Citrix SD-WAN WANOP

SSL圧縮のしくみ

サーバー側アプライアンスはエンドポイントサーバーの セキュリティデリゲート として機能するため、SSL圧縮は接続のクリアテキストデータにアクセスできます。この動作が可能なのは、サーバー側アプライアンスがサーバーのセキュリティ資格情報(秘密鍵と証明書)のコピーで構成されており、サーバーに代わって動作できるようにしているためです。クライアントにとって、この動作はエンドポイントサーバーと直接通信することと同じです。

アプライアンスはサーバーのセキュリティデリゲートとして機能しているため、ほとんどの構成はサーバー側アプライアンスで行われます。クライアント側アプライアンス(またはプラグイン)はサーバー側アプライアンスのサテライトとして機能し、サーバーごとの構成を必要としません。

サーバー側とクライアント側のアプライアンスは、 SSLシグナリング接続を介してセッションステータスを共有します。元の接続が暗号化されているかどうかに関係なく、2つのアプライアンス間のすべての高速接続は SSLデータ接続を 介して送信されます。

注:SSL圧縮は、必ずしもすべてのリンクトラフィックを暗号化するわけではありません。元々暗号化されていたトラフィックは暗号化されたままですが、暗号化されていないトラフィックは常に暗号化されるとは限りません。アプライアンスは、加速されていないトラフィックを暗号化しようとはしません。特定の接続が高速化されるという絶対的な保証はないため(さまざまなイベントが高速化を妨げる)、アプライアンスが特定の暗号化されていない接続を暗号化するという保証はありません。

SSL圧縮は、透過プロキシまたは分割プロキシの2つのモードのいずれかで動作します。これらの2つのモードは、わずかに異なるSSL機能をサポートします。特定のアプリケーションに必要な機能を提供するモードを選択します。

使用するSSLプロキシモード-真のクライアント認証(つまり、個々のエンドポイントクライアントを正しく識別する認証)が必要で、Diffie-Hellman、Temp RSA、TLSセッションチケット、SSLバージョン2、またはセッションの再ネゴシエーションが必要 ない 場合にのみSSL透過プロキシモードを使用 ます。他のすべての展開にはSSL分割プロキシを使用します。

SSL透過プロキシ

SSL透過プロキシモード (Citrix SD-WAN WANOPプラグインの透過モードと混同しないでください)では、サーバー側のアプライアンスがサーバーになりすます。サーバーの資格情報(証明書とキーのペア)は、サーバーに代わって動作できるようにサーバー側のアプライアンスにインストールされます。次に、サーバー側アプライアンスは、接続のクライアント側を処理するようにクライアント側アプライアンスを構成します。サーバーの資格情報は、クライアント側のアプライアンスにインストールされていません。

このモードでは真のクライアント認証がサポートされていますが、TempRSAとDiffie-Hellmanはサポートされていません。SSL透過プロキシモードは、クライアント認証を必要とするアプリケーションに適していますが、次の機能のいずれも必要とされない場合に限ります:Diffie-Hellman、Temp RSA、TLSセッションチケット、SSLバージョン2。また、セッションの再ネゴシエーションを試行しないでください。そうしないと、接続が終了します。

クライアント側アプライアンスでの構成は不要であり(サーバー側アプライアンスとの安全なピアリング関係の構成を除く)、サーバーと直接通信しているかのように接続を処理するクライアントでの構成も必要ありません。

ローカライズされた画像

SSL分割プロキシ

SSL分割プロキシモード は、多くのアプリケーションで必要とされるTemp RSAとDiffie-Hellmanをサポートしているため、ほとんどの場合に推奨されます。SSL分割プロキシモードでは、サーバー側アプライアンスはサーバーからクライアントへ、およびクライアントからサーバーへのマスカレードを行います。サーバー側のアプライアンスにサーバーの資格情報(証明書とキーのペア)をインストールして、サーバーに代わって動作できるようにします。

分割プロキシモードは、オプションのクライアント資格情報をインストールした場合にもプロキシクライアント認証をサポートします。オプションのクライアント資格情報は、クライアント認証を要求した場合にエンドポイントサーバーアプリケーションに提示されます。これらのクライアント資格情報は、実際のエンドポイントクライアントの資格情報の代わりに表示されます。(エンドポイントクライアントの資格情報がアプリケーションで必要な場合は、透過プロキシを使用します。)

このモードでは真のクライアント認証がサポートされていないため、サーバーは実際のエンドポイントクライアントを認証できません。サーバー側アプライアンスがクライアント資格情報で構成されていない場合、サーバー側アプリケーションによるクライアント認証の試行はすべて失敗します。サーバー側アプライアンスがクライアント資格情報で構成されている場合、実際のクライアントのIDに関係なく、クライアント認証のすべての要求はこれらの資格情報で応答されます。

クライアント側アプライアンスでの構成は必要ありません(サーバー側アプライアンスとの安全なピアリング関係の構成を除く)。また、接続をサーバーと直接通信しているかのように扱うクライアントでの構成も必要ありません。サーバー側アプライアンスのサーバー資格情報は、クライアント側アプライアンスにインストールされていません。

複数のサーバーをサポートするために、SSLプロファイルごとに1つずつ、複数のプライベート証明書とキーのペアをアプライアンスにインストールできます。サービスクラス定義の特別なSSLルールは、サーバーをSSLプロファイルに一致させ、SSLプロファイルを資格情報に一致させます。

SSL分割プロキシモードでは、CA証明書と証明書とキーのペア、およびCA証明書は、実際にはサーバーのものと一致する必要はありませんが、一致する必要があります。分割プロキシの性質上、サーバー側アプライアンスは、クライアントアプリケーションに受け入れられる資格情報(信頼できる機関によって発行された有効な資格情報)を使用できます。HTTPS接続の場合、共通名がURLのドメイン名と一致しないと、Webブラウザーは警告を発行することに注意してください。一般に、サーバーの資格情報のコピーを使用する方が問題のないオプションです。

ローカライズされた画像

SSL圧縮のしくみ