Citrix Secure Web Gateway

SSL プロファイル

SSL プロファイルは、暗号やプロトコルなどの SSL 設定の集まりです。プロファイルは、異なるサーバーに共通の設定がある場合に役立ちます。各サーバーに同じ設定を指定する代わりに、プロファイルを作成し、プロファイルに設定を指定し、プロファイルを別のサーバーにバインドできます。カスタムフロントエンド SSL プロファイルが作成されない場合、既定のフロントエンドプロファイルは、クライアント側のエンティティにバインドされます。このプロファイルを使用すると、クライアント側の接続を管理するための設定を構成できます。SSL インターセプションの場合は、SSL プロファイルを作成し、プロファイルで SSLインターセプション (SSLi) を有効にする必要があります。デフォルトの暗号グループはこのプロファイルにバインドされますが、展開に合わせてさらに多くの暗号を設定できます。SSLi CA 証明書をこのプロファイルにバインドし、プロファイルをプロキシサーバーにバインドする必要があります。SSLインターセプションの場合、プロファイルの重要なパラメーターは、オリジナル・サーバー証明書の OCSP ステータスの確認、オリジナル・サーバーが再ネゴシエーションを要求した場合のクライアントの再ネゴシエーションのトリガー、フロントエンドの SSL セッションを再利用する前にオリジナル・サーバー証明書の検証に使用されるパラメーターです。オリジンサーバーと通信するときは、デフォルトのバックエンドプロファイルを使用する必要があります。デフォルトのバックエンドプロファイルで、暗号スイートなどのサーバ側パラメータを設定します。カスタムバックエンドプロファイルはサポートされません。

最も一般的に使用される SSL 設定の例については、このセクションの最後の「サンプルプロファイル」を参照してください。

暗号/プロトコルのサポートは、内部ネットワークと外部ネットワークによって異なります。次の表では、ユーザーとSWGアプライアンス間の接続は内部ネットワークです。外部ネットワークは、アプライアンスとインターネットの間にあります。

ローカライズされた画像

表1:内部ネットワークの暗号/プロトコルサポートマトリックス

(Cipher/protocol)/Platform MPX (N3)* VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM(Example TLS1.2-AES128-GCM-SHA256) 12.1 12.1
SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 12.1

表2:外部ネットワークの暗号/プロトコルサポートマトリックス

(Cipher/protocol)/Platform MPX (N3)* VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM(Example TLS1.2-AES128-GCM-SHA256) 12.1 12.1
SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 未サポート

* sh hardware (show hardware)コマンドを使用して、アプライアンスに N3 チップがあるかどうかを確認します。

:

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done

Citrix SWG CLIを使用してSSLプロファイルを追加し、SSLインターセプトを有効にする

コマンドプロンプトで、次のように入力します。

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

引数:

sslInterception:

SSL セッションのインターセプションを有効または無効にします。

設定可能な値:ENABLED, DISABLED

デフォルト値: 無効

ssliReneg:

オリジンサーバーから再ネゴシエーション要求を受信したときのクライアント再ネゴシエーションのトリガーを有効または無効にします。

設定可能な値:ENABLED, DISABLED

デフォルト値:ENABLED

ssliOCSPCheck:

オリジンサーバー証明書の OCSP チェックを有効または無効にします。

設定可能な値:ENABLED, DISABLED

デフォルト値:ENABLED

サーバごとの最大サイズ:

動的オリジンサーバーごとにキャッシュされる SSL セッションの最大数。クライアント hello メッセージでクライアントから受信した SNI拡張ごとに、一意の SSL セッションが作成されます。一致するセッションは、サーバーセッションの再利用に使用されます。

デフォルト値:10

最小値:1

最大値:1000

:

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done

Citrix SWG CLIを使用してSSLインターセプトCA証明書をSSLプロフルにバインドする

コマンドプロンプトで、次のように入力します。

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

:

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done

Citrix SWG GUIを使用してSSLインターセプトCA証明書をSSLプロフルにバインドする

  1. [ システム ] > [ プロファイル ] > [ SSL プロファイル] に移動します。

  2. [追加] をクリックします。

  3. プロファイルの名前を指定します。

  4. SSL セッションインターセプションを有効にします。

  5. [OK] をクリックします。

  6. [詳細設定]で、[証明書キー] をクリックします。

  7. プロファイルにバインドする SSLi CA 証明書キーを指定します。

  8. [選択] をクリックし、[バインド] をクリックします。

  9. オプションで、展開に合わせて暗号を設定します。

    • 編集アイコンをクリックし、[追加] をクリックします。
    • 1 つ以上の暗号グループを選択し、右矢印をクリックします。
    • [OK] をクリックします。
  10. [完了] をクリックします。

Citrix SWG GUIを使用してSSLプロファイルをプロキシサーバーにバインドする

  1. [ Secure Web Gateway ] > [ プロキシサーバー] に移動し、新しいサーバーを追加するか、変更するサーバーを選択します。
  2. [SSL プロファイル] で、[編集] アイコンをクリックします。
  3. [SSL プロファイル] リストで、前に作成した SSL プロファイルを選択します。
  4. [OK] をクリックします。
  5. [完了] をクリックします。

サンプルプロファイル:

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert