ADC

SSLプロファイル

SSLプロファイルを使用して、Citrix ADCアプライアンスがSSLトラフィックを処理する方法を指定できます。プロファイルは、仮想サーバー、サービス、サービスグループなどの SSL エンティティの SSL パラメーター設定の集まりであり、構成が簡単で柔軟性があります。設定できるグローバルパラメータは 1 セットだけに限定されません。

グローバルパラメータの複数のセット (プロファイル) を作成し、異なる SSL エンティティに異なるセットを割り当てることができます。SSL プロファイルは次の 2 つのカテゴリに分類されます。

  • フロントエンドプロファイル:フロントエンドエンティティ (クライアントからリクエストを受け取るエンティティ) に適用されるパラメーターが含まれます。
  • バックエンドプロファイル:バックエンドエンティティ (クライアントリクエストをサーバーに送信するエンティティ) に適用されるパラメーターが含まれます。

TCP や HTTP プロファイルとは異なり、SSL プロファイルはオプションです。SSL プロファイルを有効にすると、すべての SSL エンドポイントがデフォルトプロファイルを継承します。同じプロファイルを複数のエンティティで再利用できます。エンティティにプロファイルが添付されていない場合は、グローバルレベルで設定された値が適用されます。動的に学習されるサービスには、現在のグローバル値が適用されます。

個々のSSLエンドポイントでSSLパラメータ、暗号、およびECC曲線を構成する必要がある代替方法と比較して、Citrix ADCアプライアンスのSSLプロファイルは、関連するすべてのエンドポイントのSSL構成の単一ポイントとして機能するため、構成管理が簡素化されます。SSL プロファイルを使用すると、暗号の順序変更や暗号の順序変更時のダウンタイムに関連する設定上の問題を解決できます。

SSL プロファイルは、従来これらのパラメータやバインディングを設定できない SSL エンドポイントに必要な SSL パラメータと暗号バインディングを設定するのに役立ちます。SSL プロファイルは安全なモニターにも設定できます。

SSL プロファイルインフラストラクチャは、最新の暗号とプロトコルを使用するように強化されました。レガシープロファイル (古いプロファイル) と拡張 SSL プロファイル (新しいプロファイル) の違いが強調表示されます。

古い SSL プロファイルインフラストラクチャと新しい SSL プロファイルインフラストラクチャの違い

相違点 古いプロフィール 新しいプロフィール
プロファイルに含まれる暗号とECCカーブ いいえ はい
既存のリストの中間への暗号または暗号グループの挿入 すべての暗号をバインド解除し、必要な優先度の順序で再度バインドします。 暗号を追加して優先順位を割り当てます。優先度が指定されていない場合、暗号にはリストで最も低い優先度が割り当てられます。
すべての暗号のバインド解除 unbind ssl vserver <name> ciphername –ALL unbind ssl profile –cipherName FlushAllCiphers (リリース12.1以降では、ALLは暗号グループと同様に扱われるため、すべての暗号または暗号グループをプロファイルからバインド解除するための flushAllCiphers パラメータが含まれています。)
SSLv3 の状態 なし デフォルトのフロントエンドプロファイル (ns_default_ssl_profile_frontend) では無効になっています。注:このプロファイルを有効にする前は、SSLv3 がグローバルに有効になっています。プロファイルを有効にすると、フロントエンドのデフォルトプロファイルで SSLv3 が無効になります。
SSLプロファイル