Stratégies SSL

Les stratégies de l’appliance Citrix ADC permettent d’identifier les connexions spécifiques que vous souhaitez traiter. Le traitement est basé sur les actions configurées pour cette stratégie particulière. Une fois que vous avez créé la stratégie et configuré une action pour elle, vous devez soit la lier à un serveur virtuel sur l’appliance, de sorte qu’elle ne s’applique qu’au trafic circulant via ce serveur virtuel, soit la lier globalement, de sorte qu’elle s’applique à tout le trafic circulant via n’importe quel serveur virtuel configuré sur le serveur Citrix ADC appliance.

La fonctionnalité SSL de l’appliance Citrix ADC prend en charge les stratégies de syntaxe par défaut (avancées). Pour obtenir une description complète des expressions de syntaxe par défaut, de leur fonctionnement et de leur configuration manuelle, reportez-vous à la section Stratégies et expressions.

Remarque :

Les utilisateurs qui ne sont pas expérimentés dans la configuration de stratégies à l’interface de ligne de commande trouveront généralement l’utilisation de l’utilitaire de configuration beaucoup plus facile.

Les stratégies SSL nécessitent que vous créez une action avant de créer une stratégie, afin que vous puissiez spécifier les actions lors de la création des stratégies. Dans les stratégies de syntaxe par défaut SSL, vous pouvez également utiliser les actions intégrées. Pour plus d’informations sur les actions intégrées, reportez-vous à la section Actions intégrées SSL et actions définies par l’utilisateur.

Stratégies de syntaxe SSL par défaut

Une stratégie de syntaxe SSL par défaut, également appelée stratégie avancée, définit un contrôle ou une action de données à effectuer sur les requêtes. Les stratégies SSL peuvent donc être classées en tant que stratégies de contrôle et de données :

  • Stratégie de contrôle. Une stratégie de contrôle utilise une action de contrôle, telle que forcer l’authentification du client. Remarque : Dans la version 10.5 ou ultérieure, refuser la renégociation SSL (DenySSLReneg) est définie, par défaut, sur ALL. Toutefois, les stratégies de contrôle, telles que CLIENTAUTH, déclenchent une poignée de main de renégociation. Si vous utilisez de telles stratégies, vous devez définir DenySSLreneg sur NO.
  • Politique de données. Une stratégie de données utilise une action de données, telle que l’insertion de certaines données dans la demande.

Les composantes essentielles d’une stratégie sont une expression et une action. L’expression identifie les demandes sur lesquelles l’action doit être effectuée.

Vous pouvez configurer une stratégie de syntaxe par défaut avec une action intégrée ou une action définie par l’utilisateur. Vous pouvez configurer une stratégie avec une action intégrée sans créer d’action distincte. Toutefois, pour configurer une stratégie avec une action définie par l’utilisateur, configurez d’abord l’action, puis configurez la stratégie.

Vous pouvez spécifier une action supplémentaire, appelée action UNDEF, à exécuter dans le cas où l’application de l’expression à une requête a un résultat non défini.

Configuration de la stratégie SSL

Vous pouvez configurer une stratégie de syntaxe SSL par défaut à l’aide de l’interface de ligne de commande et de l’interface graphique.

Configurer une stratégie SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]

Configurer une stratégie SSL à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL > Stratégies et, sous l’onglet Stratégies, cliquez sur Ajouter.