Profil SSL hérité
Remarque :
Citrix recommande d’utiliser les profils améliorés au lieu des profils hérités. Pour plus d’informations sur l’infrastructure de profil améliorée, reportez-vous à la section Infrastructure de profil SSL.
Important :
Liez un profil SSL à un serveur virtuel SSL. Ne liez pas un profil DTLS à un serveur virtuel SSL. Pour plus d’informations sur les profils DTLS, reportez-vous à la section Profils DTLS.
Vous pouvez utiliser un profil SSL pour spécifier comment un Citrix ADC traite le trafic SSL. Le profil est un ensemble de paramètres SSL pour les entités SSL, telles que les serveurs virtuels, les services et les groupes de services, et offre une configuration facile et une flexibilité. Vous n’êtes pas limité à la configuration d’un seul ensemble de paramètres globaux. Vous pouvez créer plusieurs ensembles (profils) de paramètres globaux et affecter différents ensembles à différentes entités SSL. Les profils SSL sont classés en deux catégories :
- Profils frontaux, contenant les paramètres applicables à l’entité frontale. Autrement dit, ils s’appliquent à l’entité qui reçoit des demandes d’un client.
- Profils principaux contenant les paramètres applicables à l’entité principale. Autrement dit, ils s’appliquent à l’entité qui envoie des demandes client à un serveur.
Contrairement à un profil TCP ou HTTP, un profil SSL est facultatif. Par conséquent, il n’y a pas de profil SSL par défaut. Le même profil peut être réutilisé sur plusieurs entités. Si aucun profil n’est attaché à une entité, les valeurs définies au niveau global s’appliquent. Pour les services apprises de manière dynamique, les valeurs globales actuelles s’appliquent.
Le tableau suivant répertorie les paramètres qui font partie de chaque profil.
| Profil d’extrémité avant | Profil back-end |
|---|---|
| cipherRedirect, cipherURL | denySSLReneg |
| clearTextPort* | encryptTriggerPktCount |
| clientAuth, clientCert | nonFipsCiphers |
| denySSLReneg | pushEncTrigger |
| dh, dhFile, dhCount | pushEncTriggerTimeout |
| dropReqWithNoHostHeader | pushFlag |
| encryptTriggerPktCount | quantumSize |
| eRSA, eRSACount | serverAuth |
| insertionEncoding | commonName |
| nonFipsCiphers | sessReuse, sessTimeout |
| pushEncTrigger | SNIEnable |
| pushEncTriggerTimeout | ssl3 |
| pushFlag | sslTriggerTimeout |
| quantumSize | strictCAChecks |
| redirectPortRewrite | tls1 |
| sendCloseNotify | - |
| sessReuse, sessTimeout | - |
SNIEnable |
- |
| ssl3 | - |
| sslRedirect | - |
| sslTriggerTimeout | - |
| strictCAChecks | - |
| tls1, tls11, tls12 | - |
* Le paramètre ClearTextPort s’applique uniquement à un serveur virtuel SSL.
Un message d’erreur s’affiche si vous essayez de définir un paramètre qui ne fait pas partie du profil. Par exemple, si vous essayez de définir le paramètre ClientAuth dans un profil back-end.
Certains paramètres SSL, tels que la taille de la mémoire CRL, la taille du cache OCSP, le contrôle UnDeFaction Control et UnDefaction Data, ne font partie d’aucun des profils précédents, car ces paramètres sont indépendants des entités.
Un profil SSL prend en charge les opérations suivantes :
- Add : crée un profil SSL sur Citrix ADC. Spécifiez si le profil est frontal ou principal. Front end est la valeur par défaut.
- Set : modifie les paramètres d’un profil existant.
- Unset : définit les paramètres spécifiés sur leurs valeurs par défaut. Si vous ne spécifiez aucun paramètre, un message d’erreur s’affiche. Si vous désactivez un profil sur une entité, le profil est indépendant de l’entité.
- Remove : supprime un profil. Un profil utilisé par une entité ne peut pas être supprimé. La suppression de la configuration supprime toutes les entités. Par conséquent, les profils sont également supprimés.
- Afficher : affiche tous les profils disponibles sur Citrix ADC. Si un nom de profil est spécifié, les détails de ce profil sont affichés. Si une entité est spécifiée, les profils associés à cette entité sont affichés.
Créer un profil SSL à l’aide de l’interface de ligne de commande
- Pour ajouter un profil SSL, tapez :
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
- Pour modifier un profil existant, tapez :
set ssl profile <name>
- Pour annuler la définition d’un profil existant, tapez :
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
- Pour annuler la définition d’un profil existant d’une entité, tapez :
unset ssl vserver <vServerName> –sslProfile
- Pour supprimer un profil existant, tapez :
rm ssl profile <name>
- Pour afficher un profil existant, tapez :
sh ssl profile <name>
Créer un profil SSL à l’aide de l’interface graphique
Accédez à Système > Profils, sélectionnez l’onglet Profils SSL et créez un profil SSL.
Activer un contrôle plus strict sur la validation du certificat client
L’appliance Citrix ADC accepte les certificats d’autorité de certification intermédiaire valides si une seule autorité de certification Root-CA les a délivrés. C’est-à-dire que si seul le certificat Root-CA est lié au serveur virtuel et que Root-CA valide l’un des certificats intermédiaires envoyés avec le certificat client, l’appliance approuve la chaîne de certificats et la connexion réussit.
Toutefois, si un client envoie une chaîne de certificats dans la connexion, les certificats intermédiaires peuvent être validés à l’aide d’un répondeur CRL ou OCSP uniquement si ce certificat est lié au serveur virtuel SSL. Par conséquent, même si l’un des certificats intermédiaires est révoqué, la négociation est réussie. Dans le cadre de la poignée de main, le serveur virtuel SSL envoie la liste des certificats d’autorité de certification qui lui sont liés. Pour un contrôle plus strict, vous pouvez configurer le serveur virtuel SSL pour qu’il accepte uniquement un certificat signé par l’un des certificats d’autorité de certification liés à ce serveur virtuel. Pour ce faire, vous devez activer le paramètre ClientAuthUseBoundCAChain dans le profil SSL lié au serveur virtuel. La connexion échoue si l’un des certificats d’autorité de certification liés au serveur virtuel n’a pas signé le certificat client.
Par exemple, deux certificats clients, clientcert1 et clientcert2, sont signés respectivement par les certificats intermédiaires Int-CA-A et Int-CA-B. Les certificats intermédiaires sont signés par le certificat racine Root-CA. Int-CA-A et Root-CA sont liés au serveur virtuel SSL. Dans le cas par défaut (ClientAuthUseBoundCAChain désactivé), clientcert1 et clientcert2 sont acceptés. Toutefois, si ClientAuthUseBoundCachain est activé, l’appliance Citrix ADC accepte uniquement clientcert1.
Activer un contrôle plus strict sur la validation des certificats client à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez : set ssl profile <name> -ClientAuthUseBoundCAChain Enabled
Activer un contrôle plus strict sur la validation du certificat client à l’aide de l’interface graphique
- Accédez à Système > Profils, sélectionnez l’onglet Profils SSL et créez un profil SSL ou sélectionnez un profil existant.
- Sélectionnez Activer l’authentification client à l’aide de la chaîne de certification liée.