SSL 圧縮の設定

Citrix SD-WAN WANOP SSL圧縮機能を使用すると、SSL接続(HTTPSトラフィックなど)のマルチセッション圧縮が可能になり、最大10、000:1 の圧縮率が提供されます。詳しくは、「SSL 圧縮」を参照してください。

SSL 圧縮が機能するには、SD-WAN WANOP アプライアンスにサーバーまたはクライアントからの証明書が必要です。複数のサーバーをサポートするには、SSL プロファイルごとに 1 つずつ、複数の秘密キーをアプライアンスにインストールできます。サービスクラス定義の特殊な SSL ルールは、サーバを SSL プロファイルに照合し、SSL プロファイルを秘密キーに照合します。

SSL 圧縮は、スプリットプロキシモードまたはトランスペアレントプロキシモードで動作しますが、要件に応じてモードを選択できます。詳しくは、「SSL 圧縮の仕組み」を参照してください。

トランスペアレントプロキシモードは現在サポートされていません。

SSL トンネルでセキュアなアクセスを有効にするには、SSL プロキシで最新の SSL プロトコル TLS 1.2 が使用されます。TLS1.2 プロトコルのみを使用するか、TLS1.0、TLS1.1、および TLS1.2 プロトコルを使用するかを選択できます。

SSL プロトコル SSL v3 および SSL v2 はサポートされなくなりました。

SSL圧縮を構成するには、次の手順に従います。

  1. サーバーの CA 証明書とプライベート証明書とキーのペアのコピーを取得し、サーバー側アプライアンスにインストールします。これらの認証情報は、アプリケーション固有のものである可能性があります。つまり、Apache Web サーバーの資格情報が HTTPS 経由で RPC を実行している Exchange Server とは異なる場合があります。

  2. スプリットプロキシ SSL プロファイルまたはトランスペアレントプロキシ SSL プロファイルを作成できます。

    スプリットプロキシ SSL プロファイルの設定については、後述の「 スプリットプロキシ SSL プロファイルの設定 」を参照してください。

    トランスペアレントプロキシ SSL プロファイルの設定については、後述の「 トランスペアレントプロキシ SSL プロファイルの設定 」を参照してください。

    トランスペアレントプロキシ SSL プロファイルは現在サポートされていません。

  3. SSL プロファイルをサーバー側アプライアンスのサービスクラスにアタッチします。これを行うには、サーバ IP に基づいて新しいサービスクラスを作成するか、既存のサービスクラスを変更します。

    詳細については、以下の「 サービスクラスの作成または変更」の 項を参照してください。

  4. クライアント側アプライアンスでサービスクラスを設定します。SSL トラフィックは、アクセラレーションと圧縮を可能にするクライアント側アプライアンスのサービスクラスに該当しない限り、圧縮されません。これは、SSL ルールではなく、通常のサービスクラスルールでもかまいませんが(SSL ルールが必要なのはサーバ側アプライアンスのみ)、アクセラレーションと圧縮を有効にする必要があります。トラフィックは、「HTTPS」や「その他の TCP トラフィック」などの既存のサービスクラスに分類されます。このクラスのポリシーでアクセラレーションと圧縮を有効にする場合は、追加の設定は必要ありません。

  5. ルールの動作を確認します。アプライアンスを介して SSL アクセラレーションを受信するトラフィックを送信します。サーバー側アプライアンスの [監視]: [最適化]: [接続]: [アクセラレーション接続] タブで、[サービスクラス] 列はセキュアアクセラレーション用にセットアップしたサービスクラスと一致し、[SSL プロキシ] 列は適切な接続に対して [True] と表示されます。

スプリットプロキシ SSL プロファイルの設定

スプリットプロキシ SSL プロファイルを設定するには、次の手順を実行します。

  1. サーバー側のNetScaler SD-WAN WOアプライアンスで、[ 構成 ]>[ セキュリティアクセラレーション ]>[ SSLプロファイル ]の順に選択し、[ プロファイルの追加]をクリックします。

    SSL プロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートできます。

  2. プロファイル名 」フィールドに、SSLプロファイルの名前を入力し、「 プロファイル有効」を選択します。

  3. SSL サーバーが複数の仮想ホスト名を使用している場合は、[ 仮想ホスト名 ] フィールドにターゲット仮想ホスト名を入力します。これは、サーバーの認証情報にリストされているホスト名です。

    ローカライズされた画像

    複数の仮想ホストをサポートするには、ホスト名ごとに個別の SSL プロファイルを作成します。

  4. [プロキシタイプを 分割 ] を選択します。

  5. [ 証明書の検証 ] フィールドで、ポリシーで特に指定されていない限り、デフォルト値(署名/有効期限)を保持します。

  6. サーバー側プロキシ設定を実行します。

    検証ストア ]フィールドで、既存のサーバー認証局(CA)を選択するか、[ + ]をクリックしてサーバーCAをアップロードします。

    [ 認証が必要 ] を選択し、[ 証明書/秘密キー ] フィールドで証明書キーのペアを選択するか、[ + ] をクリックして証明書キーのペアをアップロードします。

    [ Protocol Version ] フィールドで、サーバが受け入れるプロトコルを選択します。

    NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、または TLS1.2 のみの組み合わせをサポートします。SSL プロトコル SSLv3 および SSLv2 はサポートされていません。

    必要に応じて、OpenSSL 構文を使用して、 暗号仕様 文字列を編集します。

    必要に応じて、[再ネゴシエーションの種類] ドロップダウンリストから 再ネゴシエーションのタイプ を選択して、クライアント側の SSL セッションの再ネゴシエーションを許可します。

    ローカライズされた画像

  7. クライアント側のプロキシ設定を実行します。

    [ 証明書/秘密キー ] フィールドで、デフォルト値を保持します。

    サーバー側アプライアンスで SSL 証明書チェーンを構築 できるようにするには、[証明書チェーンの構築] を選択します。

    必要に応じて、証明書チェーンストアとして使用する CA ストアを選択またはアップロードします。

    [ Protocol Version ] フィールドで、クライアント側でサポートするプロトコルバージョンを選択します。

    NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、または TLS1.2 のみの組み合わせをサポートします。SSL プロトコル SSLv3 および SSLv2 はサポートされていません。

    必要に応じて、クライアント側の暗号仕様を編集します。

    必要に応じて、[再ネゴシエーションの種類] ドロップダウンリストから 再ネゴシエーションのタイプ を選択して、クライアント側の SSL セッションの再ネゴシエーションを許可します。

    ローカライズされた画像

  8. [作成] をクリックします。

トランスペアレントプロキシ SSL プロファイルの設定

透過プロキシ SSL プロファイルを設定するには、次の手順を実行します。

  1. サーバー側のNetScaler SD-WAN WOアプライアンスで、[ 構成 ]>[ セキュリティアクセラレーション ]>[ SSLプロファイル ]の順に選択し、[ プロファイルの追加]をクリックします。

    SSL プロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートできます。

  2. プロファイル名 ]フィールドに、SSLプロファイルの名前を入力し、[ プロファイル有効]を選択します。

  3. SSL サーバーが複数の仮想ホスト名を使用している場合は、[ 仮想ホスト名 ] フィールドにターゲット仮想ホスト名を入力します。これは、サーバーの認証情報にリストされているホスト名です。

    複数の仮想ホストをサポートするには、ホスト名ごとに個別の SSL プロファイルを作成します。

    ローカライズされた画像

  4. [ 透過 プロキシタイプ] を選択します。

  5. [ SSL サーバーの秘密キー ] フィールドで、ドロップダウンメニューからサーバーの秘密キーを選択するか、[ + ] をクリックして新しい秘密キーをアップロードします。

  6. [作成] をクリックします。

サービスクラスの作成または変更

サービスクラスを作成または変更し、SSL プロファイルをアタッチするには、次の手順を実行します。

  1. NetScaler SD-WAN WOアプライアンスのWebインターフェイスで、 [構成]>[最適化ルール]>[サービスクラス] の順に選択し、[ 追加]をクリックします。既存のサービスクラスを編集するには、該当するサービスクラスを選択し、[ Edit] をクリックします。
  2. [Name] フィールドに、新しいサービスクラスの名前(「アクセラレーテッド HTTPS」など)を入力します。
  3. アクセラレーションポリシーを [ ディスク]、[ メモリ ]、または [ フロー制御] に設定して、圧縮を有効にします。
  4. [ フィルタルール ] セクションで、[ 追加] をクリックします。
  5. [ 宛先 IP アドレス] フィールドに、サーバの IP アドレス(172.16.0.1、または同等の 172.16.0.1/32.1 など)を入力します。[ 方向 ] フィールドで、ルールを [単方向] に設定します。双方向が指定されている場合、SSL プロファイルは無効になります。
  6. [ SSL プロファイル ] セクションで、作成した SSL プロファイルを選択し、[ 構成済み ] セクションに移動します。
  7. [ Create ] をクリックしてルールを作成します。
  8. [ Create ] をクリックしてサービスクラスを作成します。

更新された CLI コマンド

NetScaler SD-WAN WO 9.3は、最新のTLS1.2 SSLプロトコルをサポートしています。TLS1.2 プロトコルのみ、または任意のバージョンの TLS プロトコルを使用できます。SSL プロトコル SSL v3 および SSL v2、および透過プロキシ SSL プロファイルはサポートされていません。ssl-profile コマンドと set ssl-profile CLI コマンドが更新され、これらの変更が反映されます。

-  \*add ssl-profile\*

-  \*name "profile-name"\*

-  \*-state {enable, disable}\*

-  \*-proxy-type split\*

-  \*-virtual-hostname "hostname"\*

-  \*-cert-key "cert-key-pair-name"\*

-  \*[-build-cert-chain {enable, disable}]\*

-  \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*

-  \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*

-  \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-server-side-protocol { TLS-1.2, TLS-version-any}]\*

-  \*[-server-side-ciphers "ciphers"]\*

-  \*[-server-side-authentication {enable, disable}]\*

-  \*[-server-side-cert-key "cert-key-pair-name"]\*

-  \*[-server-side-build-cert-chain {enable, disable}]\*

-  \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*

-  \*compatible}\* \*[-client-side-protocol-version { TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*

-  \*set ssl-profile\*

-  \*-name "profile-name" [-state {enable, disable}]\*

-  \*[-proxy-type split]\*

-  \*[-virtual-hostname "hostname"]\*

-  \*[-cert-key "cert-key-pair-name"]\*

-  \*[-build-cert-chain {enable, disable}]\*

-  \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*

-  \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*

-  \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-server-side-protocol {TLS-1.2, TLS-version-any}]\*

-  \*[-server-side-ciphers "ciphers"]\*

-  \*[-server-side-authentication {enable, disable}]\*

-  \*[-server-side-cert-key "cert-key-pair-name"]\*

-  \*[-server-side-build-cert-chain {enable, disable}]\*

-  \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*

\*compatible}]\* \*[-client-side-protocol-version {TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*

その他の SSL 構成コマンドは変更されません。詳しくは、「SSL 設定」を参照してください。