Citrix Secure Web Gateway

SSLインターセプション

SSLインターセプト用に構成されたCitrix Secure Web Gateway(SWG)アプライアンスは、プロキシとして機能します。SSL/TLS トラフィックを傍受および復号化し、暗号化されていない要求を検査し、管理者がコンプライアンスルールとセキュリティチェックを適用できるようにします。SSL 代行受信は、代行受信、ブロック、または許可するトラフィックを指定するポリシーを使用します。たとえば、銀行などの金融ウェブサイトとの間のトラフィックは傍受されてはいけませんが、他のトラフィックは傍受され、ブラックリストに登録されたサイトは識別され、ブロックされます。トラフィックを傍受する一般的なポリシーを1つ構成し、一部のトラフィックをバイパスするより具体的なポリシーを構成することをお勧めします。

クライアントとCitrix SWGプロキシは、HTTPS/TLSハンドシェイクを確立します。SWG プロキシは、サーバーと別の HTTPS/TLS ハンドシェイクを確立し、サーバー証明書を受信します。プロキシは、クライアントに代わってサーバー証明書を検証し、オンライン証明書状態プロトコル (OCSP) を使用してサーバー証明書の有効性をチェックします。サーバ証明書を再生成し、アプライアンスにインストールされている CA 証明書のキーを使用して署名し、クライアントに提示します。したがって、クライアントとCitrix ADCアプライアンスの間で1つの証明書が使用され、アプライアンスとバックエンドサーバー間で別の証明書が使用されます。

重要

再生成されたサーバー証明書がクライアントによって信頼されるように、サーバー証明書の署名に使用される CA 証明書は、すべてのクライアントデバイスにプレインストールする必要があります。

代行受信された HTTPS トラフィックの場合、SWG プロキシサーバは発信トラフィックを復号化し、クリアテキストの HTTP 要求にアクセスします。また、プレーンテキストの URL を調べて、企業ポリシーと URL レピュテーションに基づいてアクセスを許可またはブロックするなど、レイヤ 7 アプリケーションを使用してトラフィックを処理できます。ポリシーがオリジナル・サーバーへのアクセスを許可する場合、プロキシ・サーバーは再暗号化された要求を(オリジナル・サーバー上の)宛先サービスに転送します。プロキシは、オリジンサーバーからの応答を復号化し、クリアテキストの HTTP 応答にアクセスし、オプションで任意のポリシーを応答に適用します。プロキシは応答を再暗号化し、クライアントに転送します。ポリシーがオリジンサーバーへの要求をブロックする場合、プロキシは HTTP 403 などのエラー応答をクライアントに送信できます。

SSL 代行受信を実行するには、先ほど設定したプロキシサーバに加えて、SWG アプライアンスで次の設定を行う必要があります。

  • SSL プロファイル
  • SSL ポリシー
  • CA 証明書ストア
  • SSL エラーの自動学習とキャッシュ
SSLインターセプション