SSL 截获

为 SSL 截获配置的 Citrix Secure Web Gateway (SWG) 设备用作代理。它可以截获并解密 SSL/TLS 流量, 检查未加密的请求, 并启用管理员以强制执行合规性规则和安全检查。SSL 截获使用用于指定要截获、阻止或允许的流量的策略。例如,不能截获进出财务 Web 站点的流量(例如银行),但可以截获其他流量,并且可以确定和阻止列入黑名单的站点。Citrix 建议您配置一个通用策略来截获流量, 并将更具体的策略设置为绕过某些流量。

客户端和 Citrix SWG 代理建立 HTTPS/TLS 握手。SWG 代理与服务器建立另一个 HTTPS/TLS 握手并接收服务器证书。代理代表客户端验证服务器证书, 还会使用联机证书状态协议 (OCSP) 检查服务器证书的有效性。它将重新生成服务器证书, 使用设备上安装的 CA 证书的密钥对其进行签名, 并将其提供给客户端。因此, 在客户端与 Citrix ADC 设备之间使用一个证书, 在设备与后端服务器之间使用另一个证书。

重要

必须在所有客户端设备上预安装用于对服务器证书进行签名的 CA 证书, 以便客户端信任重新生成的服务器证书。

对于截获的 HTTPS 流量, SWG 代理服务器会解密出站流量, 访问明文 HTTP 请求, 并且可以使用任何第7层应用程序来处理流量, 例如, 通过查看纯文本 URL 并允许或阻止访问企业策略和 URL 信誉。如果策略决定允许访问原始服务器, 代理服务器会将 reencrypted 请求转发到目标服务 (在源服务器上)。代理将来自源服务器的响应解密, 访问明文 HTTP 响应, 并选择性地将所有策略应用于响应。然后, 代理 reencrypts 响应并将响应转发给客户端。如果策略决定阻止请求到源服务器, 代理会向客户端发送错误响应 (如 HTTP 403)。

要执行 SSL 截获,除了以前配置的代理服务器外,还必须在 SWG 设备上配置以下各项:

  • SSL 配置文件
  • SSL 策略
  • CA 证书存储
  • SSL - 错误自动学习和缓存

SSL 截获