Citrix SD-WAN

SSL圧縮を構成する

Citrix SD-WAN WANOP SSL圧縮機能を使用すると、SSL接続(HTTPSトラフィックなど)のマルチセッション圧縮が可能になり、最大10, 000:1 の圧縮率が提供されます。詳細については、「 SSL 圧縮」を参照してください

SSL 圧縮が機能するには、SD-WAN WANOP アプライアンスにサーバーまたはクライアントからの証明書が必要です。複数のサーバーをサポートするために、SSLプロファイルごとに1つずつ、複数の秘密鍵をアプライアンスにインストールできます。サービスクラス定義の特別なSSLルールは、サーバーをSSLプロファイルに一致させ、SSLプロファイルを秘密鍵に一致させます。

SSL圧縮は、スプリットプロキシモードまたはトランスペアレントプロキシモードで機能します。要件に応じてモードを選択できます。詳細については、「SSL 圧縮のしくみ」を参照してください 。

透過プロキシモードは現在サポートされていません。

SSLトンネルによる安全なアクセスを可能にするために、最新のSSLプロトコルTLS1.2がSSLプロキシで使用されます。TLS1.2プロトコルのみを使用するか、TLS1.0、TLS1.1、およびTLS1.2プロトコルを使用するかを選択できます。

SSLプロトコルSSLv3およびSSLv2はサポートされなくなりました。

SSL圧縮を構成するには:

  1. サーバーのCA証明書と秘密証明書とキーのペアのコピーを取得し、サーバー側のアプライアンスにインストールします。これらの資格情報は、アプリケーション固有である可能性があります。つまり、サーバーは、ApacheWebサーバーとRPC over HTTPSを実行しているExchange Serverの資格情報が異なる場合があります。

  2. 分割プロキシSSLプロファイルまたは透過プロキシSSLプロファイルの作成を選択できます。

スプリットプロキシ SSL プロファイルの構成については、後述の「スプリットプロキシ SSL プロファイルの 構成」 セクションを参照してください。

トランスペアレントプロキシ SSL プロファイルの設定については、後述の「トランスペアレントプロキシ SSL プロファイルの設定」を参照してください。

透過プロキシSSLプロファイルは現在サポートされていません。

  1. SSLプロファイルをサーバー側アプライアンスのサービスクラスにアタッチします。これは、サーバーIPに基づいて新しいサービスクラスを作成するか、既存のサービスクラスを変更することによって実行できます。

詳細については、後述の「サービスクラスの 作成または変更」 セクションを参照してください。

  1. クライアント側アプライアンスでサービスクラスを設定します。SSLトラフィックは、アクセラレーションと圧縮を可能にするクライアント側アプライアンスのサービスクラスに分類されない限り、圧縮されません。これは、SSLルールではなく通常のサービスクラスルールにすることができます(サーバー側アプライアンスのみがSSLルールを必要とします)が、アクセラレーションと圧縮を有効にする必要があります。トラフィックは、「HTTPS」や「その他の TCP トラフィック」などの既存のサービスクラスに分類されます。このクラスのポリシーでアクセラレーションと圧縮が有効になっている場合、追加の構成は必要ありません。

  2. ルールの動作を確認します。アプライアンスを介してSSLアクセラレーションを受信する必要があるトラフィックを送信します。サーバー側アプライアンスの[監視]:[最適化]:[接続]:[アクセラレーション接続]タブで、[サービスクラス]列は安全なアクセラレーション用に設定したサービスクラスと一致し、[SSLプロキシ]列には適切な接続の場合はTrueが表示されます。

スプリットプロキシ SSL プロファイルの設定

分割プロキシSSLプロファイルを構成するには:

  1. サーバー側のNetscaler SD-WAN WOアプライアンスで、構成]>[ セキュアアクセラレーション ]>[ SSLプロファイル ]に移動し、[プロファイルの 追加]をクリックします

SSLプロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートすることができます。

  1. [ プロファイル名 ] フィールドに SSL プロファイルの名前を入力し、[ プロファイル有効] を選択します。

  2. SSL サーバーが複数の仮想ホスト名を使用している場合は、[Vir tual Host Name ] フィールドにターゲットの仮想ホスト名を入力します。これは、サーバーの資格情報にリストされているホスト名です。

ローカライズされた画像

複数の仮想ホストをサポートするには、ホスト名ごとに個別のSSLプロファイルを作成します。

  1. [** プロキシタイプを **スプリット] を選択します。

  2. [ 証明書の検証 ] フィールドで、ポリシーで特に指定されていない限り、デフォルト値(署名/有効期限)を保持します。

  3. サーバー側のプロキシ構成を実行します。

検証ストア] フィールドで、既存のサーバー認証局(CA)を選択するか、[ +]をクリックしてサーバーCA をアップロードします。

[ 認証が必要 ] を選択し、[ 証明書/秘密キー]フィールドで証明書キーペアを選択するか、[ +] をクリックして証明書キーペア をアップロードします。

[ Protocol Version] フィールドで、サーバーが受け入れるプロトコルを選択します。

NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、または TLS1.2の組み合わせ のみをサポートします。SSLプロトコルSSLv3およびSSLv2はサポートされていません。

必要に応じて、OpenSSL 構文を使用して、 暗号仕様 文字列を編集します。

必要に応じて、[Renegotation Type]ドロップダウンリストから再ネゴシエーションのタイプを選択して、クライアント側の SSL セッションの再ネゴシエーションを許可します。

ローカライズされた画像

  1. クライアント側のプロキシ構成を実行します。

[ 証明書/秘密キー ] フィールドで、デフォルト値をそのまま使用します。

サーバー側アプライアンスで SSL 証明書チェーン を構築 できるようにするには、[証明書チェーンの構築] を選択します。

必要に応じて、証明書チェーンストアとして使用するCAストアを選択またはアップロードします。

[ Protocol Version] フィールドで、クライアント側でサポートするプロトコルのバージョンを選択します。

NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、または TLS1.2の組み合わせ のみをサポートします。SSLプロトコルSSLv3およびSSLv2はサポートされていません。

必要に応じて、クライアント側の暗号仕様を編集します。

必要に応じて、[Renegotation Type]ドロップダウンリストから再ネゴシエーションのタイプを選択して、クライアント側の SSL セッションの再ネゴシエーションを許可します。

ローカライズされた画像

  1. [ 作成] をクリックします

トランスペアレントプロキシ SSL プロファイルの設定

透過プロキシSSLプロファイルを構成するには:

  1. サーバー側のNetscaler SD-WAN WOアプライアンスで、構成]>[ セキュアアクセラレーション ]>[ SSLプロファイル ]に移動し、[プロファイルの 追加]をクリックします

SSLプロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートすることができます。

  1. [ Profile Name ] フィールドに SSL プロファイルの名前を入力し、[Profile Enabled] を選択します **

  2. SSL サーバーが複数の仮想ホスト名を使用している場合は、[Vir tual Host Name ] フィールドにターゲットの仮想ホスト名を入力します。これは、サーバーの資格情報にリストされているホスト名です。

複数の仮想ホストをサポートするには、ホスト名ごとに個別のSSLプロファイルを作成します。

ローカライズされた画像

  1. [ 透過 プロキシタイプ] を選択します。

  2. [ SSL Server のプライベートキー] フィールドで、ドロップダウンメニューからサーバーのプライベートキーを選択するか、[ + ] をクリックして新しいプライベートキーをアップロードします。

  3. [ 作成] をクリックします

サービスクラスの作成または変更

サービスクラスを作成または変更してSSLプロファイルを添付するには:

  1. Netscaler SD-WAN WOアプライアンスのWebインターフェイスで、[ 構成]>[最適化ルール]>[サービスクラス ]に移動し、[ 追加]をクリックします。既存のサービスクラスを編集するには、適切なサービスクラスを選択し、「 編集」をクリックします
  2. [Name] フィールドに、新しいサービスクラスの名前(「アクセラレーションHTTPS」など)を入力します。
  3. アクセラレーションポリシーを [ ディスクメモリ、 または フロー制御] に設定して、圧縮を有効にします
  4. [ フィルタルール]セクションで、[ 追加] をクリックします
  5. [ 宛先 IP アドレス] フィールドに、サーバの IP アドレス (たとえば、172.16.0.1、または 172.16.0.1/32.1 など) を入力します。** [ **方向] フィールドで、ルールを [単方向] に設定します。双方向が指定されている場合、SSLプロファイルは無効になります。
  6. [ SSL プロファイル]セクションで、作成した SSL プロファイルを選択し、[ 構成済み] セクションに移動します。
  7. [ Create ] をクリックしてルールを作成します。
  8. [ Create ] をクリックして、サービスクラスを作成します。

更新されたCLIコマンド

NetScaler SD-WAN WO 9.3は、最新のTLS1.2 SSLプロトコルをサポートしています。TLS1.2プロトコルのみを使用するか、TLSプロトコルの任意のバージョンを使用するかを選択できます。SSLプロトコルSSLv3とSSLv2、および透過プロキシSSLプロファイルはサポートされていません。addssl-profile および set ssl-profile CLI コマンドが更新され、これらの変更が反映されます。

```

  • add ssl-profile - name “profile-name” - -state {enable, disable} - -proxy-type split - -virtual-hostname “hostname” - -cert-key “cert-key-pair-name” - [-build-cert-chain {enable, disable}] - [-cert-chain-store {use-all-configured-CA-stores, “store-name”}] - [-cert-verification {none, Signature/Expiration, Signature/Expiration/ - Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}] - [-verification-store {use-all-configured-CA-stores, “store-name”}] - [-server-side-protocol { TLS-1.2, TLS-version-any}] - [-server-side-ciphers “ciphers”] - [-server-side-authentication {enable, disable}] - [-server-side-cert-key “cert-key-pair-name”] - [-server-side-build-cert-chain {enable, disable}] - [-server-side-renegotiation {disable-old-style, enable-old-style, new-style, - compatible} [-client-side-protocol-version { TLS-1.2, TLS-version-any}] [-client-side-ciphers “ciphers”] [-client-side-renegotiation {disable-old-style, enable-old-style, new-style, compatible}] - set ssl-profile - -name “profile-name” [-state {enable, disable}] - [-proxy-type split] - [-virtual-hostname “hostname”] - [-cert-key “cert-key-pair-name”] - [-build-cert-chain {enable, disable}] - [-cert-chain-store {use-all-configured-CA-stores, “store-name”}] - [-cert-verification {none, Signature/Expiration, Signature/Expiration/ - Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}] - [-verification-store {use-all-configured-CA-stores, “store-name”}] - [-server-side-protocol {TLS-1.2, TLS-version-any}] - [-server-side-ciphers “ciphers”] - [-server-side-authentication {enable, disable}] - [-server-side-cert-key “cert-key-pair-name”] - [-server-side-build-cert-chain {enable, disable}] - [-server-side-renegotiation {disable-old-style, enable-old-style, new-style, compatible}] [-client-side-protocol-version {TLS-1.2, TLS-version-any}] [-client-side-ciphers “ciphers”] [-client-side-renegotiation {disable-old-style, enable-old-style, new-style, compatible}] ```

その他の SSL 構成コマンドは変更されません。詳細については、「 SSL 設定」を参照してください

SSL圧縮を構成する