Citrix SD-WAN WANOP 11.3

SSL 压缩的工作原理

SSL 压缩可以访问连接的明文数据,因为服务器端设备充当端点服务器的 安全委托 。这种行为是可能的,因为服务器端设备配置了服务器安全凭证(私钥和证书)的副本,使其能够代表服务器执行操作。对于客户端,此行为等同于直接与端点服务器进行通信。

由于设备作为服务器的安全委托工作,因此大多数配置位于服务器端设备上。客户端设备(或插件)充当服务器端设备的卫星,不需要每个服务器配置。

服务器端和客户端设备通过 SSL 信令连接共享会话状态。无论原始连接是否加密,两台设备之间的所有加速连接都通过 SSL 数据连接发送。

注意:SSL 压缩不一定会加密所有链接流量。最初加密的流量保持加密,但未加密的流量并不总是加密。设备不会尝试加密未加速的流量。由于不能绝对保证任何给定的连接都会被加速(各种事件阻止加速),因此不能保证设备会加密给定的未加密连接。

SSL 压缩工作在以下两种模式之一:透明代理或拆分代理。这两种模式支持略有不同的 SSL 功能。您可以选择提供给定应用程序所需功能的模式。

使用哪种 SSL 代理模式- 当您需要真正的客户端身份验证(即正确标识单个端点节点客户端的身份验证) 且您不需要 Diffie-Hellman、Temp RSA、TLS 会话票证时,才使用 SSL 透明代理模式,SSL 版本 2,或会话重新协商。对所有其他部署使用 SSL 拆分代理。

SSL 透明代理

SSL 透明代理模式下 (不要与 Citrix SD-WAN WANOP 插件上的透明模式混淆),服务器端设备伪装为服务器。服务器的凭据(证书密钥对)安装在服务器端设备上,以便它可以代表服务器执行操作。然后,服务器端设备将客户端设备配置为处理连接的客户端。服务器的凭据未安装在客户端设备上。

在此模式下支持真正的客户端身份验证,但临时 RSA 和 Diffie-Hellman 不支持。SSL 透明代理模式适用于需要客户端身份验证的应用程序,但前提是不需要以下功能:Diffie-Hellman、Temp RSA、TLS 会话票证、SSL 版本 2。此外,不得尝试重新协商会话,否则连接终止。

客户端设备无需进行任何配置(与服务器端设备配置安全对等关系除外),并且客户端不需要配置,客户端将连接与服务器直接通信一样处理。

本地化后的图片

SSL 拆分代理

SSL 拆分代理模式 在大多数情况下是首选的,因为它支持许多应用程序需要的临时 RSA 和 Diffie-Hellman。在 SSL 拆分代理模式下,服务器端设备伪装为客户端的服务器,伪装为服务器的客户端。您可以在服务器端设备上安装服务器凭据(证书密钥对),以允许其代表服务器执行操作。

如果您安装可选的客户端凭据,则拆分代理模式还支持代理客户端身份验证,如果端点服务器应用程序请求客户端身份验证,则会显示这些凭据。将显示这些客户端凭据,而不是实际的端点节点客户端的凭据。(如果应用程序需要端点客户端凭据,请使用透明代理。)

由于在此模式下不支持真正的客户端身份验证,因此服务器无法对实际的端点客户端进行身份验证。如果服务器端设备未配置客户端凭据,则服务器端应用程序在客户端身份验证时所做的所有尝试都将失败。如果服务器端设备配置了客户端凭据,则无论实际客户端的身份如何,都将使用这些凭据回复所有客户端身份验证请求。

客户端设备不需要配置(与服务器端设备配置安全对等关系除外),并且客户端不需要配置,客户端上将连接视为直接与服务器通信。服务器端设备上的服务器凭据未安装在客户端设备上。

要支持多个服务器,可以在设备上安装多个私有证书密钥对,每个 SSL 配置文件一个。服务类定义中的特殊 SSL 规则将服务器与 SSL 配置文件匹配,因此 SSL 配置文件与凭据匹配。

在 SSL 拆分代理模式下,CA 证书和证书密钥对以及 CA 证书实际上不必匹配服务器的证书,尽管它们可以。由于拆分代理的性质,服务器端设备可以使用客户端应用程序可以接受的凭据(由受信任的机构颁发的有效凭据)。请注意,在 HTTPS 连接的情况下,如果公用名与 URL 中的域名不匹配,Web 浏览器会发出警告。一般来说,使用服务器凭据的副本是更无故障的选项。

本地化后的图片

SSL 压缩的工作原理