Citrix ADC SSLプロファイル検証済みリファレンスデザイン
概要
Citrix ADC のサマリー
Citrix ADCはオールインワンのアプリケーション配信Controller で、アプリケーションを最大5倍に実行し、アプリケーションの所有コストを削減し、ユーザーエクスペリエンスを最適化し、アプリケーションを常に使用できるようにします。
- 高度な L4-7 ロードバランシングとトラフィック管理
- 実証済みのアプリケーションアクセラレーション(HTTP 圧縮やキャッシュなど)
- アプリケーションセキュリティのための統合されたアプリケーションファイアウォール
- サーバのオフロードにより、コストを大幅に削減し、サーバーを統合
サービスとアプリケーションデリバリのリーダーとして、Citrix ADCは世界中の何千ものネットワークに展開され、エンタープライズおよびクラウドサービスの提供を最適化し、セキュリティで保護し、制御しています。Citrix ADCは、Webサーバーとデータベースサーバーの前に直接配置され、高速負荷分散とコンテンツスイッチ、http圧縮、コンテンツキャッシュ、SSLアクセラレーション、アプリケーションフローの可視性、強力なアプリケーションファイアウォールを統合し、使いやすい統合プラットフォームに統合します。ネットワークデータを実用的なビジネスインテリジェンスに変換するエンドツーエンドの監視により、SLA への対応が大幅に簡素化されます。Citrix ADCでは、プログラミングの専門知識を必要とせずに、シンプルな宣言型ポリシーエンジンを使用してポリシーを定義および管理できます。
Citrix ADC SSLプロファイルの概要
SSLプロファイルを使用して、Citrix ADCがSSLトラフィックを処理する方法を指定できます。このプロファイルは、仮想サーバ、サービス、サービスグループなどの SSL エンティティの SSL パラメータ設定の集まりであり、設定の容易さと柔軟性を提供します。グローバルパラメータのセットを 1 つだけ設定することに限定されません。グローバルパラメータの複数のセット(プロファイル)を作成し、異なる SSL エンティティに異なるセットを割り当てることができます。SSL プロファイルは、次の 2 つのカテゴリに分類されます。
- フロントエンドプロファイル。フロントエンドエンティティに適用可能なパラメーターを含みます。つまり、クライアントからの要求を受信するエンティティに適用されます。
- バックエンドプロファイル。バックエンドエンティティに適用可能なパラメータを含みます。つまり、クライアント要求をサーバーに送信するエンティティに適用されます。
TCP または HTTP プロファイルとは異なり、SSL プロファイルはオプションです。SSL プロファイル(グローバルパラメータ)が有効になると、すべての SSL エンドポイントはデフォルトプロファイルを継承します。複数のエンティティ間で同じプロファイルを再利用できます。図形に縦断がアタッチされていない場合は、グローバルレベルで設定された値が適用されます。動的に学習されたサービスには、現在のグローバル値が適用されます。
個々のSSLエンドポイントでSSLパラメータ、暗号化、ECC曲線の構成を必要とする代替方法と比較して、Citrix ADC SSLプロファイルはすべての関連エンドポイントに対してSSL構成の単一ポイントとして機能し、構成管理を簡素化します。さらに、暗号の順序変更や暗号の順序変更時のダウンタイムなどの設定の問題は、SSL プロファイルを使用して解決されます。
SSLプロファイルは、従来はこれらのパラメータとバインディングを設定できなかったSSLエンドポイントに必須のSSLパラメータと暗号バインディングを設定するのに役立ちます。SSL プロファイルは、セキュリティで保護されたモニターでも設定できます。
次の表に、各プロファイルの一部であるパラメータを示します。
| フロントエンドプロファイル | バックエンドプロファイル |
|---|---|
| cipherRedirect, cipherURL | denySSLReneg |
| clearTextPort* | encryptTriggerPktCount |
| clientAuth, clientCert | nonFipsCiphers |
| denySSLReneg | pushEncTrigger |
| dh, dhFile, dhCount | pushEncTriggerTimeout |
| dropReqWithNoHostHeader | pushFlag |
| encryptTriggerPktCount | quantumSize |
| eRSA, eRSACount | serverAuth |
| insertionEncoding | commonName |
| nonFipsCiphers | sessReuse, sessTimeout |
| pushEncTrigger | SNIEnable |
| pushEncTriggerTimeout | ssl3 |
| pushFlag | sslTriggerTimeout |
| quantumSize | strictCAChecks |
| redirectPortRewrite | トールズ 1.0, トールズ 1.1, トールズ 1.2 |
| sendCloseNotify | |
| sessReuse, sessTimeout | |
| SNIEnable | |
| ssl3 | |
| sslRedirect | |
| sslTriggerTimeout | |
| strictCAChecks | |
| tls1, tls11, tls12 |
*clearTextPort パラメーターは、SSL 仮想サーバーにのみ適用されます。
プロファイルに含まれないパラメータを設定しようとすると(たとえば、バックエンドプロファイルで clientAuth パラメータを設定しようとした場合)、エラーメッセージが表示されます。
CRL メモリサイズ、OCSP キャッシュサイズ、UndefAction コントロール、UndefAction データなど、一部の SSL パラメータは、これらのパラメータはエンティティから独立しているため、上記のプロファイルには含まれません。これらのパラメータは、[トラフィック管理] > [SSL] > [高度な SSL 設定]にあります。
SSL プロファイルでは、次の操作がサポートされます。
-
追加:Citrix ADC上にSSLプロファイルを作成します。プロファイルがフロントエンドかバックエンドかを指定します。フロントエンドがデフォルトです。
-
設定-既存のプロファイルの設定を変更します。
-
設定解除-指定したパラメータをデフォルト値に設定します。パラメータを指定しない場合は、エラーメッセージが表示されます。エンティティのプロファイルを設定解除すると、そのプロファイルはエンティティからバインド解除されます。
-
除去-プロファイルを削除します。どのエンティティでも使用されているプロファイルも削除できません。設定をクリアすると、すべてのエンティティが削除されます。その結果、プロファイルも削除されます。
-
「バインド」(Bind)-プロファイルを仮想サーバーにバインドします。
-
バインド解除-仮想サーバーからプロファイルをバインド解除します。
-
[表示]:Citrix ADCで使用可能なすべてのプロファイルを表示します。プロファイル名を指定すると、そのプロファイルの詳細が表示されます。図形を指定すると、その図形に関連付けられた縦断が表示されます。
SSL プロファイルの使用例
SSL デフォルトプロファイル
Citrix ADCアプライアンスには、2つのデフォルトプロファイル(
-
ns_default_ssl_profile_frontend — すべての SSL タイプの仮想サーバーおよび内部サービスのデフォルトのフロントエンドプロファイル。
-
ns_default_ssl_profile_backend — SSL タイプのサービス、サービスグループ、セキュアなモニター用のデフォルトのバックエンドプロファイル。
新しいエンドポイントが作成されると、対応するデフォルトの SSL プロファイルがバインドされます。
デフォルトの SSL プロファイルの SSL パラメータと暗号を変更できます。これにより、顧客は、対応するエンドポイントによって参照される一点で設定とバインディングを変更できるようになります。
重要:
ソフトウェアをアップグレードしてデフォルトのプロファイルを有効にする前に、設定を保存してください。
拡張プロファイルインフラストラクチャをサポートするビルドにソフトウェアをアップグレードし、既定のプロファイルを有効にします。特定の展開に応じて、2 つのアプローチのいずれかを使用できます。展開にエンドポイント間で共通の SSL 設定がある場合は、「ユースケース 1」を参照してください。展開に大きな SSL 設定があり、SSL パラメータと暗号がエンドポイント間で共通でない場合は、「ユースケース 2」を参照してください。
ソフトウェアをアップグレードした後で、プロファイルを有効にすると、変更を元に戻すことはできません。つまり、プロファイルを無効にすることはできません。したがって、変更を元に戻す唯一の方法は、古い構成を使用して再起動することです。
注: 単一の操作(デフォルトプロファイルの有効化またはsslパラメーターの設定-defaultProfile ENABLED)により、デフォルトのフロントエンドプロファイルとデフォルトのバックエンドプロファイルの両方が有効になります(バインド)。
注意: v11.1以降のクラスタリングでデフォルトのSSLプロファイルを使用できるようになりました。
Citrix ADCコマンドラインを使用して構成を保存するには、コマンドプロンプトで次のように入力します。
>save config
>shell
root@ns# cd /nsconfig
root@ns# cp ns.conf ns.conf.NS<currentreleasenumber><currentbuildnumber>
使用例 1
デフォルトプロファイルを有効にすると、すべての SSL エンドポイントにバインドされます。既定のプロファイルは編集可能です。展開でほとんどのデフォルト設定が使用され、少数のパラメータしか変更されない場合は、デフォルトのプロファイルを編集できます。変更内容は、すべてのエンドポイントに即座に反映されます。
次のフローチャートでは、実行する必要がある手順について説明します。
-
ソフトウェアのアップグレードについては、「システムソフトウェアのアップグレード」を参照してください。
- Citrix ADCコマンドラインまたはGUIを使用して、デフォルトのプロファイルを有効にします。
- コマンドラインで、次のように入力します: set ssl parameter -defaultProfile ENABLED
- GUI を使用する場合は、[トラフィック管理] > [SSL] > [高度な SSL設定の変更] に移動し、下にスクロールして [デフォルトプロファイルの有効化] を選択します。
- (オプション)デフォルトプロファイルの設定を手動で変更します。
- コマンドラインで、変更するパラメータに続けて
set ssl profile <name>を入力します。 - GUI を使用する場合は、[システム] > [プロファイル] に移動します。「SSLプロファイル」でプロファイルを選択し、「 編集」をクリックします。
- コマンドラインで、変更するパラメータに続けて
使用例 2
展開でほとんどの SSL エンティティに特定の設定を使用している場合は、各エンドポイントのカスタムプロファイルを自動的に作成し、エンドポイントにバインドするスクリプトを実行できます。このセクションで説明する手順を使用して、展開内のすべての SSL エンドポイントの SSL 設定を保持します。ソフトウェアのアップグレード後、移行スクリプトをダウンロードして実行し、SSL固有の変更をキャプチャします。このスクリプトを実行した場合の出力はバッチファイルです。既定のプロファイルを有効にして、バッチファイル内のコマンドを適用します。アップグレード後の SSL 設定の移行例については、付録を参照してください。
次のフローチャートでは、実行する必要がある手順について説明します。
-
ソフトウェアのアップグレードについては、「システムソフトウェアのアップグレード」を参照してください。
-
SSL 固有の変更をキャプチャするスクリプトをダウンロードして実行します。他の移行アクティビティに加えて、スクリプトは古い ns.conf ファイルを分析し、特別な設定(デフォルト以外)を SSL エンドポイント設定からカスタムプロファイルに移動します。設定の変更を適用するには、アップグレード後にデフォルトプロファイルを有効にする必要があります。
スクリプトをダウンロードするには、https://www.citrix.com/にログインします。[ ダウンロード ]タブで[Citrix ADC]を選択し、リリース([リリース12.0]など)を選択します。リリースの「ファームウェア」で、ビルドを選択します。SSL デフォルトプロファイルスクリプトは、[追加コンポーネント] で使用できます。
注: 移行スクリプトの実行時に、プロファイル名を自動的に生成するか、対話的にユーザーにプロファイル名の入力を求めるように選択することができます。移行スクリプトは、以下をチェックし、それに応じてプロファイルを作成します。
- デフォルト設定と類似した暗号と暗号グループ設定を持つエンドポイント:スクリプトによって 1 つのプロファイルが作成されます。
- デフォルト設定で、異なる暗号グループまたは異なる優先順位を持つエンドポイント:いずれの場合も、スクリプトはユーザ定義の暗号グループを作成し、プロファイルにバインドし、各プロファイルを適切なエンドポイントにバインドします。
- デフォルト設定とデフォルト暗号を使用するエンドポイント:デフォルトのプロファイルがエンドポイントにバインドされます。
スクリプトを実行するには、コマンドプロンプトで次のように入力します。./default_profile_script /nsconfig/ns.conf -b > <output file name>`このコマンドは、スクリプトを格納するフォルダーから実行する必要があります。 -
Citrix ADCコマンドラインまたはGUIを使用して、デフォルトのプロファイルを有効にします。
- コマンドラインで、次を入力します:
set ssl parameter -defaultProfile ENABLED。 - GUI を使用する場合は、[トラフィック管理] > [SSL] > [高度な SSL設定の変更] に移動し、下にスクロールして [デフォルトプロファイルの有効化] を選択します。
- コマンドラインで、次を入力します:
カスタム SSL プロファイル
デフォルトの SSL プロファイルのほかに、お客様は特定のユースケース用にカスタムのフロントエンドおよびバックエンド SSL プロファイルを作成できます。異なるアプリケーションが異なる暗号と SSL パラメータを必要とするシナリオが存在する可能性があります。このような場合、お客様は新しいプロファイルを作成し、エンドポイントにバインドできます。
システムに作成できるカスタムプロファイルの数には上限はありません。
SSLプロファイルなどを有効にする方法については、SSL プロファイルドキュメントを参照してください。
SSL フロントエンドプロファイル
フロントエンド SSL プロファイルは、SSL タイプの仮想サーバーおよび内部サービスに関連しています。フロントエンドプロファイルは、負荷分散仮想サーバー、コンテンツスイッチ仮想サーバー、AAA-TM 仮想サーバー、Gateway VPN 仮想サーバーカテゴリのすべての SSL タイプの仮想サーバーに適用されます。
SSL、SSL_TCP、SIP_SSL、SSL_FIX、SSL_DIAMETER-仮想サーバーの次のタイプは、フロントエンドプロファイルをサポートしています。
すべての内部サービスは、フロントエンドプロファイルをサポートしています。
SSL バックエンドプロファイル
バックエンドプロファイルは、SSL タイプサービス、サービスグループ、およびセキュアモニタに関連しています。次のタイプのサービスおよびサービスグループは、SSL、SSL_TCP、SIP_SSL、SSL_FIX、SSL_DIAMETER のバックエンドプロファイルをサポートします。
一部のモニタは、セキュアな接続を介してバックエンドサーバの健全性をチェックするように設定できます。SSL プロファイルをこのようなモニタにバインドして、SSL パラメータと暗号を設定できます。このようなモニターは、HTTP、HTTP-ECV、HTTP-インライン、TCP、およびTCP-ECVです。