Liaison de stratégie SSL
Vous pouvez lier des stratégies SSL globalement ou à un serveur virtuel de type SSL uniquement. Les stratégies liées globalement sont évaluées après l’évaluation de toutes les stratégies liées aux services, aux serveurs virtuels ou à d’autres points de liaison Citrix ADC. Si les données entrantes correspondent à l’une des règles configurées dans la stratégie SSL, la stratégie est déclenchée et l’action qui y est associée est exécutée.
Lorsque vous liez une stratégie SSL à un serveur virtuel, vous devez sélectionner l’un des points de liaison suivants :
-
REQUEST (point de liaison par défaut. L’évaluation de la stratégie est effectuée dans la couche HTTP une fois la poignée de main SSL terminée.)
-
INTERCEPT_REQ (Cette option s’applique à une configuration de Citrix Secure Web Gateway. Pour plus d’informations, reportez-vous à la section Infrastructure de stratégie SSL pour l’interception SSL).
-
CLIENTHELLO_REQ
De même, lorsque vous dissociez une stratégie d’un serveur virtuel, vous devez spécifier le point de liaison.
Si vous spécifiez CLIENTHELLO_REQ comme point de liaison, la stratégie est évaluée lorsqu’un message de bonjour client est reçu. Les actions autorisées sont RESET, FORWARD et caCertGrpName
. L’action de réinitialisation met fin à la connexion. L’action de transfert transfère la demande à un serveur virtuel d’équilibrage de charge pour traitement. L’action caCertGrpName
sélectionne les autorités de certification basées sur SNI pour l’authentification du client. Pour plus d’informations sur les actions SSL, reportez-vous à la section Actions intégrées SSL et actions définies par l’utilisateur.
Remarque : L’action cacertgrpName n’est pas prise en charge avec le protocole TLS 1.3.
Liez une stratégie SSL globalement à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez la commande suivante pour lier une stratégie SSL globale et vérifier la configuration :
bind ssl global - policyName <string> [- priority <positive_integer>]
show ssl global
Exemple :
bind ssl global -policyName Policy-SSL-2 -priority 90
Done
sh ssl global
1) Name: Policy-SSL-2 Priority: 90
2) Name: Policy-SSL-1 Priority: 100
Done
Liez une stratégie SSL globalement à l’aide de l’interface graphique
- Accédez à Gestion du trafic > SSL > Stratégies.
- Dans le volet d’informations, cliquez sur Liaisons globales.
- Dans la boîte de dialogue Bind/Unbind SSL Policies to Global, cliquez sur Insert Policy.
- Dans la liste Nom de la stratégie, sélectionnez une stratégie.
- Le cas échéant, faites glisser l’entrée vers un nouveau poste dans la banque de stratégies pour mettre à jour automatiquement le niveau de priorité.
- Cliquez sur OK. Un message apparaît dans la barre d’état indiquant que la stratégie a été liée avec succès.
Liez ou dissociez une stratégie SSL à un serveur virtuel à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez la commande suivante pour lier une stratégie SSL à un serveur virtuel et vérifier la configuration :
bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type <type>
unbind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type <type>
Exemple :
bind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ
unbind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ
show ssl vserver vs-server
Advanced SSL configuration for VServer vs-server:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 1000
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 80
Client Auth: DISABLED
SSL Redirect: ENABLED
SSL-REDIRECT Port Rewrite: ENABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) Policy Name: ssl-policy-1 Priority: 10
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
Liez une stratégie SSL à un serveur virtuel à l’aide de l’interface graphique
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels et ouvrez un serveur virtuel SSL.
- Dans Paramètres avancés, sélectionnez Stratégie SSL. Cliquez dans la section Stratégie SSL pour lier une stratégie au serveur virtuel.
- Dans la page Liaison de stratégie, sélectionnez une stratégie existante ou ajoutez une nouvelle stratégie.
- Spécifiez la priorité et le type (point de liaison) de la stratégie.
- Sélectionnez Lier.
- Sélectionnez Terminé.
Dans cet article
- Liez une stratégie SSL globalement à l’aide de l’interface de ligne de commande
- Liez une stratégie SSL globalement à l’aide de l’interface graphique
- Liez ou dissociez une stratégie SSL à un serveur virtuel à l’aide de l’interface de ligne de commande
- Liez une stratégie SSL à un serveur virtuel à l’aide de l’interface graphique