Citrix Secure Web Gateway

SSL-Profil

September 29, 2025

Beitrag von:

C C

Ein SSL-Profil ist eine Sammlung von SSL-Einstellungen, wie z. B. Chiffren und Protokollen. Ein Profil ist hilfreich, wenn Sie gemeinsame Einstellungen für verschiedene Server haben. Anstatt für jeden Server dieselben Einstellungen anzugeben, können Sie ein Profil erstellen, die Einstellungen im Profil festlegen und das Profil dann an verschiedene Server binden. Wenn kein benutzerdefiniertes Front-End-SSL-Profil erstellt wird, wird das Standard-Front-End-Profil an clientseitige Entitäten gebunden. Dieses Profil ermöglicht es Ihnen, Einstellungen für die Verwaltung der clientseitigen Verbindungen zu konfigurieren. Für die SSL-Interception müssen Sie ein SSL-Profil erstellen und die SSL-Interception (SSLi) im Profil aktivieren. Eine Standard-Chiffrengruppe ist an dieses Profil gebunden, aber Sie können weitere Chiffren konfigurieren, um sie an Ihre Bereitstellung anzupassen. Sie müssen ein SSLi-CA-Zertifikat an dieses Profil binden und das Profil dann an einen Proxy-Server binden. Für die SSL-Interception sind die wesentlichen Parameter in einem Profil diejenigen, die verwendet werden, um den OCSP-Status des Ursprungsserverzertifikats zu überprüfen, die Client-Neuverhandlung auszulösen, wenn der Ursprungsserver eine Neuverhandlung anfordert, und das Ursprungsserverzertifikat zu überprüfen, bevor die Front-End-SSL-Sitzung wiederverwendet wird. Sie müssen das Standard-Backend-Profil verwenden, wenn Sie mit den Ursprungsservern kommunizieren. Legen Sie alle serverseitigen Parameter, wie z. B. Chiffrensuiten, im Standard-Backend-Profil fest. Ein benutzerdefiniertes Back-End-Profil wird nicht unterstützt.

Beispiele für die am häufigsten verwendeten SSL-Einstellungen finden Sie unter „Beispielprofil“ am Ende dieses Abschnitts.

Die Unterstützung von Chiffren/Protokollen unterscheidet sich im internen und externen Netzwerk. In den folgenden Tabellen ist die Verbindung zwischen den Benutzern und einer SWG-Appliance das interne Netzwerk. Das externe Netzwerk befindet sich zwischen der Appliance und dem Internet.

Tabelle 1: Chiffren-/Protokoll-Unterstützungsmatrix für das interne Netzwerk

(Cipher/protocol)/Platform	MPX (N3)*	VPX
TLS 1.1/1.2	12.1	12.1
ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA)	12.1	12.1
AES-GCM(Example TLS1.2-AES128-GCM-SHA256)	12.1	12.1
SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256)	12.1	12.1
ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA)	12.1	12.1

Tabelle 2: Chiffren-/Protokoll-Unterstützungsmatrix für das externe Netzwerk

(Cipher/protocol)/Platform	MPX (N3)*	VPX
TLS 1.1/1.2	12.1	12.1
ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA)	12.1	12.1
AES-GCM(Example TLS1.2-AES128-GCM-SHA256)	12.1	12.1
SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256)	12.1	12.1
ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA)	12.1	Nicht unterstützt

* Verwenden Sie den Befehl sh hardware (show hardware), um festzustellen, ob Ihre Appliance N3-Chips besitzt.

Beispiel:

sh hardware

Platform: NSMPX-22000 16*CPU+24*IX+12*E1K+2*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done
<!--NeedCopy-->

Hinzufügen eines SSL-Profils und Aktivieren der SSL-Interception mithilfe der Citrix® SWG-CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

Argumente:

sslInterception:

Aktiviert oder deaktiviert die Interception von SSL-Sitzungen.

Mögliche Werte: ENABLED, DISABLED

Standardwert: DISABLED

ssliReneg:

Aktiviert oder deaktiviert das Auslösen einer Client-Neuverhandlung, wenn eine Neuverhandlungsanforderung vom Ursprungsserver empfangen wird.

Mögliche Werte: ENABLED, DISABLED

Standardwert: ENABLED

ssliOCSPCheck:

Aktiviert oder deaktiviert die OCSP-Überprüfung für ein Ursprungsserverzertifikat.

Mögliche Werte: ENABLED, DISABLED

Standardwert: ENABLED

ssliMaxSessPerServer:

Maximale Anzahl von SSL-Sitzungen, die pro dynamischem Ursprungsserver zwischengespeichert werden sollen. Für jede SNI-Erweiterung, die vom Client in einer Client-Hello-Nachricht empfangen wird, wird eine eindeutige SSL-Sitzung erstellt. Die passende Sitzung wird für die Wiederverwendung der Server-Sitzung verwendet.

Standardwert: 10

Mindestwert: 1

Höchstwert: 1000

Beispiel:

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done
<!--NeedCopy-->

Binden eines SSL-Interception-CA-Zertifikats an ein SSL-Profil mithilfe der Citrix SWG-CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

Beispiel:

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done
<!--NeedCopy-->

Binden eines SSL-Interception-CA-Zertifikats an ein SSL-Profil mithilfe der Citrix SWG-GUI

Navigieren Sie zu System > Profile > SSL-Profil.
Klicken Sie auf Hinzufügen.
Geben Sie einen Namen für das Profil an.
Aktivieren Sie SSL Sessions Interception.
Klicken Sie auf OK.
Klicken Sie unter Erweiterte Einstellungen auf Zertifikatschlüssel.
Geben Sie einen SSLi-CA-Zertifikatschlüssel an, der an das Profil gebunden werden soll.
Klicken Sie auf Auswählen und dann auf Binden.
Konfigurieren Sie optional Chiffren, die zu Ihrer Bereitstellung passen.
- Klicken Sie auf das Bearbeitungssymbol und dann auf Hinzufügen.
- Wählen Sie eine oder mehrere Chiffrengruppen aus und klicken Sie auf den Rechtspfeil.
- Klicken Sie auf OK.
Klicken Sie auf Fertig.

Binden eines SSL-Profils an einen Proxy-Server mithilfe der Citrix SWG-GUI

Navigieren Sie zu Secure Web Gateway > Proxy-Server, und fügen Sie einen neuen Server hinzu oder wählen Sie einen Server zur Änderung aus.
Klicken Sie unter SSL-Profil auf das Bearbeitungssymbol.
Wählen Sie in der Liste SSL-Profil das zuvor erstellte SSL-Profil aus.
Klicken Sie auf OK.
Klicken Sie auf Fertig.

Beispielprofil:

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

NetScaler Secure Deployment Guide

SSL-Profil

September 29, 2025

Beitrag von:

C C

September 29, 2025

Beitrag von:

C C

In diesem Artikel

Hinzufügen eines SSL-Profils und Aktivieren der SSL-Interception mithilfe der Citrix® SWG-CLI
Binden eines SSL-Interception-CA-Zertifikats an ein SSL-Profil mithilfe der Citrix SWG-CLI
Binden eines SSL-Interception-CA-Zertifikats an ein SSL-Profil mithilfe der Citrix SWG-GUI
Binden eines SSL-Profils an einen Proxy-Server mithilfe der Citrix SWG-GUI

War dieser Artikel hilfreich?

NetScaler Secure Deployment Guide