SSL 配置文件

July 1, 2019

贡献者: C

SSL 配置文件是 SSL 设置 (例如, 密码和协议) 的集合。如果您具有不同服务器的公用设置, 配置文件将非常有用。可以创建配置文件, 指定配置文件中的设置, 然后将该配置文件绑定到不同的服务器, 而不是为每个服务器指定相同的设置。如果未创建自定义前端 SSL 配置文件, 则默认的前端配置文件将绑定到客户端实体。此配置文件允许您配置用于管理客户端连接的设置。对于 SSL 截获，必须创建 SSL 配置文件并在配置文件中启用 SSL 截获 (SSLi)。默认密码组绑定到此配置文件, 但您可以配置更多的密码以适合您的部署。必须将 SSLi CA 证书绑定到此配置文件, 然后将该配置文件绑定到代理服务器。对于 SSL 截获，配置文件中的基本参数是用于检查原始服务器证书的 OCSP 状态的参数，如果原始服务器请求重新协商，则触发客户端重新协商，然后在重复使用前端 SSL 会话。与源服务器通信时, 必须使用默认后端配置文件。在默认后端配置文件中设置任何服务器端参数 (如密码套件)。不支持自定义后端配置文件。

有关最常用 SSL 设置的示例，请参阅本部分末尾的“示例配置文件”。

密码/协议支持在内部和外部网络上有所不同。在下表中, 用户与 SWG 设备之间的连接是内部网络。外部网络位于设备和 Internet 之间。

表 1: 内部网络的密码/协议支持列表

(密码/协议)/Platform	MPX (N3) *	VPX
TLS 1.1/1.2	12.1	12.1
ECDHE/DHE（示例 TLS1-ECDHE-RSA-AES128-SHA）	12.1	12.1
AES-GCM（示例 TLS1.2-AES128-GCM-SHA256）	12.1	12.1
SHA-2 密码（示例 TLS1.2-AES-128-SHA256）	12.1	12.1
ECDSA（示例 TLS1-ECDHE-ECDSA-AES256-SHA）	12.1	12.1

表 2: 外部网络的密码/协议支持列表

(密码/协议)/Platform	MPX (N3) *	VPX
TLS 1.1/1.2	12.1	12.1
ECDHE/DHE（示例 TLS1-ECDHE-RSA-AES128-SHA）	12.1	12.1
AES-GCM（示例 TLS1.2-AES128-GCM-SHA256）	12.1	12.1
SHA-2 密码（示例 TLS1.2-AES-128-SHA256）	12.1	12.1
ECDSA（示例 TLS1-ECDHE-ECDSA-AES256-SHA）	12.1	不支持

* 使用 sh hardware (show hardware) 命令确定设备是否具有 N3 芯片。

示例:

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done

添加 SSL 配置文件并使用 Citrix SWG CLI 启用 SSL 截获

在命令提示窗口中，键入：

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

参数:

sslInterception:

启用或禁用 SSL 会话截获。

可能的值：已启用、已禁用

默认值：已禁用

ssliReneg:

当从原始服务器收到重新协商请求时, 启用或禁用触发客户端重新协商。

可能的值：已启用、已禁用

默认值：已启用

ssliOCSPCheck：

为原服务器证书启用或禁用 OCSP 检查。

可能的值：已启用、已禁用

默认值：已启用

ssliMaxSessPerServer：

为每个动态源服务器缓存的最大 SSL 会话数。在客户端 hello 消息中为从客户端接收的每个 SNI 扩展程序创建唯一的 SSL 会话。匹配的会话用于服务器会话重用。

默认值:10

最小值: 1

最大值: 1000

示例:

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done

使用 Citrix SWG CLI 将 SSL 截获 CA 证书绑定到 SSL profle

在命令提示窗口中，键入：

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

示例:

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done

使用 Citrix SWG GUI 将 SSL 截获 CA 证书绑定到 SSL profle

导航到系统 > 配置文件 > SSL 配置文件。
单击添加。
指定配置文件的名称。
启用 SSL 会话拦截。
单击确定。
在 “高级设置” 中, 单击证书密钥。
指定要绑定到配置文件的 SSLi CA 证书密钥。
单击选择, 然后单击绑定。
(可选) 配置密码以适合您的部署。
- 单击 “编辑” 图标, 然后单击 “添加“。
- 选择一个或多个密码组, 然后单击右箭头。
- 单击确定。
单击完成。

使用 Citrix SWG GUI 将 SSL 配置文件绑定到代理服务器

导航到Secure Web Gateway >代理服务器, 然后添加新服务器或选择要修改的服务器。
在SSL 配置文件中, 单击编辑图标。
在SSL 配置文件列表中, 选择之前创建的 SSL 配置文件。
单击确定。
单击完成。

示例配置文件:

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

本内容的正式版本为英文版。部分 Citrix 文档内容采用了机器翻译，仅供您参考。Citrix 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Citrix 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Citrix 不承担任何责任。

SSL 配置文件

July 1, 2019

贡献者: C

本文中包含的内容

添加 SSL 配置文件并使用 Citrix SWG CLI 启用 SSL 截获
使用 Citrix SWG CLI 将 SSL 截获 CA 证书绑定到 SSL profle
使用 Citrix SWG GUI 将 SSL 截获 CA 证书绑定到 SSL profle
使用 Citrix SWG GUI 将 SSL 配置文件绑定到代理服务器

Edit this article