SSL 策略

Citrix ADC 设备上的策略有助于确定要处理的特定连接。处理基于为该特定策略配置的操作。创建策略并为其配置操作后,必须将其绑定到设备上的虚拟服务器,以便其仅应用于流经该虚拟服务器的流量,或者将其全局绑定,以便该策略应用于通过 Citrix ADC 上配置的任何虚拟服务器流动的所有流量设备。

Citrix ADC 设备 SSL 功能支持默认语法(高级)策略。有关默认语法表达式、它们的工作方式以及如何手动配置它们的完整描述,请参阅策略和表达式

注意:

在 CLI 配置策略方面没有经验的用户通常会发现使用配置实用程序更容易。

SSL 策略要求您在创建策略之前创建操作,以便您可以在创建策略时指定操作。 在 SSL 默认语法策略中,您还可以使用内置操作。有关内置操作的更多信息,请参阅SSL 内置操作和用户定义的操作

SSL 默认语法策略

SSL 默认语法策略(也称为高级策略)定义要对请求执行的控件或数据操作。因此,SSL 策略可以归类为控制策略和数据策略:

  • 控制策略。控制策略使用控制操作,例如强制执行客户端身份验证。 注意:在版本 10.5 或更高版本中,默认情况下,拒绝 SSL 重新协商 (denySSLReneg) 设置为全部。但是,控制策略(如 Clientauth)会触发重新协商握手。如果您使用此类策略,则必须将 denySSLReneg 设置为 NO。
  • 数据策略。数据策略使用数据操作,例如将某些数据插入到请求中。

策略的基本组成部分是表达和操作。表达式标识要对其执行操作的请求。

您可以使用内置操作或用户定义操作配置默认语法策略。您可以使用内置操作配置策略,而无需创建单独的操作。但是,要使用用户定义的操作配置策略,请先配置该操作,然后配置该策略。

您可以指定一个附加操作(称为 UNDEF 操作),以便在将表达式应用于请求具有未定义的结果时执行。

SSL 策略配置

您可以使用 CLI 和 GUI 配置 SSL 默认语法策略。

使用 CLI 配置 SSL 策略

在命令提示窗口中,键入:

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]

使用 GUI 配置 SSL 策略

导航到流量管理 > SSL > 策略,然后在策略选项卡上单击添加。