Citrix ADC

Profil SSL hérité

Remarque :

Citrix recommande d’utiliser les profils améliorés au lieu des profils hérités. Pour plus d’informations sur l’infrastructure de profil améliorée, reportez-vous à la section Infrastructure de profil SSL.

Important :

Vous devez lier un profil SSL à un serveur virtuel SSL. Ne liez pas un profil DTLS à un serveur virtuel SSL. Pour plus d’informations sur les profils DTLS, reportez-vous à la section Profils DTLS.

Vous pouvez utiliser un profil SSL pour spécifier comment un Citrix ADC traite le trafic SSL. Le profil est un ensemble de paramètres SSL pour les entités SSL, telles que les serveurs virtuels, les services et les groupes de services, et offre une configuration facile et une flexibilité. Vous n’êtes pas limité à la configuration d’un seul ensemble de paramètres globaux. Vous pouvez créer plusieurs ensembles (profils) de paramètres globaux et affecter différents ensembles à différentes entités SSL. Les profils SSL sont classés en deux catégories :

  • Profils frontaux, contenant les paramètres applicables à l’entité frontale. Autrement dit, ils s’appliquent à l’entité qui reçoit des demandes d’un client.
  • Profils backend, contenant les paramètres applicables à l’entité back-end. Autrement dit, ils s’appliquent à l’entité qui envoie des demandes client à un serveur.

Contrairement à un profil TCP ou HTTP, un profil SSL est facultatif. Par conséquent, il n’y a pas de profil SSL par défaut. Le même profil peut être réutilisé sur plusieurs entités. Si aucun profil n’est attaché à une entité, les valeurs définies au niveau global s’appliquent. Pour les services apprises de manière dynamique, les valeurs globales actuelles s’appliquent.

Le tableau suivant répertorie les paramètres qui font partie de chaque profil.

Profil d’extrémité avant Profil backend
cipherRedirect, cipherURL denySSLReneg
clearTextPort* encryptTriggerPktCount
clientAuth, clientCert nonFipsCiphers
denySSLReneg pushEncTrigger
dh, dhFile, dhCount pushEncTriggerTimeout
dropReqWithNoHostHeader pushFlag
encryptTriggerPktCount quantumSize
eRSA, eRSACount serverAuth
insertionEncoding commonName
nonFipsCiphers sessReuse, sessTimeout
pushEncTrigger SNIEnable
pushEncTriggerTimeout ssl3
pushFlag sslTriggerTimeout
quantumSize strictCAChecks
redirectPortRewrite tls1
sendCloseNotify -
sessReuse, sessTimeout -
SNIEnable -
ssl3 -
sslRedirect -
sslTriggerTimeout -
strictCAChecks -
tls1, tls11, tls12 -

* Le paramètre ClearTextPort s’applique uniquement à un serveur virtuel SSL.

Un message d’erreur s’affiche si vous essayez de définir un paramètre qui ne fait pas partie du profil (par exemple, si vous essayez de définir le paramètre ClientAuth dans un profil principal).

Certains paramètres SSL, tels que la taille de la mémoire CRL, la taille du cache OCSP, le contrôle UndefAction et les données UndefAction, ne font partie d’aucun des profils ci-dessus, car ces paramètres sont indépendants des entités.

Un profil SSL prend en charge les opérations suivantes :

  • Add : crée un profil SSL sur Citrix ADC. Indiquez si le profil est frontal ou backend. Front end est la valeur par défaut.
  • Set : modifie les paramètres d’un profil existant.
  • Unset : définit les paramètres spécifiés sur leurs valeurs par défaut. Si vous ne spécifiez aucun paramètre, un message d’erreur s’affiche. Si vous désactivez un profil sur une entité, le profil est indépendant de l’entité.
  • Remove : supprime un profil. Un profil utilisé par une entité ne peut pas être supprimé. La suppression de la configuration supprime toutes les entités. Par conséquent, les profils sont également supprimés.
  • Show : affiche tous les profils disponibles sur Citrix ADC. Si un nom de profil est spécifié, les détails de ce profil sont affichés. Si une entité est spécifiée, les profils associés à cette entité sont affichés.

Créer un profil SSL à l’aide de l’interface de ligne de commande

  • Pour ajouter un profil SSL, tapez :
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
  • Pour modifier un profil existant, tapez :
set ssl profile <name>
  • Pour annuler la définition d’un profil existant, tapez :
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
  • Pour annuler la définition d’un profil existant d’une entité, tapez :
unset ssl vserver <vServerName> –sslProfile
  • Pour supprimer un profil existant, tapez :
rm ssl profile <name>
  • Pour afficher un profil existant, tapez :
sh ssl profile <name>

Créer un profil SSL à l’aide de l’interface graphique

Accédez à Système > Profils, sélectionnez l’onglet Profils SSL et créez un profil SSL.

Activer un contrôle plus strict sur la validation du certificat client

L’appliance Citrix ADC accepte les certificats CA intermédiaire valides s’ils sont émis par une seule CA racine. Autrement dit, si seul le certificat racine CA est lié au serveur virtuel et que tout certificat intermédiaire envoyé avec le certificat client est validé par ce certificat racine, l’appliance approuve la chaîne de certificats et la négociation réussit.

Toutefois, si un client envoie une chaîne de certificats dans la négociation, aucun des certificats intermédiaires ne peut être validé à l’aide d’un répondeur CRL ou OCSP, sauf si ce certificat est lié au serveur virtuel SSL. Par conséquent, même si l’un des certificats intermédiaires est révoqué, la négociation est réussie. Dans le cadre de la poignée de main, le serveur virtuel SSL envoie la liste des certificats d’autorité de certification qui lui sont liés. Pour un contrôle plus strict, vous pouvez configurer le serveur virtuel SSL pour qu’il accepte uniquement un certificat signé par l’un des certificats d’autorité de certification liés à ce serveur virtuel. Pour ce faire, vous devez activer le paramètre ClientAuthUseBoundCAChain dans le profil SSL lié au serveur virtuel. La poignée de main échoue si le certificat client n’est pas signé par l’un des certificats d’autorité de certification liés au serveur virtuel.

Par exemple, deux certificats clients, clientcert1 et clientcert2, sont signés respectivement par les certificats intermédiaires Int-CA-A et Int-CA-B. Les certificats intermédiaires sont signés par le certificat racine Root-CA. Int-CA-A et Root-CA sont liés au serveur virtuel SSL. Dans le cas par défaut (ClientAuthUseBoundCAChain désactivé), clientcert1 et clientcert2 sont acceptés. Toutefois, si ClientAuthUseBoundCachain est activé, seul clientcert1 est accepté par l’appliance Citrix ADC

Activer un contrôle plus strict sur la validation des certificats client à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez : set ssl profile <name> -ClientAuthUseBoundCAChain Enabled

Activer un contrôle plus strict sur la validation du certificat client à l’aide de l’interface graphique

  1. Accédez à Système > Profils, sélectionnez l’onglet Profils SSL et créez un profil SSL ou sélectionnez un profil existant.
  2. Sélectionnez Activer l’authentification client à l’aide de la chaîne de certification liée.

Profil SSL hérité