Journalisation SSL sélective
Dans un déploiement important comprenant des milliers de serveurs virtuels, toutes les informations relatives au SSL sont enregistrées. Auparavant, il n’était pas facile de filtrer l’authentification client et les succès et échecs de la poignée de main SSL pour quelques serveurs virtuels critiques. Parcourez tout le journal pour obtenir cette information a été une tâche fastidieuse et fastidieuse car l’infrastructure n’offrait pas le contrôle de filtrer les journaux. Vous pouvez désormais consigner des informations relatives à SSL dansns.log, pour un serveur virtuel spécifique ou pour un groupe de serveurs virtuels. Ces informations sont particulièrement utiles pour les échecs de débogage. Pour consigner ces informations, vous devez ajouter un profil de journal SSL.
Voir l’exemple de sortie ns.log pour une authentification client réussie à la fin de cette page.
Important : définissez le niveau du journal syslog sur DEBUG. À l’invite de commandes, tapez :
set audit syslogParams -logLevel DEBUG
Profil du journal SSL
Un profil de journal SSL permet de contrôler la journalisation des événements suivants pour un serveur virtuel ou un groupe de serveurs virtuels :
-
Succès et échecs de l’authentification du client, ou seulement échecs.
-
SSL succès et échecs de la poignée de main, ou seulement les échecs.
Par défaut, tous les paramètres sont désactivés.
Un profil de journal SSL peut être défini sur un profil SSL ou sur une action SSL. Si défini sur un profil SSL, vous pouvez consigner à la fois l’authentification client et les informations de réussite et d’échec de la poignée de main SSL. Si elle est définie sur une action SSL, vous ne pouvez consigner que les informations de réussite et d’échec de l’authentification du client, car la poignée de main est terminée avant l’évaluation de la stratégie.
L’authentification du client et la réussite et les échecs de la poignée de main SSL sont consignés même si vous ne configurez pas un profil de journal SSL. Toutefois, la journalisation sélective n’est possible que si un profil de journal SSL est utilisé.
Remarque :
Le profil de journal SSL est pris en charge dans les configurations de haute disponibilité et de cluster.
Ajouter un profil de journal SSL à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add ssl logprofile <name> [-sslLogClAuth ( ENABLED | DISABLED )] [-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]
Paramètres :
Nom :
Nom du profil de journal SSL. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). Impossible de modifier le profil après la création du profil.
Le nom est un argument obligatoire. Longueur maximale : 127
sslLogClAuth:
Enregistrez tous les événements d’authentification du client. Comprend les événements de réussite et d’échec.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
ssllogClAuthFailures:
Enregistrez tous les événements d’échec d’authentification client.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
sslLogHS:
Enregistrez tous les événements liés à la poignée de main SSL. Comprend les événements de réussite et d’échec.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
sslLogHSfailures:
Enregistrez tous les événements d’échec liés à la poignée de main SSL.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
Exemple :
> add ssl logprofile ssllog10 -sslLogClAuth ENABLED -sslLogHS ENABLED
Done
sh ssllogprofile ssllog10
1) Name: ssllog10
SSL log ClientAuth [Success/Failures] : ENABLED
SSL log ClientAuth [Failures] : DISABLED
SSL log Handshake [Success/Failures] : ENABLED
SSL log Handshake [Failures] : DISABLED
Done
Ajouter un profil de journal SSL à l’aide de l’interface graphique
Accédez à Système > Profils > Profil de journal SSL et ajoutez un profil.
Modifier un profil de journal SSL à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
set ssl logprofile <name> [-sslLogClAuth ( ENABLED | DISABLED )][-ssllogClAuthFailures ( ENABLED | DISABLED )] [-sslLogHS ( ENABLED | DISABLED )] [-sslLogHSfailures ( ENABLED | DISABLED )]
Exemple :
set ssllogprofile ssllog10 -ssllogClAuth en -ssllogClAuthFailures en -ssllogHS en -ssllogHSfailures en
Done
sh ssllogprofile ssllog10
1) Name: ssllog10
SSL log ClientAuth [Success/Failures] : ENABLED
SSL log ClientAuth [Failures] : ENABLED
SSL log Handshake [Success/Failures] : ENABLED
SSL log Handshake [Failures] : ENABLED
Done
Modifier un profil de journal SSL à l’aide de l’interface graphique
- Accédez à Système > Profils > Profil du journal SSL, sélectionnez un profil et cliquez sur Modifier.
- Effectuez des modifications et cliquez sur OK.
Afficher tous les profils de journaux SSL à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
sh ssl logprofile
Exemple :
sh ssl logprofile
1) Name: ssllogp1
SSL log ClientAuth [Success/Failures] : ENABLED
SSL log ClientAuth [Failures] : ENABLED
SSL log Handshake [Success/Failures] : DISABLED
SSL log Handshake [Failures] : ENABLED
2) Name: ssllogp2
SSL log ClientAuth [Success/Failures] : DISABLED
SSL log ClientAuth [Failures] : DISABLED
SSL log Handshake [Success/Failures] : DISABLED
SSL log Handshake [Failures] : DISABLED
3) Name: ssllogp3
SSL log ClientAuth [Success/Failures] : DISABLED
SSL log ClientAuth [Failures] : DISABLED
SSL log Handshake [Success/Failures] : DISABLED
SSL log Handshake [Failures] : DISABLED
4) Name: ssllog10
SSL log ClientAuth [Success/Failures] : ENABLED
SSL log ClientAuth [Failures] : ENABLED
SSL log Handshake [Success/Failures] : ENABLED
SSL log Handshake [Failures] : ENABLED
Done
Afficher tous les profils de journaux SSL à l’aide de l’interface graphique
Accédez à Système > Profils > Profil du journal SSL. Tous les profils sont répertoriés.
Attacher un profil de journal SSL à un profil SSL
Vous pouvez attacher (définir) un profil de journal SSL sur un profil SSL lorsque vous créez un profil SSL, ou ultérieurement en modifiant le profil SSL. Vous pouvez consigner à la fois l’authentification du client et les succès et échecs de la poignée de main.
Important :
Le profil SSL par défaut doit être activé avant de pouvoir joindre un profil de journal SSL.
Joindre un profil de journal SSL sur un profil SSL à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
set ssl profile <name> [-ssllogProfile <string>]
Exemple :
set ssl profile fron_1 -ssllogProfile ssllog10
Attacher un profil de journal SSL à un profil SSL à l’aide de l’interface graphique
- Accédez à Système > Profils > Profil SSL.
- Cliquez sur Modifier et dans Profil du journal SSL, spécifiez un profil.
Attacher un profil de journal SSL à une action SSL
Vous pouvez définir un profil de journal SSL uniquement lors de la création d’une action SSL. Vous ne pouvez pas modifier une action SSL pour définir le profil du journal. Associer l’action à une stratégie. Vous ne pouvez consigner que les succès et les échecs d’authentification du client.
Attacher un profil de journal SSL à une action SSL à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add ssl action <name> -clientAuth ( DOCLIENTAUTH | NOCLIENTAUTH ) -ssllogProfile <string>
Exemple :
> add ssl action act1 -clientAuth DoCLIENTAUTH -ssllogProfile ssllog10
Done
> sh ssl action act1
1) Name: act1
Type: Client Authentication (DOCLIENTAUTH)
Hits: 0
Undef Hits: 0
Action Reference Count: 0
SSLlogProfile: ssllog10
Done
Attacher un profil de journal SSL à une action SSL à l’aide de l’interface graphique
- Accédez à Gestion du trafic > SSL > Stratégies et cliquez sur Actions SSL.
- Cliquez sur Ajouter.
- Dans Authentification du client, sélectionnez Activé.
- Dans SSL Log Profile, sélectionnez un profil dans la liste ou cliquez sur « + » pour créer un profil.
- Cliquez sur Créer.
Exemple de sortie du fichier journal
Voici un exemple de sortie de journalns.log pour une authentification client réussie.
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 158 0 : SPCBId 671 - ClientIP 10.102.1.98 - ClientPort 49451 - VserverServiceIP 10.102.57.82 - VserverServicePort 443 - ClientVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session New - CLIENT_AUTHENTICATED -SerialNumber "2A" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 22 09:15:20 2008 GMT" - ValidTo "Feb 8 09:15:20 2036 GMT" - HandshakeTime 10 ms
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 159 0 : SPCBId 671 - IssuerName " C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 160 0 : SPCBId 671 - SubjectName " C=IN,ST=KAR,O=Citrix Pvt Ltd,OU=A,CN=B"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 161 0 : Backend SPCBId 674 - ServerIP 10.102.57.85 - ServerPort 443 - ProtocolVersion TLSv1.2 - CipherSuite "AES-256-CBC-SHA TLSv1.2 Non-Export 256-bit" - Session Reuse - SERVER_AUTHENTICATED -SerialNumber "3E" - SignatureAlgorithm "sha1WithRSAEncryption" - ValidFrom "Sep 24 06:40:37 2008 GMT" - ValidTo "Feb 10 06:40:37 2036 GMT" - HandshakeTime 1 ms
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 162 0 : SPCBId 674 - IssuerName " C=IN,ST=KAR,O=Citrix Pvt Ltd"
Jan 24 16:24:25 <local0.debug> 10.102.57.80 01/24/2019:10:54:25 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 163 0 : SPCBId 674 - SubjectName " C=IN,ST=P,L=Q,O=R"