Citrix ADC

Stratégies SSL

Les stratégies de l’appliance Citrix ADC permettent d’identifier les connexions spécifiques que vous souhaitez traiter. Le traitement est basé sur les actions configurées pour cette stratégie particulière. Une fois que vous avez créé la stratégie et configuré une action pour celle-ci, vous devez effectuer l’une des opérations suivantes :

  • Liez la stratégie à un serveur virtuel sur l’appliance, de sorte qu’elle ne s’applique qu’au trafic qui traverse ce serveur virtuel.
  • Liez la stratégie globalement, de sorte qu’elle s’applique à tout le trafic circulant à travers n’importe quel serveur virtuel configuré sur l’appliance Citrix ADC.

La fonctionnalité SSL de l’appliance Citrix ADC prend en charge les stratégies de syntaxe par défaut (avancées). Pour obtenir une description complète des expressions de syntaxe par défaut, de leur fonctionnement et de leur configuration manuelle, reportez-vous à la section Stratégies et expressions.

Remarque :

Les utilisateurs qui n’ont pas l’expérience de la configuration des stratégies à l’interface de ligne de commande trouvent généralement beaucoup plus facile l’utilisation de l’utilitaire de configuration.

Les stratégies SSL nécessitent que vous créez une action avant de créer une stratégie, afin que vous puissiez spécifier les actions lors de la création des stratégies. Dans les stratégies de syntaxe par défaut SSL, vous pouvez également utiliser les actions intégrées. Pour plus d’informations sur les actions intégrées, reportez-vous à la section Actions intégrées SSL et actions définies par l’utilisateur.

Stratégies de syntaxe SSL par défaut

Une stratégie de syntaxe SSL par défaut, également appelée stratégie avancée, définit un contrôle ou une action de données à exécuter sur les demandes. Les stratégies SSL peuvent donc être classées en tant que stratégies de contrôle et de données :

  • Stratégie de contrôle. Une stratégie de contrôle utilise une action de contrôle, telle que forcer l’authentification du client. Remarque : Dans la version 10.5 ou ultérieure, refuser la renégociation SSL (DenySSLReneg) est définie, par défaut, sur ALL. Toutefois, les stratégies de contrôle, telles que CLIENTAUTH, déclenchent une poignée de main de renégociation. Si vous utilisez de telles stratégies, vous devez définir DenySSLreneg sur NO.
  • Politique de données. Une stratégie de données utilise une action de données, telle que l’insertion de certaines données dans la demande.

Les composantes essentielles d’une stratégie sont une expression et une action. L’expression identifie les demandes sur lesquelles l’action doit être effectuée.

Vous pouvez configurer une stratégie de syntaxe par défaut avec une action intégrée ou une action définie par l’utilisateur. Vous pouvez configurer une stratégie avec une action intégrée sans créer d’action distincte. Toutefois, pour configurer une stratégie avec une action définie par l’utilisateur, configurez d’abord l’action, puis configurez la stratégie.

Vous pouvez spécifier une action supplémentaire, appelée action UNDEF, à exécuter lorsque l’application de l’expression à une requête a un résultat non défini.

Configuration de la stratégie SSL

Vous pouvez configurer une stratégie de syntaxe SSL par défaut à l’aide de l’interface de ligne de commande et de l’interface graphique.

Configurer une stratégie SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]

Configurer une stratégie SSL à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL > Stratégies et, sous l’onglet Polices, cliquez sur Ajouter.

Prise en charge des stratégies SSL avec le protocole TLS1.3

À partir de la version 13.0 build 71.x et ultérieure, la prise en charge des stratégies SSL avec le protocole TLS1.3 est ajoutée. Lorsque le protocole TLSv1.3 est négocié pour une connexion, les règles de stratégie qui inspectent les données TLS reçues du client déclenchent désormais l’action configurée.

Par exemple, si la règle de stratégie suivante renvoie true, le trafic est transféré au serveur virtuel défini dans l’action.

add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1

Limitations

  • Les stratégies de contrôle ne sont pas prises en charge.
  • Les actions suivantes ne sont pas prises en charge :
    • DOCLIENTAUTH
    • NOCLIENTAUTH
    • caCertGrpName
    • clientCertVerification
    • ssllogProfile
Stratégies SSL