Citrix ADC

Stratégies SSL

Les stratégies sur l’appliance Citrix ADC permettent d’identifier les connexions spécifiques que vous souhaitez traiter. Le traitement est basé sur les actions configurées pour cette stratégie particulière. Une fois que vous avez créé la stratégie et configuré une action pour celle-ci, vous devez effectuer l’une des opérations suivantes :

  • Liez la stratégie à un serveur virtuel sur l’appliance, afin qu’elle s’applique uniquement au trafic circulant via ce serveur virtuel.
  • Liez la stratégie globalement, afin qu’elle s’applique à tout le trafic passant par n’importe quel serveur virtuel configuré sur l’appliance Citrix ADC.

La fonctionnalité SSL de l’appliance Citrix ADC prend en charge les stratégies de stratégie avancée (avancées). Pour obtenir une description complète des expressions de stratégie avancées, de leur fonctionnement et de leur configuration manuelle, consultez Stratégies et expressions.

Remarque :

Les utilisateurs qui ne sont pas expérimentés dans la configuration des stratégies dans l’interface de ligne de commande trouvent généralement l’utilisation de l’utilitaire de configuration beaucoup plus facile.

Les stratégies SSL exigent que vous créiez une action avant de créer une stratégie, afin de pouvoir spécifier les actions lors de la création des stratégies. Dans les stratégies de stratégie SSL Advanced, vous pouvez également utiliser les actions intégrées. Pour plus d’informations sur les actions intégrées, consultez Actions intégrées SSL et actions définies parl’utilisateur.

Stratégies de stratégie SSL Advanced

Une stratégie SSL Advanced, également connue sous le nom de stratégie avancée, définit un contrôle ou une action de données à exécuter sur les demandes. Les stratégies SSL peuvent donc être classées en tant que stratégies de contrôle et stratégies de données :

  • Politique de contrôle. Une stratégie de contrôle utilise une action de contrôle, telle que forcer l’authentification du client. Remarque : Dans la version 10.5 ou ultérieure, le paramètre Refuser la renégociation SSL (DenySSLReneg) est défini, par défaut, sur ALL. Toutefois, les stratégies de contrôle, telles que CLIENTAUTH, déclenchent une négociation de renégociation. Si vous utilisez de telles stratégies, vous devez définir DenySSLReneg sur NO.
  • Politique de données. Une stratégie de données utilise une action de données, telle que l’insertion de certaines données dans la demande.

Les éléments essentiels d’une politique sont une expression et une action. L’expression identifie les demandes sur lesquelles l’action doit être exécutée.

Vous pouvez configurer une stratégie avancée avec une action intégrée ou une action définie par l’utilisateur. Vous pouvez configurer une stratégie avec une action intégrée sans créer d’action distincte. Toutefois, pour configurer une stratégie avec une action définie par l’utilisateur, configurez d’abord l’action, puis configurez la stratégie.

Vous pouvez spécifier une action supplémentaire, appelée action UNDEF, à effectuer lorsque l’application de l’expression à une demande a un résultat non défini.

Configuration de la stratégie SSL

Vous pouvez configurer une stratégie SSL Advanced à l’aide de l’interface de ligne de commande et de l’interface graphique.

Configurer une stratégie SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

Configurer une stratégie SSL à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL > Stratégies et, sous l’onglet Stratégies, cliquez sur Ajouter.

Prise en charge des stratégies SSL avec le protocole TLS1.3

À partir de la version 13.0 build 71.x et ultérieure, la prise en charge des stratégies SSL avec le protocole TLS1.3 est ajoutée. Lorsque le protocole TLSv1.3 est négocié pour une connexion, les règles de stratégie qui inspectent les données TLS reçues du client déclenchent désormais l’action configurée.

Par exemple, si la règle de stratégie suivante renvoie true, le trafic est transféré vers le serveur virtuel défini dans l’action.

add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
<!--NeedCopy-->

Limitations

  • Les stratégies de contrôle ne sont pas prises en charge.
  • Les actions suivantes ne sont pas prises en charge :
    • DOCLIENTAUTH
    • NOCLIENTAUTH
    • caCertGrpName
    • Vérification du certificat client
    • ssllogProfile
Stratégies SSL