Citrix ADC

SSL ポリシー

Citrix ADCアプライアンスのポリシーは、処理する特定の接続を識別するのに役立ちます。処理は、その特定のポリシーに対して設定されたアクションに基づいて行われます。ポリシーを作成し、そのアクションを設定したら、次のいずれかを実行する必要があります。

  • ポリシーをアプライアンス上の仮想サーバにバインドして、その仮想サーバを通過するトラフィックにのみ適用されるようにします。
  • ポリシーをグローバルにバインドして、Citrix ADCアプライアンスで構成された仮想サーバーを通過するすべてのトラフィックに適用します。

Citrix ADCアプライアンスのSSL機能は、高度なポリシー(詳細)ポリシーをサポートします。高度なポリシー式の詳細、その仕組み、および手動での設定方法の詳細については、「 ポリシーと式」を参照してください。

注:

CLI でのポリシーの設定に慣れていないユーザは、通常、設定ユーティリティの使用がかなり簡単になります。

SSL ポリシーでは、ポリシーの作成時にアクションを指定できるように、ポリシーを作成する前にアクションを作成する必要があります。 SSL 詳細ポリシーポリシーでは、組み込みアクションを使用することもできます。組み込みアクションの詳細については、 SSL 組み込みアクションとユーザー定義アクションを参照してください

SSL 高度なポリシーポリシー

SSL アドバンスドポリシーは、高度なポリシーとも呼ばれ、要求に対して実行されるコントロールまたはデータアクションを定義します。したがって、SSL ポリシーは、制御ポリシーとデータポリシーに分類できます。

  • 制御ポリシー。制御ポリシーは、クライアント認証の強制などの制御アクションを使用します。 注:リリース 10.5 以降では、SSL 再ネゴシエーションの拒否(denySSLreneg)はデフォルトで ALL に設定されます。ただし、CLIENTEAUTH などの制御ポリシーは、再ネゴシエーションハンドシェイクをトリガーします。このようなポリシーを使用する場合は、denySSLreneg を NO に設定する必要があります。
  • データポリシー。データポリシーは、リクエストへのデータの挿入などのデータアクションを使用します。

ポリシーの重要なコンポーネントは、式とアクションです。式は、アクションが実行されるリクエストを識別します。

詳細ポリシーは、組み込みアクションまたはユーザー定義アクションで構成できます。別のアクションを作成しなくても、組み込みアクションを使用してポリシーを設定できます。ただし、ユーザ定義アクションを使用してポリシーを設定するには、まずアクションを設定してから、ポリシーを設定します。

リクエストに式を適用した結果が未定義である場合に実行される、UNDEF アクションと呼ばれる追加のアクションを指定できます。

SSL ポリシー設定

SSL 詳細ポリシーは、CLI および GUI を使用して設定できます。

CLI を使用して SSL ポリシーを設定する

コマンドプロンプトで入力します。

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

GUI を使用した SSL ポリシーの設定

[ トラフィック管理] > [SSL] > [ポリシー ] に移動し、[ ポリシー ] タブで [ 追加] をクリックします。

TLS1.3 プロトコルでの SSL ポリシーのサポート

リリース 13.0 ビルド 71.x 以降から、TLS1.3 プロトコルを使用した SSL ポリシーのサポートが追加されました。TLSv1.3 プロトコルが接続に対してネゴシエートされると、クライアントから受信した TLS データを検査するポリシールールが、設定されたアクションをトリガーするようになりました。

たとえば、次のポリシールールが true を返した場合、トラフィックはアクションで定義されている仮想サーバに転送されます。

add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
<!--NeedCopy-->

制限事項

  • 制御ポリシーはサポートされていません。
  • 次のアクションはサポートされていません。
    • DOCLIENTAUTH
    • NOCLIENTAUTH
    • caCertGrpName
    • clientCertVerification
    • ssllogProfile
SSL ポリシー