ADC

Profils SSL

Vous pouvez utiliser un profil SSL pour spécifier la manière dont une appliance NetScaler traite le trafic SSL. Un profil est un ensemble de paramètres SSL pour les entités SSL, telles que les serveurs virtuels, les services et les groupes de services, et offre facilité de configuration et flexibilité. Vous n’êtes pas limité à la configuration d’un seul ensemble de paramètres globaux.

Vous pouvez créer plusieurs ensembles (profils) de paramètres globaux et attribuer différents ensembles à différentes entités SSL. Les profils SSL sont classés en deux catégories :

  • Profils frontaux : contiennent les paramètres applicables à l’entité frontale (entité qui reçoit des demandes d’un client).
  • Profils dorsaux : contiennent les paramètres applicables à l’entité principale (entité qui envoie les demandes des clients à un serveur).

Contrairement à un profil TCP ou HTTP, un profil SSL est facultatif. Une fois les profils SSL activés, tous les points de terminaison SSL héritent des profils par défaut. Le même profil peut être réutilisé sur plusieurs entités. Si aucun profil n’est associé à une entité, les valeurs définies au niveau global s’appliquent. Pour les services appris de manière dynamique, les valeurs globales actuelles s’appliquent.

Par rapport à l’autre méthode qui nécessite la configuration de paramètres SSL, de chiffrements et de courbes ECC sur des points de terminaison SSL individuels, les profils SSL de l’appliance NetScaler simplifient la gestion de la configuration en agissant comme un point unique de configuration SSL pour tous les points de terminaison associés. À l’aide des profils SSL, vous pouvez résoudre les problèmes de configuration liés à la réorganisation des chiffrements et aux interruptions de service lors de la réorganisation des chiffrements.

Les profils SSL aident à définir les paramètres SSL et les liaisons de chiffrement requis sur les points de terminaison SSL sur lesquels il est généralement impossible de définir ces paramètres et liaisons. Les profils SSL peuvent également être définis sur des écrans sécurisés.

L’infrastructure des profils SSL a été améliorée pour utiliser les derniers chiffrements et protocoles. Les différences entre le profil existant (ancien profil) et le profil SSL amélioré (nouveau profil) sont mises en évidence.

Différences entre l’ancienne et la nouvelle infrastructure de profils SSL

Différences Ancien profil Nouveau profil
Chiffres et courbes ECC inclus dans le profil Non Oui
Insertion d’un chiffre ou d’un groupe de chiffrement au milieu d’une liste existante Dissociez tous les chiffrements et reliez-les à nouveau dans l’ordre de priorité requis. Ajoutez un code et attribuez-lui une priorité. Si aucune priorité n’est spécifiée, la priorité la plus faible de la liste est attribuée au chiffrement.
Délier tous les chiffrements unbind ssl vserver <name> ciphername –ALL unbind ssl profile –cipherName FlushAllCiphers (Les versions 12.1 et ultérieures incluent le paramètre FlushAllCiphers pour dissocier tous les chiffrements ou groupes de chiffrement d’un profil, car ALL est traité comme un groupe de chiffrement.)
État du SSLv3 s/o Désactivé sur le profil frontal par défaut (ns_default_ssl_profile_frontend). Remarque : Avant d’activer ce profil, SSLv3 est activé globalement. Une fois le profil activé, SSLv3 est désactivé sur le profil frontal par défaut.
Profils SSL