SSL-Richtlinien
Richtlinien auf der NetScaler-Appliance helfen dabei, bestimmte Verbindungen zu identifizieren, die Sie verarbeiten möchten. Die Verarbeitung basiert auf den Aktionen, die für diese bestimmte Richtlinie konfiguriert sind. Sobald Sie die Richtlinie erstellt und eine Aktion dafür konfiguriert haben, müssen Sie einen der folgenden Schritte ausführen:
- Binden Sie die Richtlinie an einen virtuellen Server auf der Appliance, sodass sie nur für den Datenverkehr gilt, der durch diesen virtuellen Server fließt.
- Binden Sie die Richtlinie global, sodass sie für den gesamten Datenverkehr gilt, der über einen virtuellen Server fließt, der auf der NetScaler-Appliance konfiguriert ist.
Die SSL-Funktion der NetScaler-Appliance unterstützt erweiterte Richtlinien (erweiterte) Richtlinien. Eine vollständige Beschreibung der erweiterten Richtlinienausdrücke, ihrer Funktionsweise und ihrer manuellen Konfiguration finden Sie unter Richtlinien und Ausdrücke. Weitere Informationen zu SSL-Ausdrücken finden Sie unter Erweiterte Richtlinienausdrücke: SSL parsen.
Hinweis:
Benutzer, die keine Erfahrung mit der Konfiguration von Richtlinien an der CLI haben, finden die Verwendung des Konfigurationsdienstprogramms normalerweise erheblich einfacher.
SSL-Richtlinien erfordern, dass Sie vor dem Erstellen einer Richtlinie eine Aktion erstellen, damit Sie die Aktionen beim Erstellen der Richtlinien angeben können. In erweiterten SSL-Richtlinien können Sie auch die integrierten Aktionen verwenden. Weitere Informationen zu integrierten Aktionen finden Sie unter Integrierte SSL-Aktionen und benutzerdefinierte Aktionen.
Erweiterte SSL-Richtlinien
Eine SSL Advanced-Richtlinie, auch als erweiterte Richtlinie bezeichnet, definiert ein Steuerelement oder eine Datenaktion, die bei Anfragen ausgeführt werden soll. SSL-Richtlinien können daher als Steuerungsrichtlinien und Datenrichtlinien eingestuft werden:
- Steuerungsrichtlinie. Eine Steuerungsrichtlinie verwendet eine Steuerungsaktion, z. B. das Erzwingen der Clientauthentifizierung. Hinweis: In Version 10.5 oder höher ist SSL-Neuverhandlung verweigern (denySSLReneg) standardmäßig auf ALL gesetzt. Steuerungsrichtlinien wie CLIENTAUTH lösen jedoch einen Handshake für Neuverhandlungen aus. Wenn Sie solche Richtlinien verwenden, müssen Sie denySSLReneg auf NEIN setzen.
- Richtlinie zu Daten. Eine Datenrichtlinie verwendet eine Datenaktion, z. B. das Einfügen einiger Daten in die Anforderung.
Die wesentlichen Bestandteile einer Richtlinie sind ein Ausdruck und eine Handlung. Der Ausdruck identifiziert die Anforderungen, für die die Aktion ausgeführt werden soll.
Sie können eine erweiterte Richtlinie mit einer integrierten Aktion oder einer benutzerdefinierten Aktion konfigurieren. Sie können eine Richtlinie mit einer integrierten Aktion konfigurieren, ohne eine separate Aktion zu erstellen. Um jedoch eine Richtlinie mit einer benutzerdefinierten Aktion zu konfigurieren, konfigurieren Sie zuerst die Aktion und konfigurieren Sie dann die Richtlinie.
Sie können eine zusätzliche Aktion angeben, die als UNDEF-Aktion bezeichnet wird und ausgeführt wird, wenn das Anwenden des Ausdrucks auf eine Anforderung ein undefiniertes Ergebnis hat.
Konfiguration der SSL-Richtlinie
Sie können eine SSL Advanced-Richtlinie über die CLI und der GUI konfigurieren.
Konfigurieren einer SSL-Richtlinie über die CLI
Geben Sie in der Befehlszeile Folgendes ein:
add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->
Konfigurieren einer SSL-Richtlinie über die GUI
Navigieren Sie zu Traffic Management > SSL > Richtlinien und klicken Sie auf der Registerkarte Richtlinien auf Hinzufügen.
Unterstützung für SSL-Richtlinien mit TLS1.3-Protokoll
Ab Version 13.0 Build 71.x und höher wird Unterstützung für SSL-Richtlinien mit dem TLS1.3-Protokoll hinzugefügt. Wenn das TLSv1.3-Protokoll für eine Verbindung ausgehandelt wird, lösen Richtlinienregeln, die vom Client empfangene TLS-Daten überprüfen, jetzt die konfigurierte Aktion aus.
Wenn die folgende Richtlinienregel beispielsweise den Wert „Wahr“ zurückgibt, wird der Datenverkehr an den in der Aktion definierten virtuellen Server weitergeleitet.
add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
<!--NeedCopy-->
Einschränkungen
- Steuerungsrichtlinien werden nicht unterstützt.
- Die folgenden Aktionen werden nicht unterstützt:
- DOCLIENTAUTH
- NOCLIENTAUTH
- caCertGrpName
- clientCertVerification
- ssllogProfile