Citrix ADC

HTTP 厳密なトランスポートセキュリティ (HSTS) のサポートを構成します

Citrix ADCアプライアンスは、SSLプロファイルおよびSSL仮想サーバーの組み込みオプションとして、HTTP厳密なトランスポートセキュリティ(HSTS)をサポートします。HSTS を使用すると、サーバーはクライアントとのすべての通信に HTTPS 接続の使用を強制できます。つまり、HTTPS を使用してのみサイトにアクセスできます。SSL Labs からの A+ 認証には、HSTS のサポートが必要です。

SSL フロントエンドプロファイルまたは SSL 仮想サーバーで HSTS を有効にします。SSL プロファイルを有効にする場合は、SSL 仮想サーバで有効にする代わりに、SSL プロファイルで HSTS を有効にする必要があります。最大経過時間ヘッダーを設定することで、HSTS がそのクライアントに対して有効であることを指定します。サブドメインを含めるかどうかを指定することもできます。たとえば、www.abc.example.com や www.xyx.example.com など、www.example.com のサブドメインにアクセスできるように指定するには、IncludeSubdomains パラメーターを YES に設定します。

HSTS をサポートする Web サイトにアクセスする場合、サーバーからの応答ヘッダーには、次のようなエントリが含まれます。

HSTS 応答ヘッダー

クライアントは、max-age パラメータで指定された時間だけこの情報を保存します。その Web サイトへの後続の要求では、クライアントは HSTS エントリのメモリをチェックします。エントリが見つかった場合、HTTPS を使用してのみ、その Web サイトにアクセスします。

SSL プロファイルまたは SSL 仮想サーバの作成時に、add コマンドを使用して HSTS を設定できます。set コマンドを使用して、既存の SSL プロファイルまたは SSL 仮想サーバに HSTS を設定することもできます。

CLI を使用した HSTS の設定

コマンドプロンプトで入力します。

add ssl vserver <vServerName> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO)
<!--NeedCopy-->

または

add ssl profile <name> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO )

Arguments

HSTS

         State of HTTP Strict Transport Security (HSTS) on an SSL virtual server or SSL profile. Using HSTS, a server can enforce the use of an HTTPS connection for all communication with a client.

          Possible values: ENABLED, DISABLED

          Default: DISABLED

maxage

          Set the maximum time, in seconds, in the strict transport security (STS) header during which the client must send only HTTPS requests to the server.

          Default: 0

          Minimum: 0

          Maximum: 4294967294

IncludeSubdomains

         Enable HSTS for subdomains. If set to Yes, a client must send only HTTPS requests for subdomains.

          Possible values: YES, NO

          Default: NO
<!--NeedCopy-->

次の例では、クライアントは、HTTPS を使用してのみ 157,680,000 秒間、Web サイトとそのサブドメインにアクセスする必要があります。

add ssl vserver VS-SSL –HSTS ENABLED –maxage 157680000 –IncludeSubdomain YES
<!--NeedCopy-->
add sslProfile hstsprofile –HSTS ENABLED –maxage 157680000 –IncludeSubdomain YES
<!--NeedCopy-->

GUI を使用して HSTS を構成する

  1. トラフィック管理」>「負荷分散」>「仮想サーバー」に移動し、「SSL」タイプの仮想サーバーを選択して「 編集」をクリックします。

アプライアンスでデフォルトの SSL プロファイルが有効になっている場合は、次の手順を実行します。

  1. SSL プロファイルを選択し、[Edit] をクリックします。

  2. [基本設定] で、鉛筆アイコンをクリックして設定を編集します。下にスクロールして、[HSTS] と [サブドメインを含める] を選択します。

    HSTS の有効化

アプライアンスでデフォルトの SSL プロファイルが有効になっていない場合は、次の手順を実行します。

  1. [詳細設定]で、[SSL パラメータ]を選択します。

  2. [HSTS] と [サブドメインを含める] を選択します。

    仮想サーバ上でHSTSを有効にする

HSTS プリロードのサポート

:

この機能は、リリース 12.1 ビルド 51.x 以降で使用できます。

Citrix ADCアプライアンスは、HTTPレスポンスヘッダーへのHSTSプリロードの追加をサポートしています。プリロードを含めるには、SSL 仮想サーバーまたは SSL プロファイルのpreload パラメータを YES に設定する必要があります。アプライアンスは、クライアントへの HTTP 応答ヘッダーにプリロードを含めます。この機能は、CLI と GUI の両方を使用して設定できます。HSTS プリロードの詳細については、https://hstspreload.org/を参照してください。

次に、プリロードを使用した有効な HSTS ヘッダーの例を示します。

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
<!--NeedCopy-->
Strict-Transport-Security: max-age=63072000; preload
<!--NeedCopy-->

CLI を使用した HSTS プリロードの設定

コマンドプロンプトで入力します。

add ssl vserver <vServerName> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -preload ( YES | NO )
<!--NeedCopy-->

または

add ssl profile <name> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO ) -preload ( YES | NO )
<!--NeedCopy-->

GUI を使用した HSTS プリロードの設定

アプライアンスでデフォルトの SSL プロファイルが有効になっている場合は、次の手順を実行します。

  1. [システム] > [プロファイル] > [SSL プロファイル] に移動します。SSL プロファイルを選択し、[Edit] をクリックします。

  2. [基本設定] で、鉛筆アイコンをクリックして設定を編集します。下にスクロールして、[HSTSプリロード] を選択します。

    HSTS の有効化

アプライアンスでデフォルトの SSL プロファイルが有効になっていない場合は、次の手順を実行します。

  1. トラフィック管理」>「負荷分散」>「仮想サーバー」に移動し、「SSL」タイプの仮想サーバーを選択して「 編集」をクリックします。

  2. [詳細設定]で、[SSL パラメータ]を選択します。

  3. HSTS 」と「 プリロード」 を選択します。

    仮想サーバ上でHSTSを有効にする

HTTP 厳密なトランスポートセキュリティ (HSTS) のサポートを構成します