SSL-Profile
Sie können ein SSL-Profil verwenden, um anzugeben, wie eine NetScaler-Appliance SSL-Verkehr verarbeitet. Ein Profil ist eine Sammlung von SSL-Parametereinstellungen für SSL-Entitäten, wie virtuelle Server, Dienste und Dienstgruppen, und bietet einfache Konfiguration und Flexibilität. Sie sind nicht darauf beschränkt, nur einen Satz globaler Parameter zu konfigurieren.
Sie können mehrere Sätze (Profile) globaler Parameter erstellen und verschiedenen SSL-Entitäten unterschiedliche Sätze zuweisen. SSL-Profile werden in zwei Kategorien eingeteilt:
- Frontend-Profile: Enthalten Parameter, die für die Frontend-Entität gelten (Entität, die Anfragen von einem Client empfängt).
- Back-End-Profile: Enthalten Parameter, die für die Back-End-Entität gelten (Entität, die Client-Anforderungen an einen Server sendet).
Im Gegensatz zu einem TCP- oder HTTP-Profil ist ein SSL-Profil optional. Sobald SSL-Profile aktiviert sind, erben alle SSL-Endpunkte die Standardprofile. Das gleiche Profil kann für mehrere Entitäten wiederverwendet werden. Wenn einer Entität kein Profil zugeordnet ist, gelten die auf globaler Ebene festgelegten Werte. Für dynamisch erlernte Dienste gelten die aktuellen globalen Werte.
Im Vergleich zu der alternativen Methode, bei der SSL-Parameter, Chiffren und ECC-Kurven auf einzelnen SSL-Endpunkten konfiguriert werden müssen, vereinfachen SSL-Profile auf der NetScaler-Appliance das Konfigurationsmanagement, indem sie als zentraler SSL-Konfigurationspunkt für alle zugehörigen Endpunkte fungieren. Mithilfe von SSL-Profilen können Sie Konfigurationsprobleme im Zusammenhang mit der Neuordnung von Verschlüsselungen und Ausfallzeiten bei der Neuordnung von Verschlüsselungen lösen.
SSL-Profile helfen bei der Einstellung der erforderlichen SSL-Parameter und Verschlüsselungsbindungen auf den SSL-Endpunkten, auf denen diese Parameter und Bindungen traditionell nicht festgelegt werden können. SSL-Profile können auch auf sicheren Monitoren eingerichtet werden.
Die SSL-Profilinfrastruktur wurde verbessert, um die neuesten Chiffren und Protokolle zu verwenden. Unterschiede zwischen dem Legacy-Profil (altes Profil) und dem erweiterten SSL-Profil (neues Profil) werden hervorgehoben.
Unterschiede zwischen der alten und der neuen SSL-Profilinfrastruktur
Unterschiede | Altes Profil | Neues Profil |
---|---|---|
Im Profil enthaltene Chiffren und ECC-Kurven | Nein | Ja |
Einfügen einer Chiffre oder einer Verschlüsselungsgruppe in die Mitte einer vorhandenen Liste | Entbinde alle Chiffren und binde erneut in der Reihenfolge der erforderlichen Priorität. | Fügen Sie eine Chiffre hinzu und weisen Sie ihr eine Priorität zu. Wenn keine Priorität angegeben ist, wird der Chiffre die niedrigste Priorität in der Liste zugewiesen. |
Alle Chiffren entbinden | unbind ssl vserver <name> ciphername –ALL |
unbind ssl profile –cipherName FlushAllCiphers (Version 12.1 und höher enthalten den Parameter FlushAllCiphers, um die Bindung aller Chiffren oder Verschlüsselungsgruppen von einem Profil aufzuheben, da ALL wie eine Verschlüsselungsgruppe behandelt wird.) |
Status von SSLv3 | – | Deaktiviert im Standard-Frontend-Profil (ns_default_ssl_profile_frontend). Hinweis: Bevor Sie dieses Profil aktivieren, ist SSLv3 global aktiviert. Nachdem Sie das Profil aktiviert haben, ist SSLv3 im Frontend-Standardprofil deaktiviert. |