ADC

Journalisation SSL sélective

Dans un vaste déploiement comprenant des milliers de serveurs virtuels, toutes les informations liées à SSL sont enregistrées. Auparavant, il n’était pas facile de filtrer les succès et les échecs de l’authentification client et de la prise de contact SSL pour quelques serveurs virtuels critiques. L’utilisation de l’ensemble du journal pour obtenir ces informations a été une tâche fastidieuse et fastidieuse car l’infrastructure n’offrait pas le contrôle nécessaire pour filtrer les journaux. Vous pouvez désormais enregistrer les informations relatives au protocole SSL pour un serveur virtuel spécifique ou pour un groupe de serveurs virtuels dans le ns.log. Ces informations sont particulièrement utiles en cas d’échec de débogage.

Avec le paramètre DEBUG, toutes les informations relatives au SSL sont enregistrées ns.log. Toutefois, lorsque vous configurez un profil de journal SSL, seules les informations relatives à l’authentification du client et à la connexion SSL sont enregistrées. Pour enregistrer ces informations, effectuez les opérations suivantes :

  1. Définissez DEBUG sur les paramètres Syslog.
  2. Configurez un profil de journal SSL. Activez la journalisation de l’authentification du client et des échoues/réussites de l’établissement de connexion SSL et des échecs uniquement Tous les quatre sont enregistrés lorsque vous associez le profil de journal SSL au profil SSL. Seuls les échecs ou les succès de l’authentification du client et les échecs ne sont enregistrés que lorsque vous associez le profil de journal SSL à l’action SSL.
  3. Joignez le profil de journal SSL à un profil SSL ou à une action SSL.

Voir l’exemple de sortie ns.log pour une authentification client réussie à la fin de cette page.

Définir le niveau DEBUG

Définissez le niveau du journal Syslog sur DEBUG. À l’invite de commandes, tapez :

set audit syslogParams -logLevel DEBUG

Lorsque le débogage est défini, les journaux SSL pour le front-end (serveurs virtuels) et le back-end (services et groupes de services) sont inclus. Toutefois, la journalisation SSL sélective ne permet de contrôler que le frontal.

Profil de journal SSL

Un profil de journal SSL permet de contrôler la journalisation des événements suivants pour un serveur virtuel ou un groupe de serveurs virtuels :

  • Succès et échecs de l’authentification du client, ou échecs uniquement.

  • Succès et échecs de l’établissement de liaison SSL, ou échecs uniquement.

Par défaut, tous les paramètres sont désactivés.

Un profil de journal SSL peut être défini sur un profil SSL ou sur une action SSL. S’il est défini sur un profil SSL, vous pouvez enregistrer à la fois l’authentification du client et les informations de réussite et d’échec de la prise de contact SSL. Si cette option est définie sur une action SSL, vous pouvez uniquement consigner les informations de réussite et d’échec de l’authentification du client, car la prise de contact est terminée avant l’évaluation de la stratégie.

Le succès et les échecs de l’authentification client et de la prise de contact SSL sont consignés même si vous ne configurez pas de profil de journal SSL. Toutefois, la journalisation sélective n’est possible que si un profil de journal SSL est utilisé.

Remarque :

Le profil de journal SSL est pris en charge dans les configurations de cluster et de haute disponibilité.

Ajouter un profil de journal SSL à l’aide de la CLI

À l’invite de commandes, tapez :

add ssl logprofile <name> [-sslLogClAuth ( ENABLED | DISABLED )] [-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]
<!--NeedCopy-->

Paramètres :

Nom :

Nom du profil de journal SSL. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois le profil créé.

Le nom est un argument obligatoire. Longueur maximale : 127

sslLogClAuth:

Consignez tous les événements d’authentification client. Inclut les événements de réussite et d’échec.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

ssllogClAuthFailures:

Consignez tous les échecs d’authentification du client.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

sslLogHS:

Consigne tous les événements liés à la prise de contact SSL. Inclut les événements de réussite et d’échec.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

sslLogHSfailures:

Enregistrez tous les événements d’échec liés à la prise de contact SSL.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

Exemple :

> add ssl logprofile ssllog10 -sslLogClAuth ENABLED -sslLogHS ENABLED

 Done

sh ssllogprofile ssllog10

1)      Name: ssllog10

        SSL log ClientAuth [Success/Failures] : ENABLED

        SSL log ClientAuth [Failures] : DISABLED

        SSL log Handshake [Success/Failures] : ENABLED

        SSL log Handshake [Failures] : DISABLED

 Done
<!--NeedCopy-->

Ajouter un profil de journal SSL à l’aide de l’interface graphique

Accédez à Système > Profils > Profil de journal SSL et ajoutez un profil.

Modifier un profil de journal SSL à l’aide de la CLI

À l’invite de commandes, tapez :

set ssl logprofile <name> [-sslLogClAuth ( ENABLED | DISABLED )][-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]
<!--NeedCopy-->

Exemple :

set ssllogprofile ssllog10 -ssllogClAuth en -ssllogClAuthFailures en -ssllogHS en -ssllogHSfailures en

Done

sh ssllogprofile ssllog10

    1)            Name: ssllog10

                    SSL log ClientAuth [Success/Failures] : ENABLED
                    SSL log ClientAuth [Failures] : ENABLED
                    SSL log Handshake [Success/Failures] : ENABLED
                    SSL log Handshake [Failures] : ENABLED
     Done
<!--NeedCopy-->

Modifier un profil de journal SSL à l’aide de l’interface graphique

  1. Accédez à Système > Profils > Profil de journal SSL, sélectionnez un profil, puis cliquez sur Modifier.
  2. Apportez des modifications et cliquez sur OK.

Afficher tous les profils de journaux SSL à l’aide de la CLI

À l’invite de commandes, tapez :

sh ssl logprofile
<!--NeedCopy-->

Exemple :

sh ssl logprofile

    1)            Name: ssllogp1
                    SSL log ClientAuth [Success/Failures] : ENABLED
                    SSL log ClientAuth [Failures] : ENABLED
                    SSL log Handshake [Success/Failures] : DISABLED
                    SSL log Handshake [Failures] : ENABLED

    2)            Name: ssllogp2
                    SSL log ClientAuth [Success/Failures] : DISABLED
                    SSL log ClientAuth [Failures] : DISABLED
                    SSL log Handshake [Success/Failures] : DISABLED
                    SSL log Handshake [Failures] : DISABLED

    3)            Name: ssllogp3
                    SSL log ClientAuth [Success/Failures] : DISABLED
                    SSL log ClientAuth [Failures] : DISABLED
                    SSL log Handshake [Success/Failures] : DISABLED
                    SSL log Handshake [Failures] : DISABLED

    4)            Name: ssllog10
                    SSL log ClientAuth [Success/Failures] : ENABLED
                    SSL log ClientAuth [Failures] : ENABLED
                    SSL log Handshake [Success/Failures] : ENABLED
                    SSL log Handshake [Failures] : ENABLED
Done
<!--NeedCopy-->

Afficher tous les profils de journaux SSL à l’aide de l’interface graphique

Accédez à Système > Profils > Profil de journal SSL. Tous les profils sont listés.

Attacher un profil de journal SSL à un profil SSL

Vous pouvez attacher (définir) un profil de journal SSL à un profil SSL lorsque vous créez un profil SSL, ou plus tard en modifiant le profil SSL. Vous pouvez consigner à la fois l’authentification du client et les succès et les échecs de la poignée

Important :

Le profil SSL par défaut doit être activé pour que vous puissiez joindre un profil de journal SSL. Pour plus d’informations sur l’activation du profil SSL par défaut, consultez Activer le profil par défaut.

Attacher un profil de journal SSL à un profil SSL à l’aide de l’interface de ligne de

À l’invite de commandes, tapez :

set ssl profile <name> [-ssllogProfile <string>]
<!--NeedCopy-->

Exemple :

set ssl profile fron_1 -ssllogProfile ssllog10
<!--NeedCopy-->

Attacher un profil de journal SSL à un profil SSL à l’aide de l’interface graphique

  1. Accédez à Système > Profils > Profil SSL.
  2. Cliquez sur Modifier et dans Profil de journal SSL, spécifiez un profil.

Attacher un profil de journal SSL à une action SSL

Vous pouvez définir un profil de journal SSL uniquement lors de la création d’une action SSL. Vous ne pouvez pas modifier une action SSL pour définir le profil de journal. Associez l’action à une stratégie. Vous pouvez uniquement consigner les réussites et les échecs d’authentification des clients.

Attacher un profil de journal SSL à une action SSL à l’aide de la CLI

À l’invite de commandes, tapez :

add ssl action <name> -clientAuth ( DOCLIENTAUTH | NOCLIENTAUTH ) -ssllogProfile <string>
<!--NeedCopy-->

Exemple :

> add ssl action act1 -clientAuth DoCLIENTAUTH -ssllogProfile ssllog10

Done

> sh ssl action act1

    1)            Name: act1
                    Type: Client Authentication (DOCLIENTAUTH)
                    Hits: 0
                    Undef Hits: 0
                    Action Reference Count: 0
                    SSLlogProfile: ssllog10
Done
<!--NeedCopy-->

Attacher un profil de journal SSL à une action SSL à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > Stratégies, puis cliquez sur Actions SSL.
  2. Cliquez sur Ajouter.
  3. Dans Authentification client, sélectionnez ACTIVÉ.
  4. Dans Profil de journal SSL, sélectionnez un profil dans la liste ou cliquez sur « + » pour créer un profil.
  5. Cliquez sur Créer.

Exemple de sortie du fichier journal

Voici un exemple de sortie de journalns.log pour une authentification client réussie.

Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 158 0 :  SPCBId 671 - ClientIP 10.102.1.98 - ClientPort 49451 - VserverServiceIP 10.102.57.82 - VserverServicePort 443 - ClientVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session New - CLIENT_AUTHENTICATED -SerialNumber "2A" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 22 09:15:20 2008 GMT" - ValidTo "Feb  8 09:15:20 2036 GMT" - HandshakeTime 10 ms
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 159 0 :  SPCBId 671 - IssuerName " C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 160 0 :  SPCBId 671 - SubjectName " C=IN,ST=KAR,O=Citrix Pvt Ltd,OU=A,CN=B"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 161 0 :  Backend SPCBId 674 - ServerIP 10.102.57.85 - ServerPort 443 - ProtocolVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session Reuse - SERVER_AUTHENTICATED -SerialNumber "3E" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 24 06:40:37 2008 GMT" - ValidTo "Feb 10 06:40:37 2036 GMT" - HandshakeTime 1 ms
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 162 0 :  SPCBId 674 - IssuerName " C=IN,ST=KAR,O=Citrix Pvt Ltd"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT  0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 163 0 :  SPCBId 674 - SubjectName " C=IN,ST=P,L=Q,O=R"
<!--NeedCopy-->
Journalisation SSL sélective