Citrix Secure Web Gateway

SSL 配置文件

April 27, 2021

贡献者:

SSL 配置文件是 SSL 设置的集合，如密码和协议。如果您具有针对不同服务器的常用设置，则配置文件非常有用。您可以创建配置文件，在配置文件中指定设置，然后将配置文件绑定到不同的服务器，而不是为每个服务器指定相同的设置。如果未创建自定义前端 SSL 配置文件，则默认前端配置文件绑定到客户端实体。此配置文件允许您配置用于管理客户端连接的设置。对于 SSL 截获，必须创建 SSL 配置文件并在配置文件中启用 SSL 截获 (SSLi)。默认密码组绑定到此配置文件，但您可以配置更多密码以适应您的部署。必须将 SSLi CA 证书绑定到此配置文件，然后将配置文件绑定到代理服务器。对于 SSL 截获，配置文件中的基本参数是用于检查原始服务器证书的 OCSP 状态的参数，如果原始服务器请求重新协商，则触发客户端重新协商，然后在重复使用前端 SSL 会话。与源服务器通信时，必须使用默认的后端配置文件。在默认后端配置文件中设置任何服务器端参数，例如密码套件。不支持自定义后端配置文件。

有关最常用 SSL 设置的示例，请参阅本部分末尾的“示例配置文件”。

内部和外部网络的密码/协议支持不同。在下表中，用户与 SWG 设备之间的连接是内部网络。外部网络位于设备和 Internet 之间。

表 1：内部网络的密码/协议支持列表

（密码/协议）/平台	MPX (N3)*	VPX
TLS 1.1/1.2	12.1	12.1
ECDHE/DHE（示例 TLS1-ECDHE-RSA-AES128-SHA）	12.1	12.1
AES-GCM（示例 TLS1.2-AES128-GCM-SHA256）	12.1	12.1
SHA-2 密码（示例 TLS1.2-AES-128-SHA256）	12.1	12.1
ECDSA（示例 TLS1-ECDHE-ECDSA-AES256-SHA）	12.1	12.1

表 2：外部网络的密码/协议支持列表

（密码/协议）/平台	MPX (N3)*	VPX
TLS 1.1/1.2	12.1	12.1
ECDHE/DHE（示例 TLS1-ECDHE-RSA-AES128-SHA）	12.1	12.1
AES-GCM（示例 TLS1.2-AES128-GCM-SHA256）	12.1	12.1
SHA-2 密码（示例 TLS1.2-AES-128-SHA256）	12.1	12.1
ECDSA（示例 TLS1-ECDHE-ECDSA-AES256-SHA）	12.1	不支持

* 使用 sh hardware (show hardware) 命令确定设备是否具有 N3 芯片。

示例：

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done
<!--NeedCopy-->

使用 Citrix SWG CLI 添加 SSL 配置文件并启用 SSL 拦截

在命令提示符下，键入：

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

参数：

sslInterception:

启用或禁用对 SSL 会话的拦截。

可能的值：ENABLED、DISABLED

默认值：禁用

斯利利内斯：

从源服务器收到重新协商请求时启用或禁用触发客户端重新协商。

可能的值：ENABLED、DISABLED

默认值：ENABLED

ssliOCSPCheck：

启用或禁用 OCSP 检查原始服务器证书。

可能的值：ENABLED、DISABLED

默认值：ENABLED

ssliMaxSessPerServer：

每个动态源服务器要缓存的最大 SSL 会话数。将为客户端 Hello 消息中从客户端接收的每个 SNI 扩展创建一个唯一的 SSL 会话。匹配的会话用于服务器会话重用。

默认值：10

最小值：1

最大值：1000

示例：

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

使用 Citrix SWG CLI 将 SSL 拦截 CA 证书绑定到 SSL PROFLE

在命令提示符下，键入：

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

示例：

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done
<!--NeedCopy-->

使用 Citrix SWG GUI 将 SSL 拦截 CA 证书绑定到 SSL

导航到系统 > 配置文件 > SSL 配置文件。
单击添加。
指定配置文件的名称。
启用 SSL 会话拦截。
单击确定。
在“高级设置”中，单击“证书密钥”。
指定要绑定到配置文件的 SSLi CA 证书密钥。
单击选择，然后单击绑定。
或者，配置密码以适合您的部署。
- 单击编辑图标，然后单击添加。
- 选择一个或多个密码组，然后单击向右箭头。
- 单击确定。
单击完成。

使用 Citrix SWG GUI 将 SSL 配置文件绑定到代理服务器

导航到 Secure Web Gateway > 代理服务器，然后添加新服务器或选择要修改的服务器。
在 SSL 配置文件中，单击编辑图标。
在 SSL 配置文件 列表中，选择您之前创建的 SSL 配置文件。
单击确定。
单击完成。

样本配置文件：

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->

本内容的正式版本为英文版。部分 Citrix 文档内容采用了机器翻译，仅供您参考。Citrix 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Citrix 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Citrix 不承担任何责任。

SSL 配置文件

April 27, 2021

贡献者:

April 27, 2021

贡献者:

本文中包含的内容

使用 Citrix SWG CLI 添加 SSL 配置文件并启用 SSL 拦截
使用 Citrix SWG CLI 将 SSL 拦截 CA 证书绑定到 SSL PROFLE
使用 Citrix SWG GUI 将 SSL 拦截 CA 证书绑定到 SSL
使用 Citrix SWG GUI 将 SSL 配置文件绑定到代理服务器