This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
SSL圧縮を構成する
Citrix SD-WAN WANOP SSL圧縮機能を使用すると、SSL接続(HTTPSトラフィックなど)のマルチセッション圧縮が可能になり、最大10, 000:1 の圧縮率が提供されます。詳しくは、「SSL 圧縮」を参照してください。
SSL 圧縮が機能するには、SD-WAN WANOP アプライアンスにサーバーまたはクライアントからの証明書が必要です。複数のサーバーをサポートするために、SSLプロファイルごとに1つずつ、複数の秘密鍵をアプライアンスにインストールできます。サービスクラス定義の特別なSSLルールは、サーバーをSSLプロファイルに一致させ、SSLプロファイルを秘密鍵に一致させます。
SSL 圧縮は、スプリットプロキシモードまたはトランスペアレントプロキシモードで動作しますが、要件に応じてモードを選択できます。詳しくは、「SSL 圧縮の仕組み」を参照してください。
注
透過プロキシモードは現在サポートされていません。
SSLトンネルによる安全なアクセスを可能にするために、最新のSSLプロトコルTLS1.2がSSLプロキシで使用されます。TLS1.2プロトコルのみを使用するか、TLS1.0、TLS1.1、およびTLS1.2プロトコルを使用するかを選択できます。
注
SSLプロトコルSSLv3およびSSLv2はサポートされなくなりました。
SSL圧縮を構成するには、次の手順に従います。
-
サーバーのCA証明書と秘密証明書とキーのペアのコピーを取得し、サーバー側のアプライアンスにインストールします。これらの資格情報は、アプリケーション固有である可能性があります。つまり、サーバーは、ApacheWebサーバーとRPC over HTTPSを実行しているExchange Serverの資格情報が異なる場合があります。
-
分割プロキシSSLプロファイルまたは透過プロキシSSLプロファイルの作成を選択できます。
スプリットプロキシ SSL プロファイルの設定については、後述の「 スプリットプロキシ SSL プロファイルの設定 」を参照してください。
トランスペアレントプロキシ SSL プロファイルの設定については、後述の「 トランスペアレントプロキシ SSL プロファイルの設定 」を参照してください。
注
透過プロキシSSLプロファイルは現在サポートされていません。
-
SSLプロファイルをサーバー側アプライアンスのサービスクラスにアタッチします。これは、サーバーIPに基づいて新しいサービスクラスを作成するか、既存のサービスクラスを変更することによって実行できます。
詳細については、以下の「 サービスクラスの作成または変更」の 項を参照してください。
-
クライアント側アプライアンスでサービスクラスを設定します。SSLトラフィックは、アクセラレーションと圧縮を可能にするクライアント側アプライアンスのサービスクラスに分類されない限り、圧縮されません。これは、SSLルールではなく通常のサービスクラスルールにすることができます(サーバー側アプライアンスのみがSSLルールを必要とします)が、アクセラレーションと圧縮を有効にする必要があります。トラフィックは、「HTTPS」や「その他の TCP トラフィック」などの既存のサービスクラスに分類されます。このクラスのポリシーでアクセラレーションと圧縮が有効になっている場合、追加の構成は必要ありません。
-
ルールの動作を確認します。アプライアンスを介してSSLアクセラレーションを受信する必要があるトラフィックを送信します。サーバー側アプライアンスの[監視]:[最適化]:[接続]:[アクセラレーション接続]タブで、[サービスクラス]列は安全なアクセラレーション用に設定したサービスクラスと一致し、[SSLプロキシ]列には適切な接続の場合はTrueが表示されます。
スプリットプロキシ SSL プロファイルの設定
スプリットプロキシ SSL プロファイルを設定するには、次の手順を実行します。
-
サーバー側のNetScaler SD-WAN WOアプライアンスで、[ 構成 ]>[ セキュリティアクセラレーション ]>[ SSLプロファイル ]の順に選択し、[ プロファイルの追加]をクリックします。
注
SSLプロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートすることができます。
-
「 プロファイル名 」フィールドに、SSLプロファイルの名前を入力し、「 プロファイル有効」を選択します。
-
SSL サーバーが複数の仮想ホスト名を使用している場合は、[ 仮想ホスト名 ] フィールドにターゲット仮想ホスト名を入力します。これは、サーバーの資格情報にリストされているホスト名です。
注
複数の仮想ホストをサポートするには、ホスト名ごとに個別のSSLプロファイルを作成します。
-
[プロキシタイプを 分割 ] を選択します。
-
[ 証明書の検証 ] フィールドで、ポリシーで特に指定されていない限り、デフォルト値(署名/有効期限)を保持します。
-
サーバー側のプロキシ構成を実行します。
[ 検証ストア ]フィールドで、既存のサーバー認証局(CA)を選択するか、[ + ]をクリックしてサーバーCAをアップロードします。
[ 認証が必要 ] を選択し、[ 証明書/秘密キー ] フィールドで証明書キーのペアを選択するか、[ + ] をクリックして証明書キーのペアをアップロードします。
[ Protocol Version ] フィールドで、サーバが受け入れるプロトコルを選択します。
注
NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、または TLS1.2 のみの組み合わせをサポートします。SSL プロトコル SSLv3 および SSLv2 はサポートされていません。
必要に応じて、OpenSSL 構文を使用して、 暗号仕様 文字列を編集します。
必要に応じて、[再ネゴシエーションの種類] ドロップダウンリストから 再ネゴシエーションのタイプ を選択して、クライアント側の SSL セッションの再ネゴシエーションを許可します。
-
クライアント側のプロキシ構成を実行します。
[ 証明書/秘密キー ] フィールドで、デフォルト値を保持します。
サーバー側アプライアンスで SSL 証明書チェーンを構築 できるようにするには、[証明書チェーンの構築] を選択します。
必要に応じて、証明書チェーンストアとして使用するCAストアを選択またはアップロードします。
[ Protocol Version ] フィールドで、クライアント側でサポートするプロトコルバージョンを選択します。
注
NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、または TLS1.2 のみの組み合わせをサポートします。SSL プロトコル SSLv3 および SSLv2 はサポートされていません。
必要に応じて、クライアント側の暗号仕様を編集します。
必要に応じて、[再ネゴシエーションの種類] ドロップダウンリストから 再ネゴシエーションのタイプ を選択して、クライアント側の SSL セッションの再ネゴシエーションを許可します。
-
[作成] をクリックします。
トランスペアレントプロキシ SSL プロファイルの設定
透過プロキシ SSL プロファイルを設定するには、次の手順を実行します。
-
サーバー側のNetScaler SD-WAN WOアプライアンスで、[ 構成 ]>[ セキュリティアクセラレーション ]>[ SSLプロファイル ]の順に選択し、[ プロファイルの追加]をクリックします。
注
SSLプロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートすることができます。
-
[ プロファイル名 ]フィールドに、SSLプロファイルの名前を入力し、[ プロファイル有効]を選択します。
-
SSL サーバーが複数の仮想ホスト名を使用している場合は、[ 仮想ホスト名 ] フィールドにターゲット仮想ホスト名を入力します。これは、サーバーの資格情報にリストされているホスト名です。
注
複数の仮想ホストをサポートするには、ホスト名ごとに個別のSSLプロファイルを作成します。
-
[ 透過 プロキシタイプ] を選択します。
-
[ SSL サーバーの秘密キー ] フィールドで、ドロップダウンメニューからサーバーの秘密キーを選択するか、[ + ] をクリックして新しい秘密キーをアップロードします。
-
[作成] をクリックします。
サービスクラスの作成または変更
サービスクラスを作成または変更し、SSL プロファイルをアタッチするには、次の手順を実行します。
- NetScaler SD-WAN WOアプライアンスのWebインターフェイスで、 [構成]>[最適化ルール]>[サービスクラス] の順に選択し、[ 追加]をクリックします。既存のサービスクラスを編集するには、該当するサービスクラスを選択し、[ Edit] をクリックします。
- [Name] フィールドに、新しいサービスクラスの名前(「アクセラレーションHTTPS」など)を入力します。
- アクセラレーションポリシーを [ ディスク]、[ メモリ ]、または [ フロー制御] に設定して、圧縮を有効にします。
- [ フィルタルール ] セクションで、[ 追加] をクリックします。
- [ 宛先 IP アドレス] フィールドに、サーバの IP アドレス(172.16.0.1、または同等の 172.16.0.1/32.1 など)を入力します。[ 方向 ] フィールドで、ルールを [単方向] に設定します。双方向が指定されている場合、SSLプロファイルは無効になります。
- [ SSL プロファイル ] セクションで、作成した SSL プロファイルを選択し、[ 構成済み ] セクションに移動します。
- [ Create ] をクリックしてルールを作成します。
- [ Create ] をクリックしてサービスクラスを作成します。
更新されたCLIコマンド
NetScaler SD-WAN WO 9.3は、最新のTLS1.2 SSLプロトコルをサポートしています。TLS1.2プロトコルのみを使用するか、TLSプロトコルの任意のバージョンを使用するかを選択できます。SSLプロトコルSSLv3とSSLv2、および透過プロキシSSLプロファイルはサポートされていません。ssl-profile コマンドと set ssl-profile CLI コマンドが更新され、これらの変更が反映されます。
- \*add ssl-profile\*
- \*name "profile-name"\*
- \*-state {enable, disable}\*
- \*-proxy-type split\*
- \*-virtual-hostname "hostname"\*
- \*-cert-key "cert-key-pair-name"\*
- \*[-build-cert-chain {enable, disable}]\*
- \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*
- \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*
- \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*
- \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*
- \*[-server-side-protocol { TLS-1.2, TLS-version-any}]\*
- \*[-server-side-ciphers "ciphers"]\*
- \*[-server-side-authentication {enable, disable}]\*
- \*[-server-side-cert-key "cert-key-pair-name"]\*
- \*[-server-side-build-cert-chain {enable, disable}]\*
- \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*
- \*compatible}\* \*[-client-side-protocol-version { TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*
- \*set ssl-profile\*
- \*-name "profile-name" [-state {enable, disable}]\*
- \*[-proxy-type split]\*
- \*[-virtual-hostname "hostname"]\*
- \*[-cert-key "cert-key-pair-name"]\*
- \*[-build-cert-chain {enable, disable}]\*
- \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*
- \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*
- \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*
- \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*
- \*[-server-side-protocol {TLS-1.2, TLS-version-any}]\*
- \*[-server-side-ciphers "ciphers"]\*
- \*[-server-side-authentication {enable, disable}]\*
- \*[-server-side-cert-key "cert-key-pair-name"]\*
- \*[-server-side-build-cert-chain {enable, disable}]\*
- \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*
\*compatible}]\* \*[-client-side-protocol-version {TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*
<!--NeedCopy-->
その他の SSL 構成コマンドは変更されません。詳しくは、「SSL 設定」を参照してください。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.