This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
SSL圧縮を構成する
Citrix SD-WAN WANOP SSL圧縮機能を使用すると、SSL接続(HTTPSトラフィックなど)のマルチセッション圧縮が可能になり、最大10, 000:1 の圧縮率が提供されます。詳細については、「 SSL 圧縮」を参照してください。
SSL 圧縮が機能するには、SD-WAN WANOP アプライアンスにサーバーまたはクライアントからの証明書が必要です。複数のサーバーをサポートするために、SSLプロファイルごとに1つずつ、複数の秘密鍵をアプライアンスにインストールできます。サービスクラス定義の特別なSSLルールは、サーバーをSSLプロファイルに一致させ、SSLプロファイルを秘密鍵に一致させます。
SSL圧縮は、スプリットプロキシモードまたはトランスペアレントプロキシモードで機能します。要件に応じてモードを選択できます。詳細については、「SSL 圧縮のしくみ」を参照してください 。
注
透過プロキシモードは現在サポートされていません。
SSLトンネルによる安全なアクセスを可能にするために、最新のSSLプロトコルTLS1.2がSSLプロキシで使用されます。TLS1.2プロトコルのみを使用するか、TLS1.0、TLS1.1、およびTLS1.2プロトコルを使用するかを選択できます。
注
SSLプロトコルSSLv3およびSSLv2はサポートされなくなりました。
SSL圧縮を構成するには:
-
サーバーのCA証明書と秘密証明書とキーのペアのコピーを取得し、サーバー側のアプライアンスにインストールします。これらの資格情報は、アプリケーション固有である可能性があります。つまり、サーバーは、ApacheWebサーバーとRPC over HTTPSを実行しているExchange Serverの資格情報が異なる場合があります。
-
分割プロキシSSLプロファイルまたは透過プロキシSSLプロファイルの作成を選択できます。
スプリットプロキシ SSL プロファイルの構成については、後述の「スプリットプロキシ SSL プロファイルの 構成」 セクションを参照してください。
トランスペアレントプロキシ SSL プロファイルの設定については、後述の「トランスペアレントプロキシ SSL プロファイルの設定」を参照してください。
注
透過プロキシSSLプロファイルは現在サポートされていません。
- SSLプロファイルをサーバー側アプライアンスのサービスクラスにアタッチします。これは、サーバーIPに基づいて新しいサービスクラスを作成するか、既存のサービスクラスを変更することによって実行できます。
詳細については、後述の「サービスクラスの 作成または変更」 セクションを参照してください。
-
クライアント側アプライアンスでサービスクラスを設定します。SSLトラフィックは、アクセラレーションと圧縮を可能にするクライアント側アプライアンスのサービスクラスに分類されない限り、圧縮されません。これは、SSLルールではなく通常のサービスクラスルールにすることができます(サーバー側アプライアンスのみがSSLルールを必要とします)が、アクセラレーションと圧縮を有効にする必要があります。トラフィックは、「HTTPS」や「その他の TCP トラフィック」などの既存のサービスクラスに分類されます。このクラスのポリシーでアクセラレーションと圧縮が有効になっている場合、追加の構成は必要ありません。
-
ルールの動作を確認します。アプライアンスを介してSSLアクセラレーションを受信する必要があるトラフィックを送信します。サーバー側アプライアンスの[監視]:[最適化]:[接続]:[アクセラレーション接続]タブで、[サービスクラス]列は安全なアクセラレーション用に設定したサービスクラスと一致し、[SSLプロキシ]列には適切な接続の場合はTrueが表示されます。
スプリットプロキシ SSL プロファイルの設定
分割プロキシSSLプロファイルを構成するには:
- サーバー側のNetscaler SD-WAN WOアプライアンスで、[構成]>[ セキュアアクセラレーション ]>[ SSLプロファイル ]に移動し、[プロファイルの 追加]をクリックします。
注
SSLプロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートすることができます。
-
[ プロファイル名 ] フィールドに SSL プロファイルの名前を入力し、[ プロファイル有効] を選択します。
-
SSL サーバーが複数の仮想ホスト名を使用している場合は、[Vir tual Host Name ] フィールドにターゲットの仮想ホスト名を入力します。これは、サーバーの資格情報にリストされているホスト名です。
注
複数の仮想ホストをサポートするには、ホスト名ごとに個別のSSLプロファイルを作成します。
-
[** プロキシタイプを **スプリット] を選択します。
-
[ 証明書の検証 ] フィールドで、ポリシーで特に指定されていない限り、デフォルト値(署名/有効期限)を保持します。
-
サーバー側のプロキシ構成を実行します。
[ 検証ストア] フィールドで、既存のサーバー認証局(CA)を選択するか、[ +]をクリックしてサーバーCA をアップロードします。
[ 認証が必要 ] を選択し、[ 証明書/秘密キー]フィールドで証明書キーペアを選択するか、[ +] をクリックして証明書キーペア をアップロードします。
[ Protocol Version] フィールドで、サーバーが受け入れるプロトコルを選択します。
注
NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、または TLS1.2の組み合わせ のみをサポートします。SSLプロトコルSSLv3およびSSLv2はサポートされていません。
必要に応じて、OpenSSL 構文を使用して、 暗号仕様 文字列を編集します。
必要に応じて、[Renegotation Type]ドロップダウンリストから再ネゴシエーションのタイプを選択して、クライアント側の SSL セッションの再ネゴシエーションを許可します。
- クライアント側のプロキシ構成を実行します。
[ 証明書/秘密キー ] フィールドで、デフォルト値をそのまま使用します。
サーバー側アプライアンスで SSL 証明書チェーン を構築 できるようにするには、[証明書チェーンの構築] を選択します。
必要に応じて、証明書チェーンストアとして使用するCAストアを選択またはアップロードします。
[ Protocol Version] フィールドで、クライアント側でサポートするプロトコルのバージョンを選択します。
注
NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、または TLS1.2の組み合わせ のみをサポートします。SSLプロトコルSSLv3およびSSLv2はサポートされていません。
必要に応じて、クライアント側の暗号仕様を編集します。
必要に応じて、[Renegotation Type]ドロップダウンリストから再ネゴシエーションのタイプを選択して、クライアント側の SSL セッションの再ネゴシエーションを許可します。
- [ 作成] をクリックします。
トランスペアレントプロキシ SSL プロファイルの設定
透過プロキシSSLプロファイルを構成するには:
- サーバー側のNetscaler SD-WAN WOアプライアンスで、[構成]>[ セキュアアクセラレーション ]>[ SSLプロファイル ]に移動し、[プロファイルの 追加]をクリックします。
注
SSLプロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートすることができます。
-
[ Profile Name ] フィールドに SSL プロファイルの名前を入力し、[Profile Enabled] を選択します **。
-
SSL サーバーが複数の仮想ホスト名を使用している場合は、[Vir tual Host Name ] フィールドにターゲットの仮想ホスト名を入力します。これは、サーバーの資格情報にリストされているホスト名です。
注
複数の仮想ホストをサポートするには、ホスト名ごとに個別のSSLプロファイルを作成します。
-
[ 透過 プロキシタイプ] を選択します。
-
[ SSL Server のプライベートキー] フィールドで、ドロップダウンメニューからサーバーのプライベートキーを選択するか、[ + ] をクリックして新しいプライベートキーをアップロードします。
-
[ 作成] をクリックします。
サービスクラスの作成または変更
サービスクラスを作成または変更してSSLプロファイルを添付するには:
- Netscaler SD-WAN WOアプライアンスのWebインターフェイスで、[ 構成]>[最適化ルール]>[サービスクラス ]に移動し、[ 追加]をクリックします。既存のサービスクラスを編集するには、適切なサービスクラスを選択し、「 編集」をクリックします。
- [Name] フィールドに、新しいサービスクラスの名前(「アクセラレーションHTTPS」など)を入力します。
- アクセラレーションポリシーを [ ディスク、 メモリ、 または フロー制御] に設定して、圧縮を有効にします。
- [ フィルタルール]セクションで、[ 追加] をクリックします。
- [ 宛先 IP アドレス] フィールドに、サーバの IP アドレス (たとえば、172.16.0.1、または 172.16.0.1/32.1 など) を入力します。** [ **方向] フィールドで、ルールを [単方向] に設定します。双方向が指定されている場合、SSLプロファイルは無効になります。
- [ SSL プロファイル]セクションで、作成した SSL プロファイルを選択し、[ 構成済み] セクションに移動します。
- [ Create ] をクリックしてルールを作成します。
- [ Create ] をクリックして、サービスクラスを作成します。
更新されたCLIコマンド
NetScaler SD-WAN WO 9.3は、最新のTLS1.2 SSLプロトコルをサポートしています。TLS1.2プロトコルのみを使用するか、TLSプロトコルの任意のバージョンを使用するかを選択できます。SSLプロトコルSSLv3とSSLv2、および透過プロキシSSLプロファイルはサポートされていません。addssl-profile および set ssl-profile CLI コマンドが更新され、これらの変更が反映されます。
```
- add ssl-profile - name “profile-name” - -state {enable, disable} - -proxy-type split - -virtual-hostname “hostname” - -cert-key “cert-key-pair-name” - [-build-cert-chain {enable, disable}] - [-cert-chain-store {use-all-configured-CA-stores, “store-name”}] - [-cert-verification {none, Signature/Expiration, Signature/Expiration/ - Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}] - [-verification-store {use-all-configured-CA-stores, “store-name”}] - [-server-side-protocol { TLS-1.2, TLS-version-any}] - [-server-side-ciphers “ciphers”] - [-server-side-authentication {enable, disable}] - [-server-side-cert-key “cert-key-pair-name”] - [-server-side-build-cert-chain {enable, disable}] - [-server-side-renegotiation {disable-old-style, enable-old-style, new-style, - compatible} [-client-side-protocol-version { TLS-1.2, TLS-version-any}] [-client-side-ciphers “ciphers”] [-client-side-renegotiation {disable-old-style, enable-old-style, new-style, compatible}] - set ssl-profile - -name “profile-name” [-state {enable, disable}] - [-proxy-type split] - [-virtual-hostname “hostname”] - [-cert-key “cert-key-pair-name”] - [-build-cert-chain {enable, disable}] - [-cert-chain-store {use-all-configured-CA-stores, “store-name”}] - [-cert-verification {none, Signature/Expiration, Signature/Expiration/ - Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}] - [-verification-store {use-all-configured-CA-stores, “store-name”}] - [-server-side-protocol {TLS-1.2, TLS-version-any}] - [-server-side-ciphers “ciphers”] - [-server-side-authentication {enable, disable}] - [-server-side-cert-key “cert-key-pair-name”] - [-server-side-build-cert-chain {enable, disable}] - [-server-side-renegotiation {disable-old-style, enable-old-style, new-style, compatible}] [-client-side-protocol-version {TLS-1.2, TLS-version-any}] [-client-side-ciphers “ciphers”] [-client-side-renegotiation {disable-old-style, enable-old-style, new-style, compatible}] ```
その他の SSL 構成コマンドは変更されません。詳細については、「 SSL 設定」を参照してください。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.