SSL 配置文件
SSL 配置文件是 SSL 设置 (例如, 密码和协议) 的集合。如果您具有不同服务器的公用设置, 配置文件将非常有用。可以创建配置文件, 指定配置文件中的设置, 然后将该配置文件绑定到不同的服务器, 而不是为每个服务器指定相同的设置。如果未创建自定义前端 SSL 配置文件, 则默认的前端配置文件将绑定到客户端实体。此配置文件允许您配置用于管理客户端连接的设置。对于 SSL 截获,必须创建 SSL 配置文件并在配置文件中启用 SSL 截获 (SSLi)。默认密码组绑定到此配置文件, 但您可以配置更多的密码以适合您的部署。必须将 SSLi CA 证书绑定到此配置文件, 然后将该配置文件绑定到代理服务器。对于 SSL 截获,配置文件中的基本参数是用于检查原始服务器证书的 OCSP 状态的参数,如果原始服务器请求重新协商,则触发客户端重新协商,然后在重复使用前端 SSL 会话。与源服务器通信时, 必须使用默认后端配置文件。在默认后端配置文件中设置任何服务器端参数 (如密码套件)。不支持自定义后端配置文件。
有关最常用 SSL 设置的示例,请参阅本部分末尾的“示例配置文件”。
密码/协议支持在内部和外部网络上有所不同。在下表中, 用户与 SWG 设备之间的连接是内部网络。外部网络位于设备和 Internet 之间。
表 1: 内部网络的密码/协议支持列表
(密码/协议)/Platform | MPX (N3) * | VPX |
---|---|---|
TLS 1.1/1.2 | 12.1 | 12.1 |
ECDHE/DHE(示例 TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
AES-GCM(示例 TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
ECDSA(示例 TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | 12.1 |
表 2: 外部网络的密码/协议支持列表
(密码/协议)/Platform | MPX (N3) * | VPX |
---|---|---|
TLS 1.1/1.2 | 12.1 | 12.1 |
ECDHE/DHE(示例 TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
AES-GCM(示例 TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
ECDSA(示例 TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | 不支持 |
* 使用 sh hardware (show hardware) 命令确定设备是否具有 N3 芯片。
示例:
sh hardware
Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
Manufactured on: 8/19/2013
CPU: 2900MHZ
Host Id: 1006665862
Serial no: ENUK6298FT
Encoded serial no: ENUK6298FT
Done
添加 SSL 配置文件并使用 Citrix SWG CLI 启用 SSL 截获
在命令提示窗口中,键入:
add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>
参数:
sslInterception:
启用或禁用 SSL 会话截获。
可能的值:已启用、已禁用
默认值:已禁用
ssliReneg:
当从原始服务器收到重新协商请求时, 启用或禁用触发客户端重新协商。
可能的值:已启用、已禁用
默认值:已启用
ssliOCSPCheck:
为原服务器证书启用或禁用 OCSP 检查。
可能的值:已启用、已禁用
默认值:已启用
ssliMaxSessPerServer:
为每个动态源服务器缓存的最大 SSL 会话数。在客户端 hello 消息中为从客户端接收的每个 SNI 扩展程序创建唯一的 SSL 会话。匹配的会话用于服务器会话重用。
默认值:10
最小值: 1
最大值: 1000
示例:
add ssl profile swg_ssl_profile -sslinterception ENABLED
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
Done
使用 Citrix SWG CLI 将 SSL 截获 CA 证书绑定到 SSL profle
在命令提示窗口中,键入:
bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >
示例:
bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
Done
使用 Citrix SWG GUI 将 SSL 截获 CA 证书绑定到 SSL profle
-
导航到系统 > 配置文件 > SSL 配置文件。
-
单击添加。
-
指定配置文件的名称。
-
启用 SSL 会话拦截。
-
单击确定。
-
在 “高级设置” 中, 单击证书密钥。
-
指定要绑定到配置文件的 SSLi CA 证书密钥。
-
单击选择, 然后单击绑定。
-
(可选) 配置密码以适合您的部署。
- 单击 “编辑” 图标, 然后单击 “添加“。
- 选择一个或多个密码组, 然后单击右箭头。
- 单击确定。
-
单击完成。
使用 Citrix SWG GUI 将 SSL 配置文件绑定到代理服务器
- 导航到Secure Web Gateway >代理服务器, 然后添加新服务器或选择要修改的服务器。
- 在SSL 配置文件中, 单击编辑图标。
- 在SSL 配置文件列表中, 选择之前创建的 SSL 配置文件。
- 单击确定。
- 单击完成。
示例配置文件:
Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert