Citrix ADC

レガシー SSL プロファイル

注:

従来のプロファイルではなく、拡張プロファイルの使用をお勧めします。拡張プロファイルインフラストラクチャの詳細については、「SSLプロファイルインフラストラクチャ」を参照してください。

重要:

SSL プロファイルを SSL 仮想サーバーにバインドする必要があります。DTLS プロファイルを SSL 仮想サーバーにバインドしないでください。DTLS プロファイルの詳細については、DTLS プロファイルを参照してください。

SSLプロファイルを使用して、Citrix ADCがSSLトラフィックを処理する方法を指定できます。このプロファイルは、仮想サーバ、サービス、サービスグループなどの SSL エンティティの SSL パラメータ設定の集まりであり、設定の容易さと柔軟性を提供します。グローバルパラメータのセットを 1 つだけ設定することに限定されません。グローバルパラメータの複数のセット(プロファイル)を作成し、異なる SSL エンティティに異なるセットを割り当てることができます。SSL プロファイルは、次の 2 つのカテゴリに分類されます。

  • フロントエンドプロファイル。フロントエンドエンティティに適用可能なパラメータを含みます。つまり、クライアントからの要求を受信するエンティティに適用されます。
  • バックエンドプロファイル。バックエンドエンティティに適用可能なパラメータを含みます。つまり、クライアント要求をサーバーに送信するエンティティに適用されます。

TCP または HTTP プロファイルとは異なり、SSL プロファイルはオプションです。したがって、デフォルトの SSL プロファイルはありません。複数のエンティティ間で同じプロファイルを再利用できます。図形に縦断がアタッチされていない場合は、グローバルレベルで設定された値が適用されます。動的に学習されたサービスには、現在のグローバル値が適用されます。

次の表に、各プロファイルの一部であるパラメータを示します。

フロントエンドプロファイル バックエンドプロファイル
cipherRedirect, cipherURL denySSLReneg
clearTextPort* encryptTriggerPktCount
clientAuth, clientCert nonFipsCiphers
denySSLReneg pushEncTrigger
dh, dhFile, dhCount pushEncTriggerTimeout
dropReqWithNoHostHeader pushFlag
encryptTriggerPktCount quantumSize
eRSA, eRSACount serverAuth
insertionEncoding commonName
nonFipsCiphers sessReuse, sessTimeout
pushEncTrigger SNIEnable
pushEncTriggerTimeout ssl3
pushFlag sslTriggerTimeout
quantumSize strictCAChecks
redirectPortRewrite tls1
sendCloseNotify -
sessReuse, sessTimeout -
SNIEnable -
ssl3 -
sslRedirect -
sslTriggerTimeout -
strictCAChecks -
tls1, tls11, tls12 -

* clearTextPort パラメーターは、SSL 仮想サーバーにのみ適用されます。

プロファイルに含まれないパラメータを設定しようとすると(たとえば、バックエンドプロファイルで clientAuth パラメータを設定しようとした場合)、エラーメッセージが表示されます。

CRL メモリサイズ、OCSP キャッシュサイズ、UndefAction コントロール、UndefAction データなど、一部の SSL パラメータは、これらのパラメータはエンティティから独立しているため、上記のプロファイルには含まれません。

SSL プロファイルでは、次の操作がサポートされます。

  • 追加:Citrix ADC上にSSLプロファイルを作成します。プロファイルがフロントエンドかバックエンドかを指定します。フロントエンドがデフォルトです。
  • 設定-既存のプロファイルの設定を変更します。
  • 設定解除-指定したパラメータをデフォルト値に設定します。パラメータを指定しない場合は、エラーメッセージが表示されます。エンティティのプロファイルを設定解除すると、そのプロファイルはエンティティからバインド解除されます。
  • 除去-プロファイルを削除します。どのエンティティでも使用されているプロファイルも削除できません。設定をクリアすると、すべてのエンティティが削除されます。その結果、プロファイルも削除されます。
  • 表示:Citrix ADCで使用可能なすべてのプロファイルを表示します。プロファイル名を指定すると、そのプロファイルの詳細が表示されます。図形を指定すると、その図形に関連付けられた縦断が表示されます。

CLI を使用した SSL プロファイルの作成

  • SSL プロファイルを追加するには、次のように入力します。
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
  • 既存のプロファイルを変更するには、次のように入力します。
set ssl profile <name>
  • 既存のプロファイルを設定解除するには、次のように入力します。
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
  • エンティティから既存のプロファイルを設定解除するには、次のように入力します。
unset ssl vserver <vServerName> –sslProfile
  • 既存のプロファイルを削除するには、次のように入力します。
rm ssl profile <name>
  • 既存のプロファイルを表示するには、次のように入力します。
sh ssl profile <name>

GUI を使用した SSL プロファイルの作成

[システム] > [プロファイル] に移動し、[SSL プロファイル] タブを選択して SSL プロファイルを作成します。

クライアント証明書の検証の厳密な制御を可能にする

Citrix ADCアプライアンスは、単一のルートCAによって発行された有効な中間CA証明書を受け入れます。つまり、ルートCA証明書のみが仮想サーバーにバインドされ、クライアント証明書とともに送信される中間証明書がそのルートCAによって検証される場合、アプライアンスは証明書チェーンを信頼し、ハンドシェイクは成功します。

ただし、クライアントがハンドシェイクで一連の証明書を送信する場合、証明書が SSL 仮想サーバーにバインドされていない限り、CRL または OCSP レスポンダーを使用して中間証明書を検証することはできません。したがって、中間証明書の 1 つが失効しても、ハンドシェイクは成功します。ハンドシェイクの一部として、SSL 仮想サーバーは、バインドされている CA 証明書のリストを送信します。より厳密に制御するには、その仮想サーバーにバインドされている CA 証明書のいずれかによって署名された証明書のみを受け入れるように SSL 仮想サーバーを構成できます。これを行うには、仮想サーバーにバインドされている SSL プロファイルで ClientAuthUseBoundCAChain 設定を有効にする必要があります。クライアント証明書が仮想サーバーにバインドされている CA 証明書のいずれかによって署名されていない場合、ハンドシェイクは失敗します。

たとえば、clientcert1 と clientcert2 の 2 つのクライアント証明書が、それぞれ中間証明書 Int-CA-A とInt-CA-B によって署名されているとします。中間証明書は、ルート証明書 Root-CA によって署名されます。Int-CA-A とルート CA は SSL 仮想サーバーにバインドされます。既定の場合 (クライアント認証の境界キャッシュが無効の場合)、クライアント 1 とクライアント 2 の両方が受け入れられます。ただし、クライアント認証UseBoundCAChainが有効になっている場合は、クライアント1のみがCitrix ADCアプライアンスで受け入れられます

CLI を使用したクライアント証明書の検証の厳密な制御の有効化

コマンドプロンプトで、次のように入力します。set ssl profile <name> -ClientAuthUseBoundCAChain Enabled

GUI を使用したクライアント証明書の検証の厳密な制御の有効化

  1. [システム] > [プロファイル] に移動し、[SSL プロファイル] タブを選択して SSL プロファイルを作成するか、既存のプロファイルを選択します。
  2. [バインドされた CA チェーンを使用したクライアント認証を有効にする] を選択します。

レガシー SSL プロファイル