Citrix ADC

SSL 策略

Citrix ADC 设备上的策略有助于识别要处理的特定连接。处理基于为该特定策略配置的操作。创建策略并为其配置操作后,必须执行以下操作之一:

  • 将策略绑定到设备上的虚拟服务器,以便它仅适用于流经该虚拟服务器的流量。
  • 全局绑定策略,以便将其应用于流经 Citrix ADC 设备上配置的任何虚拟服务器的所有流量。

Citrix ADC 设备 SSL 功能支持高级策略(高级)策略。有关高级策略表达式、其工作方式以及如何手动配置它们的完整说明,请参阅 策略和表达式

注意:

在 CLI 配置策略方面没有经验的用户通常会发现使用配置实用程序要容易得多。

SSL 策略要求您在创建策略之前创建操作,以便在创建策略时指定操作。 在 SSL Advanced 策略策略中,您还可以使用内置操作。有关内置操作的更多信息,请参阅 SSL 内置操作和用户定义的操作

SSL 高级策略策略

SSL Advanced 策略(也称为高级策略)定义要对请求执行的控制或数据操作。因此,SSL 策略可以归类为控制策略和数据策略:

  • 控制策略。控制策略使用控制操作,例如强制进行客户端身份验证。 注意:在 10.5 或更高版本中,默认情况下,拒绝 SSL 重新协商 (denysslreneG) 设置为 “全部”。但是,控制策略(例如 CLIENTAUTH)会触发重新协商握手。如果您使用此类策略,则必须将 denysslreneg 设置为 NO。
  • 数据政策。数据策略使用数据操作,例如在请求中插入一些数据。

政策的基本组成部分是表达和行动。表达式标识要对其执行操作的请求。

您可以使用内置操作或用户定义的操作来配置高级策略。您可以使用内置操作配置策略,而无需创建单独的操作。但是,要使用用户定义的操作配置策略,请先配置操作,然后配置策略。

您可以指定在将表达式应用于请求产生未定义结果时要执行的额外操作,称为 UNDEF 操作。

SSL 策略配置

您可以使用 CLI 和 GUI 配置 SSL 高级策略。

使用 CLI 配置 SSL 策略

在命令提示符下,键入:

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

使用 GUI 配置 SSL 策略

导航到 “ 流量管理” > “SSL” > “策略 ”,然后在 “ 略” 选项卡上单击 “ 添加”。

使用 TLS1.3 协议支持 SSL 策略

从 13.0 版本 71.x 及更高版本开始,添加了对使用 TLS1.3 协议的 SSL 策略的支持。当为连接协商 TLSv1.3 协议时,检查从客户端接收的 TLS 数据的策略规则现在会触发配置的操作。

例如,如果以下策略规则返回 true,则流量将转发到操作中定义的虚拟服务器。

add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
<!--NeedCopy-->

限制

  • 不支持控制策略。
  • 不支持以下操作:
    • DOCLIENTAUTH
    • 没有客户端身份验证
    • cacertgrpName
    • 客户端证/验证
    • SSLLOG 配置文件
SSL 策略