SSL 错误自动学习

如果启用了 “学习模式”, Citrix SWG 设备将向 SSL 旁路列表添加域。学习模式基于从客户端或原始服务器收到的 SSL 警报消息。即, 学习依赖于发送警报消息的客户端或服务器。如果未发送警告消息, 则不会发生任何了解。如果满足以下任一条件, 设备会进行学习:

  1. 从服务器接收到客户端证书的请求。

  2. 在握手过程中, 将收到以下警报之一:

    • BAD_CERTIFICATE
    • UNSUPPORTED_CERTIFICATE
    • CERTIFICATE_REVOKED
    • CERTIFICATE_EXPIRED
    • CERTIFICATE_UNKNOWN
    • UNKNOWN_CA (如果客户端使用固定, 则会在收到服务器证书时发送此警报消息。)
    • HANDSHAKE_FAILURE

要启用学习, 必须启用错误缓存, 并指定为此预留的内存。

使用 Citrix SWG GUI 启用学习

  1. 导航到Secure Web Gateway > SSL

  2. 设置中, 单击更改高级 SSL 设置

  3. SSL 截获中, 选择Ssl 截获错误缓存

  4. SSL 截获最大错误缓存内存中, 指定要保留的内存 (以字节为单位)。

    本地化后的图片

  5. 单击确定

使用 Citrix SWG CLI 启用学习

在命令提示窗口中, 键入:

set ssl parameter -ssliErrorCache ( ENABLED | DISABLED ) -ssliMaxErrorCacheMem <positive_integer>

参数:

ssliErrorCache:

启用或禁用动态教学, 并缓存已知信息, 以进一步决定截获或绕过请求。启用后,设备将执行缓存查找以确定是否跳过请求。

可能的值:已启用、已禁用

默认值:已禁用

ssliMaxErrorCacheMem:

指定可以用来缓存已知数据的最大内存 (以字节为单位)。此内存用作 LRU 缓存, 这样, 在设置内存限制耗尽后旧条目将替换为新条目。如果值为 0, 则将自动确定此限制。

默认值: 0

最小值: 0

最大值: 4294967294