Citrix ADC

SSL 策略

Citrix ADC 设备上的策略有助于确定要处理的特定连接。处理基于为该特定策略配置的操作。创建策略并为其配置操作后,必须执行以下操作之一:

  • 将策略绑定到设备上的虚拟服务器,以便它仅适用于流经该虚拟服务器的流量。
  • 全局绑定策略,以便它应用于流经 Citrix ADC 设备上配置的任何虚拟服务器的所有流量。

Citrix ADC 设备 SSL 功能支持默认语法(高级)策略。有关默认语法表达式、它们的工作方式以及如何手动配置语法表达式的完整说明,请参阅 策略和表达式

注意 : 在 CLI 中没有配置策略经验的用户通常会发现使用配置实用程序容易得多。

SSL 策略要求您在创建策略之前创建操作,以便您可以在创建策略时指定操作。 在 SSL 默认语法策略中,您还可以使用内置操作。有关内置操作的更多信息,请参阅 SSL 内置操作和用户定义的操作

SSL 默认语法策略

SSL 默认语法策略(也称为高级策略)定义了要对请求执行的控件或数据操作。因此,SSL 策略可以归类为控制策略和数据策略:

  • 控制策略。控制策略使用控制操作,例如强制执行客户端身份验证。 注意:在版本 10.5 或更高版本中,默认情况下,拒绝 SSL 重新协商 (denySSLReneg) 设置为全部。但是,控制策略(如 Clientauth)会触发重新协商握手。如果您使用此类策略,则必须将 denySSLReneg 设置为 NO。
  • 数据策略。数据策略使用数据操作,例如将某些数据插入到请求中。

策略的基本组成部分是表达和操作。表达式标识要对其执行操作的请求。

您可以使用内置操作或用户定义操作配置默认语法策略。您可以使用内置操作配置策略,而无需创建单独的操作。但是,要使用用户定义的操作配置策略,请先配置该操作,然后配置该策略。

您可以指定在将表达式应用于请求时具有未定义结果时要执行的额外操作(称为 UNDF 操作)。

SSL 策略配置

您可以使用 CLI 和 GUI 配置 SSL 默认语法策略。

使用 CLI 配置 SSL 策略

在命令提示符下,键入:

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

使用 GUI 配置 SSL 策略

导航到 流量管理 > SSL > 策略 ,然后在 略选项卡上单击 添加

支持使用 TLS1.3 协议的 SSL 策略

从版本 13.0 Build 71.x 及更高版本中,添加了对使用 TLS1.3 协议的 SSL 策略的支持。当为连接协商 TLSv1.3 协议时,检查从客户端收到的 TLS 数据的策略规则现在会触发配置的操作。

例如,如果以下策略规则返回 true,则流量将转发到操作中定义的虚拟服务器。

add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
<!--NeedCopy-->

限制

  • 不支持控制策略。
  • 不支持以下操作:
    • DOCLIENTAUTH
    • NOCLIENTAUTH
    • cacertgrpName
    • 客户端 CertCert验证
    • ssllogProfile
SSL 策略