Profil SSL

Un profil SSL est un ensemble de paramètres SSL, tels que les chiffrements et les protocoles. Un profil est utile si vous avez des paramètres communs pour différents serveurs. Au lieu de spécifier les mêmes paramètres pour chaque serveur, vous pouvez créer un profil, spécifier les paramètres dans le profil, puis lier le profil à différents serveurs. Si aucun profil SSL frontal personnalisé n’est créé, le profil frontal par défaut est lié aux entités côté client. Ce profil vous permet de configurer les paramètres de gestion des connexions côté client. Pour l’interception SSL, vous devez créer un profil SSL et activer l’interception SSL (SSLi) dans le profil. Un groupe de chiffrement par défaut est lié à ce profil, mais vous pouvez configurer d’autres chiffrements en fonction de votre déploiement. Vous devez lier un certificat d’autorité de certification SSLi à ce profil, puis lier le profil à un serveur proxy. Pour l’interception SSL, les paramètres essentiels d’un profil sont ceux utilisés pour vérifier l’état OCSP du certificat du serveur d’origine, déclencher la renégociation du client si le serveur d’origine demande une renégociation et vérifier le certificat du serveur d’origine avant de réutiliser la session SSL front-end. Vous devez utiliser le profil principal par défaut lors de la communication avec les serveurs d’origine. Définissez tous les paramètres côté serveur, tels que les suites de chiffrement, dans le profil principal par défaut. Un profil back-end personnalisé n’est pas pris en charge.

Pour obtenir des exemples des paramètres SSL les plus couramment utilisés, reportez-vous à la section « Exemple de profil » à la fin de cette section.

Le support du chiffre/protocole diffère sur le réseau interne et externe. Dans les tableaux suivants, la connexion entre les utilisateurs et une appliance SWG est le réseau interne. Le réseau externe est entre l’appliance et Internet.

image localisée

Tableau 1 : Matrice de prise en charge du chiffrement et du protocole pour le réseau interne

(Chiffrement/Protocole)/Plateforme MPX (N3)* VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE (Exemple TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM (Exemple TLS1.2-AES128-GCM-SHA256) 12.1 12.1
Ciphers SHA-2 (Exemple TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA (Exemple TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 12.1

Tableau 2 : Matrice de prise en charge du chiffrement et du protocole pour le réseau externe

(Chiffrement/Protocole)/Plateforme MPX (N3)* VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE (Exemple TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM (Exemple TLS1.2-AES128-GCM-SHA256) 12.1 12.1
Ciphers SHA-2 (Exemple TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA (Exemple TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 Non pris en charge

* Utilisez la commande sh hardware (show hardware) pour déterminer si votre appliance dispose de puces N3.

Exemple :

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done

Ajouter un profil SSL et activer l’interception SSL à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

Arguments :

Interception SSL :

          Activer ou désactiver l'interception des sessions SSL.

          Valeurs possibles : ENABLED, DISABLED

          Valeur par défaut : DISABLED

SSLirEg :

          Activer ou désactiver le déclenchement de la renégociation du client lorsqu'une demande de renégociation est reçue du serveur d'origine.

          Valeurs possibles : ENABLED, DISABLED

          Valeur par défaut : ENABLED

SSLiocspCheck :

          Activer ou désactiver la vérification OCSP pour un certificat de serveur d'origine.

          Valeurs possibles : ENABLED, DISABLED

          Valeur par défaut : ENABLED

SSLIMaxSessperServeur :

Nombre          maximal de sessions SSL à être mises en cache par serveur d'origine dynamique. Une session SSL unique est créée pour chaque extension SNI reçue du client dans un message d'accueil client. La session correspondante est utilisée pour la réutilisation de la session serveur.

Valeur          par défaut : 10

Valeur          minimale : 1

Valeur          maximale : 1000

Exemple :

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done

Liez un certificat d’autorité de certification d’interception SSL à un professionnel SSL à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

Exemple :

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done

Liez un certificat d’autorité de certification d’interception SSL à un professionnel SSL à l’aide de l’interface utilisateur graphique Citrix SWG

  1. Accédez à Système > Profils > Profil SSL.

  2. Cliquez sur Ajouter.

  3. Spécifiez un nom pour le profil.

  4. Activer l’ interception des sessions SSL.

  5. Cliquez sur OK.

  6. Dans Paramètres avancés, cliquez sur Cl é de certificat.

  7. Spécifiez une clé de certificat d’autorité de certification SSLi à lier au profil.

  8. Cliquez sur Sélectionner, puis sur Lier.

  9. Vous pouvez également configurer les chiffrements en fonction de votre déploiement.

    • Cliquez sur l’icône Modifier, puis cliquez sur Ajouter.
    • Sélectionnez un ou plusieurs groupes de chiffrement, puis cliquez sur la flèche droite.
    • Cliquez sur OK.
  10. Cliquez sur Terminé.

Lier un profil SSL à un serveur proxy à l’aide de l’interface graphique graphique de Citrix SWG

  1. Accédez à Secure Web Gateway > Serveurs proxy, puis ajoutez un nouveau serveur ou sélectionnez un serveur à modifier.
  2. Dans Profil SSL, cliquez sur l’icône Modifier.
  3. Dans la liste Profil SSL, sélectionnez le profil SSL que vous avez créé précédemment.
  4. Cliquez sur OK.
  5. Cliquez sur Terminé.

Exemple de profil :

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert