密码重定向

在 SSL 握手期间,SSL 客户端(通常是 Web 浏览器)按配置的密码首选项顺序宣布它支持的密码套件。然后,SSL 服务器从该列表中选择与其自己的已配置密码列表匹配的密码。

如果客户端公布的密码与 SSL 服务器上配置的密码不匹配,则 SSL 握手会失败,并且失败会通过浏览器中显示的一条神秘错误消息来宣布。这些消息很少提到错误的确切原因。

通过密码重定向,您可以配置 SSL 虚拟服务器,以便在 SSL 握手失败时提供准确、有意义的错误消息。SSL 握手失败时,Citrix ADC 设备会将用户重定向到先前配置的 URL,如果没有配置 URL,则会显示内部生成的错误页面。

使用 CLI 配置密码重定向

在命令提示符下,键入以下命令以配置密码重定向并验证配置:

-  set ssl vserver <vServerName> -cipherRedirect < ENABLED | DISABLED> -cipherURL < URL>  
-  show ssl vserver <vServerName>

示例:

set ssl vserver vs-ssl -cipherRedirect ENABLED -cipherURL http://redirectURl

Done

show ssl vserver vs-ssl

Advanced SSL configuration for VServer vs-ssl:
DH: DISABLED
Ephemeral RSA: ENABLED          Refresh Count: 1000
Session Reuse: ENABLED          Timeout: 600 seconds
Cipher Redirect: ENABLED        Redirect URL: http://redirectURl
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED  TLSv1.0: ENABLED TLSv1.2: ENABLED  TLSv1.2: ENABLED
    1)      CertKey Name: Auth-Cert-1       Server Certificate
    1)      Cipher Name: DEFAULT
            Description: Predefined Cipher Alias
Done

使用 GUI 配置密码重定向

  1. 导航到 流量管理 > 负载平衡 > 虚拟服务器,然后打开虚拟服务器。
  2. 在“SSL 参数”部分中,选择“启用密码重定向”,然后指定重定向 URL。