Citrix SD-WAN

SSL圧縮を構成する

Citrix SD-WAN WANOP SSL圧縮機能を使用すると、SSL接続(HTTPSトラフィックなど)のマルチセッション圧縮が可能になり、最大10, 000:1 の圧縮率が提供されます。詳しくは、「SSL 圧縮」を参照してください。

SSL 圧縮が機能するには、SD-WAN WANOP アプライアンスにサーバーまたはクライアントからの証明書が必要です。複数のサーバーをサポートするために、SSLプロファイルごとに1つずつ、複数の秘密鍵をアプライアンスにインストールできます。サービスクラス定義の特別なSSLルールは、サーバーをSSLプロファイルに一致させ、SSLプロファイルを秘密鍵に一致させます。

SSL 圧縮は、スプリットプロキシモードまたはトランスペアレントプロキシモードで動作しますが、要件に応じてモードを選択できます。詳しくは、「SSL 圧縮の仕組み」を参照してください。

透過プロキシモードは現在サポートされていません。

SSLトンネルによる安全なアクセスを可能にするために、最新のSSLプロトコルTLS1.2がSSLプロキシで使用されます。TLS1.2プロトコルのみを使用するか、TLS1.0、TLS1.1、およびTLS1.2プロトコルを使用するかを選択できます。

SSLプロトコルSSLv3およびSSLv2はサポートされなくなりました。

SSL圧縮を構成するには、次の手順に従います。

  1. サーバーのCA証明書と秘密証明書とキーのペアのコピーを取得し、サーバー側のアプライアンスにインストールします。これらの資格情報は、アプリケーション固有である可能性があります。つまり、サーバーは、ApacheWebサーバーとRPC over HTTPSを実行しているExchange Serverの資格情報が異なる場合があります。

  2. 分割プロキシSSLプロファイルまたは透過プロキシSSLプロファイルの作成を選択できます。

    スプリットプロキシ SSL プロファイルの設定については、後述の「 スプリットプロキシ SSL プロファイルの設定 」を参照してください。

    トランスペアレントプロキシ SSL プロファイルの設定については、後述の「 トランスペアレントプロキシ SSL プロファイルの設定 」を参照してください。

    透過プロキシSSLプロファイルは現在サポートされていません。

  3. SSLプロファイルをサーバー側アプライアンスのサービスクラスにアタッチします。これは、サーバーIPに基づいて新しいサービスクラスを作成するか、既存のサービスクラスを変更することによって実行できます。

    詳細については、以下の「 サービスクラスの作成または変更」の 項を参照してください。

  4. クライアント側アプライアンスでサービスクラスを設定します。SSLトラフィックは、アクセラレーションと圧縮を可能にするクライアント側アプライアンスのサービスクラスに分類されない限り、圧縮されません。これは、SSLルールではなく通常のサービスクラスルールにすることができます(サーバー側アプライアンスのみがSSLルールを必要とします)が、アクセラレーションと圧縮を有効にする必要があります。トラフィックは、「HTTPS」や「その他の TCP トラフィック」などの既存のサービスクラスに分類されます。このクラスのポリシーでアクセラレーションと圧縮が有効になっている場合、追加の構成は必要ありません。

  5. ルールの動作を確認します。アプライアンスを介してSSLアクセラレーションを受信する必要があるトラフィックを送信します。サーバー側アプライアンスの[監視]:[最適化]:[接続]:[アクセラレーション接続]タブで、[サービスクラス]列は安全なアクセラレーション用に設定したサービスクラスと一致し、[SSLプロキシ]列には適切な接続の場合はTrueが表示されます。

スプリットプロキシ SSL プロファイルの設定

スプリットプロキシ SSL プロファイルを設定するには、次の手順を実行します。

  1. サーバー側のNetScaler SD-WAN WOアプライアンスで、[ 構成 ]>[ セキュリティアクセラレーション ]>[ SSLプロファイル ]の順に選択し、[ プロファイルの追加]をクリックします。

    SSLプロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートすることができます。

  2. プロファイル名 」フィールドに、SSLプロファイルの名前を入力し、「 プロファイル有効」を選択します。

  3. SSL サーバーが複数の仮想ホスト名を使用している場合は、[ 仮想ホスト名 ] フィールドにターゲット仮想ホスト名を入力します。これは、サーバーの資格情報にリストされているホスト名です。

    ローカライズされた画像

    複数の仮想ホストをサポートするには、ホスト名ごとに個別のSSLプロファイルを作成します。

  4. [プロキシタイプを 分割 ] を選択します。

  5. [ 証明書の検証 ] フィールドで、ポリシーで特に指定されていない限り、デフォルト値(署名/有効期限)を保持します。

  6. サーバー側のプロキシ構成を実行します。

    検証ストア ]フィールドで、既存のサーバー認証局(CA)を選択するか、[ + ]をクリックしてサーバーCAをアップロードします。

    [ 認証が必要 ] を選択し、[ 証明書/秘密キー ] フィールドで証明書キーのペアを選択するか、[ + ] をクリックして証明書キーのペアをアップロードします。

    [ Protocol Version ] フィールドで、サーバが受け入れるプロトコルを選択します。

    NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、または TLS1.2 のみの組み合わせをサポートします。SSL プロトコル SSLv3 および SSLv2 はサポートされていません。

    必要に応じて、OpenSSL 構文を使用して、 暗号仕様 文字列を編集します。

    必要に応じて、[再ネゴシエーションの種類] ドロップダウンリストから 再ネゴシエーションのタイプ を選択して、クライアント側の SSL セッションの再ネゴシエーションを許可します。

    ローカライズされた画像

  7. クライアント側のプロキシ構成を実行します。

    [ 証明書/秘密キー ] フィールドで、デフォルト値を保持します。

    サーバー側アプライアンスで SSL 証明書チェーンを構築 できるようにするには、[証明書チェーンの構築] を選択します。

    必要に応じて、証明書チェーンストアとして使用するCAストアを選択またはアップロードします。

    [ Protocol Version ] フィールドで、クライアント側でサポートするプロトコルバージョンを選択します。

    NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、または TLS1.2 のみの組み合わせをサポートします。SSL プロトコル SSLv3 および SSLv2 はサポートされていません。

    必要に応じて、クライアント側の暗号仕様を編集します。

    必要に応じて、[再ネゴシエーションの種類] ドロップダウンリストから 再ネゴシエーションのタイプ を選択して、クライアント側の SSL セッションの再ネゴシエーションを許可します。

    ローカライズされた画像

  8. [作成] をクリックします。

トランスペアレントプロキシ SSL プロファイルの設定

透過プロキシ SSL プロファイルを設定するには、次の手順を実行します。

  1. サーバー側のNetScaler SD-WAN WOアプライアンスで、[ 構成 ]>[ セキュリティアクセラレーション ]>[ SSLプロファイル ]の順に選択し、[ プロファイルの追加]をクリックします。

    SSLプロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートすることができます。

  2. プロファイル名 ]フィールドに、SSLプロファイルの名前を入力し、[ プロファイル有効]を選択します。

  3. SSL サーバーが複数の仮想ホスト名を使用している場合は、[ 仮想ホスト名 ] フィールドにターゲット仮想ホスト名を入力します。これは、サーバーの資格情報にリストされているホスト名です。

    複数の仮想ホストをサポートするには、ホスト名ごとに個別のSSLプロファイルを作成します。

    ローカライズされた画像

  4. [ 透過 プロキシタイプ] を選択します。

  5. [ SSL サーバーの秘密キー ] フィールドで、ドロップダウンメニューからサーバーの秘密キーを選択するか、[ + ] をクリックして新しい秘密キーをアップロードします。

  6. [作成] をクリックします。

サービスクラスの作成または変更

サービスクラスを作成または変更し、SSL プロファイルをアタッチするには、次の手順を実行します。

  1. NetScaler SD-WAN WOアプライアンスのWebインターフェイスで、 [構成]>[最適化ルール]>[サービスクラス] の順に選択し、[ 追加]をクリックします。既存のサービスクラスを編集するには、該当するサービスクラスを選択し、[ Edit] をクリックします。
  2. [Name] フィールドに、新しいサービスクラスの名前(「アクセラレーションHTTPS」など)を入力します。
  3. アクセラレーションポリシーを [ ディスク]、[ メモリ ]、または [ フロー制御] に設定して、圧縮を有効にします。
  4. [ フィルタルール ] セクションで、[ 追加] をクリックします。
  5. [ 宛先 IP アドレス] フィールドに、サーバの IP アドレス(172.16.0.1、または同等の 172.16.0.1/32.1 など)を入力します。[ 方向 ] フィールドで、ルールを [単方向] に設定します。双方向が指定されている場合、SSLプロファイルは無効になります。
  6. [ SSL プロファイル ] セクションで、作成した SSL プロファイルを選択し、[ 構成済み ] セクションに移動します。
  7. [ Create ] をクリックしてルールを作成します。
  8. [ Create ] をクリックしてサービスクラスを作成します。

更新されたCLIコマンド

NetScaler SD-WAN WO 9.3は、最新のTLS1.2 SSLプロトコルをサポートしています。TLS1.2プロトコルのみを使用するか、TLSプロトコルの任意のバージョンを使用するかを選択できます。SSLプロトコルSSLv3とSSLv2、および透過プロキシSSLプロファイルはサポートされていません。ssl-profile コマンドと set ssl-profile CLI コマンドが更新され、これらの変更が反映されます。

-  \*add ssl-profile\*

-  \*name "profile-name"\*

-  \*-state {enable, disable}\*

-  \*-proxy-type split\*

-  \*-virtual-hostname "hostname"\*

-  \*-cert-key "cert-key-pair-name"\*

-  \*[-build-cert-chain {enable, disable}]\*

-  \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*

-  \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*

-  \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-server-side-protocol { TLS-1.2, TLS-version-any}]\*

-  \*[-server-side-ciphers "ciphers"]\*

-  \*[-server-side-authentication {enable, disable}]\*

-  \*[-server-side-cert-key "cert-key-pair-name"]\*

-  \*[-server-side-build-cert-chain {enable, disable}]\*

-  \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*

-  \*compatible}\* \*[-client-side-protocol-version { TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*

-  \*set ssl-profile\*

-  \*-name "profile-name" [-state {enable, disable}]\*

-  \*[-proxy-type split]\*

-  \*[-virtual-hostname "hostname"]\*

-  \*[-cert-key "cert-key-pair-name"]\*

-  \*[-build-cert-chain {enable, disable}]\*

-  \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*

-  \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*

-  \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-server-side-protocol {TLS-1.2, TLS-version-any}]\*

-  \*[-server-side-ciphers "ciphers"]\*

-  \*[-server-side-authentication {enable, disable}]\*

-  \*[-server-side-cert-key "cert-key-pair-name"]\*

-  \*[-server-side-build-cert-chain {enable, disable}]\*

-  \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*

\*compatible}]\* \*[-client-side-protocol-version {TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*
<!--NeedCopy-->

その他の SSL 構成コマンドは変更されません。詳しくは、「SSL 設定」を参照してください。

SSL圧縮を構成する