSL Log Profile, spécifiez un profil.

Attacher un profil de journal SSL à une action SSL

Vous pouvez définir un profil de journal SSL uniquement lors de la création d’une action SSL. Vous ne pouvez pas modifier une action SSL pour définir le profil du journal. Associer l’action à une stratégie. Vous ne pouvez consigner que les succès et les échecs d’authentification du client.

Attacher un profil de journal SSL à une action SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add ssl action <name> -clientAuth ( DOCLIENTAUTH | NOCLIENTAUTH ) -ssllogProfile <string>

Exemple :

> add ssl action act1 -clientAuth DoCLIENTAUTH -ssllogProfile ssllog10

Done

> sh ssl action act1

    1)            Name: act1
                    Type: Client Authentication (DOCLIENTAUTH)
                    Hits: 0
                    Undef Hits: 0
                    Action Reference Count: 0
                    SSLlogProfile: ssllog10
Done

Attacher un profil de journal SSL à une action SSL à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > Stratégies et cliquez sur Actions SSL.
  2. Cliquez sur Add.
  3. Dans Authentification du client, sélectionnez Activé.
  4. Dans SSL Log Profile, sélectionnez un profil dans la liste ou cliquez sur « + » pour créer un profil.
  5. Cliquez sur Créer.

Exemple de sortie du fichier journal

Voici un exemple de sortie de journalns.log pour une authentification client réussie.

Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 158 0 :  SPCBId 671 - ClientIP 10.102.1.98 - ClientPort 49451 - VserverServiceIP 10.102.57.82 - VserverServicePort 443 - ClientVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session New - CLIENT_AUTHENTICATED -SerialNumber "2A" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 22 09:15:20 2008 GMT" - ValidTo "Feb  8 09:15:20 2036 GMT" - HandshakeTime 10 ms
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 159 0 :  SPCBId 671 - IssuerName " C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 160 0 :  SPCBId 671 - SubjectName " C=IN,ST=KAR,O=Citrix Pvt Ltd,OU=A,CN=B"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 161 0 :  Backend SPCBId 674 - ServerIP 10.102.57.85 - ServerPort 443 - ProtocolVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session Reuse - SERVER_AUTHENTICATED -SerialNumber "3E" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 24 06:40:37 2008 GMT" - ValidTo "Feb 10 06:40:37 2036 GMT" - HandshakeTime 1 ms
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 162 0 :  SPCBId 674 - IssuerName " C=IN,ST=KAR,O=Citrix Pvt Ltd"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 163 0 :  SPCBId 674 - SubjectName " C=IN,ST=P,L=Q,O=R"

Journalisation SSL sélective