Déchargement et accélération SSL

Profil frontal sécurisé

En plus d’un frontal par défaut et d’un profil principal par défaut, un nouveau profil frontal sécurisé par défaut est disponible à partir de la version 12.1. Les paramètres requis pour une note A+ (à partir de mai 2018) de Qualys SSL Labs sont préchargés dans ce profil. Auparavant, vous deviez définir explicitement chacun des paramètres requis pour une évaluation A+ sur un profil frontal SSL ou un serveur virtuel SSL. Vous pouvez maintenant lier le profil ns_default_ssl_profile_secure_frontend à votre serveur virtuel SSL et les paramètres requis sont automatiquement définis sur votre serveur virtuel SSL.

Remarque :

Le profil frontal sécurisé n’est pas modifiable.

Lorsque vous activez le profil par défaut, le profil frontal par défaut est automatiquement lié à tous les serveurs virtuels SSL. Pour obtenir une note A+, vous devez lier explicitement le profil ns_default_ssl_profile_secure_frontend et lier également un certificat de serveur SHA2/SHA256 à votre serveur virtuel SSL.

Paramètres sécurisés du profil frontal

Les paramètres avec leurs paramètres par défaut sont répertoriés ci-dessous :

SSLv3: DISABLED  TLSv1.0: DISABLED  TLSv1.1: DISABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED

Deny SSL Renegotiation: NONSECURE

HSTS: ENABLED

HSTS IncludeSubDomains: YES

HSTS Max-Age: 15552000

Cipher Name: SECURE    Priority :1

Secure cipher alias

Un nouvel alias de chiffrement sécurisé est ajouté et lié au profil frontal sécurisé. Pour répertorier les chiffrements qui font partie de cet alias, à l’invite de commandes, tapez : show cipher SECURE

show cipher SECURE

    1) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 1
           Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
    2) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 2
           Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
    3) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384            Priority : 3
           Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
    4) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256            Priority : 4
           Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
Done

Configuration

Procédez comme suit :

  1. Ajoutez un serveur virtuel d’équilibrage de charge de type SSL.
  2. Liez un certificat SHA2/SHA256.
  3. Activez le profil par défaut.
  4. Liez le profil frontal sécurisé au serveur virtuel SSL.

Obtenez une note A+ pour un serveur virtuel SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add lb vserver <name> <serviceType> <IPAddress> <port>
bind ssl vserver <vServerName> -certkeyName <string>
set ssl parameter -defaultProfile ENABLED
set ssl vserver <vServerName> -sslProfile ns_default_ssl_profile_secure_frontend
show ssl vserver [<vServerName>]

Exemple :

add lb vserver ssl-vsvr SSL 192.0.2.240 443

bind ssl vserver ssl-vsvr -certkeyName letrsa

set ssl parameter -defaultProfile ENABLED

Save your configuration before enabling the Default profile. You cannot undo the changes. Are you sure you want to enable the Default profile? [Y/N]y

set ssl vserver ssl-vsvr -sslProfile ns_default_ssl_profile_secure_frontend
sh ssl vserver ssl-vsvr

    Advanced SSL configuration for VServer ssl-vsvr:
    Profile Name :ns_default_ssl_profile_secure_frontend
    1) CertKey Name: letrsa     Server Certificate
Done
sh ssl profile ns_default_ssl_profile_secure_frontend

    1) Name: ns_default_ssl_profile_secure_frontend (Front-End)
    SSLv3: DISABLED  TLSv1.0: DISABLED  TLSv1.1: DISABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Client Auth: DISABLED
    Use only bound CA certificates: DISABLED
    Strict CA checks:                  NO
    Session Reuse: ENABLED   Timeout: 120 seconds
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED     Refresh Count: 0
    Deny SSL Renegotiation                NONSECURE
    Non FIPS Ciphers: DISABLED
    Cipher Redirect: DISABLED
    SSL Redirect: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1
    Push Encryption Trigger: Always
    PUSH encryption trigger timeout:  1 ms
    SNI: DISABLED
    OCSP Stapling: DISABLED
    Strict Host Header check for SNI enabled SSL sessions:                    NO
    Push flag:             0x0 (Auto)
    SSL quantum size:                8 kB
    Encryption trigger timeout       100 mS
    Encryption trigger packet count: 45
    Subject/Issuer Name Insertion Format:  Unicode
    SSL Interception: DISABLED
    SSL Interception OCSP Check: ENABLED
    SSL Interception End to End Renegotiation: ENABLED
    SSL Interception Maximum Reuse Sessions per Server:   10
    Session Ticket: DISABLED
    HSTS: ENABLED
    HSTS IncludeSubDomains: YES
    HSTS Max-Age: 15552000
    ECC Curve: P_256, P_384, P_224, P_521
    1) Cipher Name: SECURE    Priority :1
    Description: Predefined Cipher Alias
    1) Vserver Name: v2
Done

Obtenez une note A+ pour un serveur virtuel SSL à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis sélectionnez un serveur virtuel SSL.
  2. Dans Paramètres avancés, cliquez sur Profil SSL.
  3. Sélectionnez ns_default_ssl_profile_secure_frontend.
  4. Cliquez sur OK.
  5. Cliquez sur Terminé.
Profil frontal sécurisé