Citrix ADC

SSL ポリシー

Citrix ADCアプライアンスのポリシーは、処理する特定の接続を識別するのに役立ちます。処理は、その特定のポリシーに対して設定されているアクションに基づきます。ポリシーを作成してそのアクションを構成したら、次のいずれかを実行する必要があります。

  • ポリシーをアプライアンス上の仮想サーバーにバインドして、その仮想サーバーを流れるトラフィックにのみ適用されるようにします。
  • ポリシーをグローバルにバインドして、Citrix ADCアプライアンスで構成された仮想サーバーを通過するすべてのトラフィックに適用されるようにします。

Citrix ADCアプライアンスのSSL機能は、デフォルトの構文(詳細)ポリシーをサポートします。デフォルトの構文式、それらの動作方法、およびそれらを手動で設定する方法については、 ポリシーと式を参照してください

注:

CLI でのポリシーの設定に慣れていないユーザは、通常、設定ユーティリティの使用がかなり簡単になります。

SSL ポリシーでは、ポリシーを作成するときにアクションを指定できるように、ポリシーを作成する前にアクションを作成する必要があります。 SSL のデフォルト構文ポリシーでは、組み込みアクションを使用することもできます。組み込みアクションの詳細については、 SSL 組み込みアクションとユーザー定義アクションを参照してください

SSL のデフォルト構文ポリシー

SSL デフォルト構文ポリシー(詳細ポリシーとも呼ばれる)は、要求に対して実行される制御またはデータアクションを定義します。したがって、SSL ポリシーは、制御ポリシーおよびデータポリシーとして分類できます。

  • 制御ポリシー。制御ポリシーは、クライアント認証の強制などの制御アクションを使用します。 注意:リリース 10.5 以降では、SSL 再ネゴシエーションの拒否(denySSLReneg)はデフォルトで ALL に設定されています。ただし、CLIENTAUTH などの制御ポリシーは、再ネゴシエーションハンドシェイクをトリガーします。このようなポリシーを使用する場合は、denySSLReneg を NO に設定する必要があります。
  • データポリシー。データポリシーは、リクエストにデータを挿入するなどのデータアクションを使用します。

ポリシーの重要なコンポーネントは、式とアクションです。式は、アクションが実行される要求を識別します。

組み込みアクションまたはユーザー定義アクションを使用して、デフォルトの構文ポリシーを設定できます。別のアクションを作成しなくても、組み込みアクションを使用してポリシーを設定できます。ただし、ユーザ定義のアクションを使用してポリシーを設定するには、まずアクションを設定してから、ポリシーを設定します。

UNDEF アクションと呼ばれる追加のアクションを指定できます。このアクションは、要求に式を適用すると未定義の結果が生じた場合に実行されます。

SSL ポリシー構成

CLI および GUI を使用して、SSL デフォルト構文ポリシーを設定できます。

CLI を使用した SSL ポリシーの設定

コマンドプロンプトで入力します。

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

GUI を使用した SSL ポリシーの構成

Traffic Management > SSL > Policiesに移動してPolicesタブでAddをクリックします。

SSLポリシーとTLS1.3プロトコルのサポート

リリース13.0ビルド71.x以降では、TLS1.3プロトコルを使用したSSLポリシーのサポートが追加されています。TLSv1.3プロトコルが接続についてネゴシエートされると、クライアントから受信したTLSデータを検査するポリシールールが設定されたアクションをトリガーするようになりました。

たとえば、次のポリシールールがtrueを返す場合、トラフィックはアクションで定義された仮想サーバーに転送されます。

add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
<!--NeedCopy-->

制限事項

  • 制御ポリシーはサポートされていません。
  • これらの操作はサポートされていません。
    • DOCLIENTAUTH
    • NOCLIENTAUTH
    • caCertGrpName
    • clientCertVerification
    • ssllogProfile
SSL ポリシー