Legacy-SSL-Profil
Hinweis:
Citrix empfiehlt, die erweiterten Profile anstelle von Legacy-Profilen zu verwenden. Informationen zur erweiterten Profilinfrastruktur finden Sie unter SSL-Profilinfrastruktur.
Wichtig:
Binden Sie ein SSL-Profil an einen virtuellen SSL-Server. Binden Sie ein DTLS-Profil nicht an einen virtuellen SSL-Server. Informationen zu DTLS-Profilen finden Sie unter DTLS-Profile.
Sie können ein SSL-Profil verwenden, um anzugeben, wie ein NetScaler SSL-Datenverkehr verarbeitet. Das Profil ist eine Sammlung von SSL-Parametereinstellungen für SSL-Entitäten, wie virtuelle Server, Dienste und Dienstgruppen, und bietet eine einfache Konfiguration und Flexibilität. Sie sind nicht darauf beschränkt, nur einen Satz globaler Parameter zu konfigurieren. Sie können mehrere Sätze (Profile) globaler Parameter erstellen und verschiedenen SSL-Entitäten unterschiedliche Sätze zuweisen. SSL-Profile werden in zwei Kategorien eingeteilt:
- Frontend-Profile, die Parameter enthalten, die für die Frontend-Entität gelten. Das heißt, sie gelten für das Unternehmen, das Anfragen von einem Kunden erhält.
- Back-End-Profile, die Parameter enthalten, die für die Back-End-Entität gelten. Das heißt, sie gelten für die Entität, die Clientanfragen an einen Server sendet.
Im Gegensatz zu einem TCP- oder HTTP-Profil ist ein SSL-Profil optional. Daher gibt es kein Standard-SSL-Profil. Das gleiche Profil kann für mehrere Entitäten wiederverwendet werden. Wenn einer Entität kein Profil zugeordnet ist, gelten die auf globaler Ebene festgelegten Werte. Für dynamisch erlernte Dienste gelten die aktuellen globalen Werte.
In der folgenden Tabelle sind die Parameter aufgeführt, die Teil jedes Profils sind.
Frontend-Profil | Backend-Profil |
---|---|
cipherRedirect, cipherURL | denySSLReneg |
clearTextPort* | encryptTriggerPktCount |
clientAuth, clientCert | nonFipsCiphers |
denySSLReneg | pushEncTrigger |
dh, dhFile, dhCount | pushEncTriggerTimeout |
dropReqWithNoHostHeader | pushFlag |
encryptTriggerPktCount | quantumSize |
eRSA, eRSACount | serverAuth |
insertionEncoding | commonName |
nonFipsCiphers | sessReuse, sessTimeout |
pushEncTrigger | SNIEnable |
pushEncTriggerTimeout | ssl3 |
pushFlag | sslTriggerTimeout |
quantumSize | strictCAChecks |
redirectPortRewrite | tls1 |
sendCloseNotify | - |
sessReuse, sessTimeout | - |
SNIEnable |
- |
ssl3 | - |
sslRedirect | - |
sslTriggerTimeout | - |
strictCAChecks | - |
tls1, tls11, tls12 | - |
* Der Parameter clearTextPort gilt nur für einen virtuellen SSL-Server.
Eine Fehlermeldung wird angezeigt, wenn Sie versuchen, einen Parameter festzulegen, der nicht Teil des Profils ist. Zum Beispiel, wenn Sie versuchen, den Parameter clientAuth in einem Back-End-Profil festzulegen.
Einige SSL-Parameter, wie CRL-Speichergröße, OCSP-Cachegröße, UndeFaction-Kontrolle und UndeFaction-Daten, sind in keinem der vorherigen Profile enthalten, da diese Parameter unabhängig von Entitäten sind.
Ein SSL-Profil unterstützt die folgenden Vorgänge:
- Hinzufügen — Erstellt ein SSL-Profil auf dem NetScaler. Geben Sie an, ob das Profil ein Frontend oder ein Backend ist. Frontend ist die Standardeinstellung.
- Festlegen — Ändert die Einstellungen eines vorhandenen Profils.
- Unset (Unset) — Setzt die angegebenen Parameter auf ihre Standardwerte. Wenn Sie keine Parameter angeben, wird eine Fehlermeldung angezeigt. Wenn Sie ein Profil für eine Entität aufheben, ist das Profil nicht an die Entität gebunden.
- Entfernen—Löscht ein Profil. Ein Profil, das von einer Entität verwendet wird, kann nicht gelöscht werden. Beim Löschen der Konfiguration werden alle Entitäten gelöscht. Infolgedessen werden die Profile auch gelöscht.
- Anzeigen — Zeigt alle Profile an, die auf dem NetScaler verfügbar sind. Wenn ein Profilname angegeben ist, werden die Details dieses Profils angezeigt. Wenn eine Entität angegeben ist, werden die mit dieser Entität verknüpften Profile angezeigt.
Erstellen Sie ein SSL-Profil mithilfe der CLI
- Um ein SSL-Profil hinzuzufügen, geben Sie Folgendes ein:
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
<!--NeedCopy-->
- Um ein vorhandenes Profil zu ändern, geben Sie Folgendes ein:
set ssl profile <name>
<!--NeedCopy-->
- Um ein vorhandenes Profil zu deaktivieren, geben Sie Folgendes ein:
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
<!--NeedCopy-->
- Um ein vorhandenes Profil von einer Entität zu entfernen, geben Sie Folgendes ein:
unset ssl vserver <vServerName> –sslProfile
<!--NeedCopy-->
- Um ein vorhandenes Profil zu entfernen, geben Sie Folgendes ein:
rm ssl profile <name>
<!--NeedCopy-->
- Um ein vorhandenes Profil anzuzeigen, geben Sie Folgendes ein:
sh ssl profile <name>
<!--NeedCopy-->
Erstellen Sie ein SSL-Profil mithilfe der GUI
Navigieren Sie zu System > Profile, wählen Sie die Registerkarte SSL-Profile aus und erstellen Sie ein SSL-Profil.
Ermöglichen Sie eine strengere Kontrolle der Validierung von Client-Zertifikaten
Die NetScaler-Appliance akzeptiert gültige Intermediate-CA-Zertifikate, wenn sie von einer einzelnen Root-CA ausgestellt wurden. Das heißt, wenn nur das Root-CA-Zertifikat an den virtuellen Server gebunden ist und diese Root-CA eines der mit dem Client-Zertifikat gesendeten Zwischenzertifikate validiert, vertraut die Appliance der Zertifikatskette und der Handshake ist erfolgreich.
Wenn ein Client jedoch im Handshake eine Kette von Zertifikaten sendet, können die Zwischenzertifikate mithilfe eines CRL- oder OCSP-Responders nur dann validiert werden, wenn das Zertifikat an den virtuellen SSL-Server gebunden ist. Selbst wenn eines der Zwischenzertifikate widerrufen wird, ist der Handshake daher erfolgreich. Im Rahmen des Handshakes sendet der virtuelle SSL-Server die Liste der an ihn gebundenen CA-Zertifikate. Für eine strengere Kontrolle können Sie den virtuellen SSL-Server so konfigurieren, dass er nur ein Zertifikat akzeptiert, das von einem der an diesen virtuellen Server gebundenen CA-Zertifikate signiert wurde. Dazu müssen Sie die ClientAuthUseBoundCAChain
Einstellung im SSL-Profil aktivieren, das an den virtuellen Server gebunden ist. Der Handshake schlägt fehl, wenn eines der an den virtuellen Server gebundenen CA-Zertifikate das Clientzertifikat nicht signiert hat.
Beispiel: Zwei Clientzertifikate, clientcert1 und clientcert2, werden von den Zwischenzertifikaten Int-CA-A bzw. int-CA-B signiert. Die Zwischenzertifikate sind vom Stammzertifikat Root-CA signiert. Int-CA-A und Root-CA sind an den virtuellen SSL-Server gebunden. Im Standardfall (ClientAuthUseBoundCAChain deaktiviert) werden sowohl clientcert1 als auch clientcert2 akzeptiert. Wenn ClientAuthUseBoundCAChain jedoch aktiviert ist, akzeptiert die NetScaler-Appliance nur clientcert1.
Ermöglichen Sie eine strengere Kontrolle der Clientzertifikatvalidierung über die CLI
Geben Sie in der Befehlszeile Folgendes ein: set ssl profile <name> -ClientAuthUseBoundCAChain Enabled
Ermöglichen Sie eine strengere Kontrolle der Validierung von Clientzertifikaten über die GUI
- Navigieren Sie zu System > Profile, wählen Sie die Registerkarte SSL-Profile und erstellen Sie ein SSL-Profil oder wählen Sie ein vorhandenes Profil aus.
- Wählen Sie Client-Authentifizierung mit gebundener Zertifizierungsstellenketteaktivieren aus.