Citrix Secure Web Gateway

SSLインターセプション

SSLインターセプト用に構成されたCitrix Secure Web Gateway(SWG)アプライアンスは、プロキシとして機能します。SSL/TLS トラフィックを傍受および復号化し、暗号化されていない要求を検査し、管理者がコンプライアンスルールとセキュリティチェックを適用できるようにします。SSL インターセプトでは、インターセプト、ブロック、または許可するトラフィックを指定するポリシーを使用します。たとえば、銀行などの金融ウェブサイトへのトラフィックは傍受してはならないが、他のトラフィックは傍受でき、ブラックリストに登録されたサイトを特定してブロックすることができます。トラフィックを傍受する一般的なポリシーを1つ構成し、一部のトラフィックをバイパスするより具体的なポリシーを構成することをお勧めします。

クライアントとCitrix SWGプロキシは、HTTPS/TLSハンドシェイクを確立します。SWG プロキシは、サーバと別の HTTPS/TLS ハンドシェイクを確立し、サーバ証明書を受信します。プロキシは、クライアントに代わってサーバー証明書を検証し、オンライン証明書状態プロトコル (OCSP) を使用してサーバー証明書の有効性をチェックします。サーバ証明書を再生成し、アプライアンスにインストールされている CA 証明書のキーを使用して署名し、クライアントに提示します。したがって、クライアントとCitrix ADCアプライアンスの間で1つの証明書が使用され、アプライアンスとバックエンドサーバー間で別の証明書が使用されます。

重要

再生成されたサーバー証明書がクライアントによって信頼されるように、サーバー証明書の署名に使用される CA 証明書は、すべてのクライアントデバイスにプレインストールする必要があります。

インターセプトされた HTTPS トラフィックの場合、SWG プロキシサーバはアウトバウンドトラフィックを復号化し、クリアテキスト HTTP 要求にアクセスし、任意のレイヤ 7 アプリケーションを使用してトラフィックを処理できます。たとえば、プレーンテキスト URL を調べて、企業ポリシーと URL レピュテーションに基づいてアクセスを許可またはブロックします。ポリシーの決定がオリジンサーバーへのアクセスを許可する場合、プロキシサーバーは、再暗号化された要求を宛先サービス (オリジンサーバー上の) に転送します。プロキシは、オリジンサーバーからの応答を復号化し、クリアテキストの HTTP 応答にアクセスし、オプションで任意のポリシーを応答に適用します。プロキシは応答を再暗号化し、クライアントに転送します。ポリシーがオリジンサーバーへの要求をブロックする場合、プロキシは HTTP 403 などのエラー応答をクライアントに送信できます。

SSL インターセプトを実行するには、以前に構成したプロキシサーバーに加えて、SWG アプライアンス上で次の設定を行う必要があります。

  • SSL プロファイル
  • SSL ポリシー
  • CA 証明書ストア
  • SSL エラーの自動学習とキャッシュ
SSLインターセプション