SSL 配置文件

SSL 配置文件是 SSL 设置 (例如, 密码和协议) 的集合。如果您具有不同服务器的公用设置, 配置文件将非常有用。可以创建配置文件, 指定配置文件中的设置, 然后将该配置文件绑定到不同的服务器, 而不是为每个服务器指定相同的设置。如果未创建自定义前端 SSL 配置文件, 则默认的前端配置文件将绑定到客户端实体。此配置文件允许您配置用于管理客户端连接的设置。对于 SSL 截获,必须创建 SSL 配置文件并在配置文件中启用 SSL 截获 (SSLi)。默认密码组绑定到此配置文件, 但您可以配置更多的密码以适合您的部署。必须将 SSLi CA 证书绑定到此配置文件, 然后将该配置文件绑定到代理服务器。对于 SSL 截获,配置文件中的基本参数是用于检查原始服务器证书的 OCSP 状态的参数,如果原始服务器请求重新协商,则触发客户端重新协商,然后在重复使用前端 SSL 会话。与源服务器通信时, 必须使用默认后端配置文件。在默认后端配置文件中设置任何服务器端参数 (如密码套件)。不支持自定义后端配置文件。

有关最常用 SSL 设置的示例,请参阅本部分末尾的“示例配置文件”。

密码/协议支持在内部和外部网络上有所不同。在下表中, 用户与 SWG 设备之间的连接是内部网络。外部网络位于设备和 Internet 之间。

本地化后的图片

表 1: 内部网络的密码/协议支持列表

(密码/协议)/Platform MPX (N3) * VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE(示例 TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM(示例 TLS1.2-AES128-GCM-SHA256) 12.1 12.1
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA(示例 TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 12.1

表 2: 外部网络的密码/协议支持列表

(密码/协议)/Platform MPX (N3) * VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE(示例 TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM(示例 TLS1.2-AES128-GCM-SHA256) 12.1 12.1
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA(示例 TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 不支持

* 使用 sh hardware (show hardware) 命令确定设备是否具有 N3 芯片。

示例:

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done

添加 SSL 配置文件并使用 Citrix SWG CLI 启用 SSL 截获

在命令提示窗口中,键入:

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

参数:

sslInterception:

启用或禁用 SSL 会话截获。

可能的值:已启用、已禁用

默认值:已禁用

ssliReneg:

当从原始服务器收到重新协商请求时, 启用或禁用触发客户端重新协商。

可能的值:已启用、已禁用

默认值:已启用

ssliOCSPCheck

为原服务器证书启用或禁用 OCSP 检查。

可能的值:已启用、已禁用

默认值:已启用

ssliMaxSessPerServer

为每个动态源服务器缓存的最大 SSL 会话数。在客户端 hello 消息中为从客户端接收的每个 SNI 扩展程序创建唯一的 SSL 会话。匹配的会话用于服务器会话重用。

默认值:10

最小值: 1

最大值: 1000

示例:

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done

使用 Citrix SWG CLI 将 SSL 截获 CA 证书绑定到 SSL profle

在命令提示窗口中,键入:

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

示例:

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done

使用 Citrix SWG GUI 将 SSL 截获 CA 证书绑定到 SSL profle

  1. 导航到系统 > 配置文件 > SSL 配置文件

  2. 单击添加

  3. 指定配置文件的名称。

  4. 启用 SSL 会话拦截

  5. 单击确定

  6. 在 “高级设置” 中, 单击证书密钥

  7. 指定要绑定到配置文件的 SSLi CA 证书密钥。

  8. 单击选择, 然后单击绑定

  9. (可选) 配置密码以适合您的部署。

    • 单击 “编辑” 图标, 然后单击 “添加“。
    • 选择一个或多个密码组, 然后单击右箭头。
    • 单击确定
  10. 单击完成

使用 Citrix SWG GUI 将 SSL 配置文件绑定到代理服务器

  1. 导航到Secure Web Gateway >代理服务器, 然后添加新服务器或选择要修改的服务器。
  2. SSL 配置文件中, 单击编辑图标。
  3. SSL 配置文件列表中, 选择之前创建的 SSL 配置文件。
  4. 单击确定
  5. 单击完成

示例配置文件:

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert