Directivas SSL
Las directivas del dispositivo NetScaler ayudan a identificar conexiones específicas que quiere procesar. El procesamiento se basa en las acciones configuradas para esa directiva concreta. Una vez creada la directiva y configurada una acción para ella, debe realizar una de las siguientes acciones:
- Enlazar la directiva a un servidor virtual del dispositivo para que se aplique únicamente al tráfico que fluye a través de ese servidor virtual.
- Enlazar la directiva de forma global para que se aplique a todo el tráfico que fluye a través de cualquier servidor virtual configurado en el dispositivo NetScaler.
La función SSL del dispositivo NetScaler admite directivas avanzadas (avanzadas). Para obtener una descripción completa de las expresiones de directivas avanzadas, cómo funcionan y cómo configurarlas manualmente, consulte Directivas y expresiones. Para obtener más información sobre las expresiones SSL, consulte Expresiones de directiva avanzadas: análisis de SSL.
Nota:
Los usuarios que no tienen experiencia en la configuración de directivas en la CLI suelen encontrar que utilizar la utilidad de configuración es mucho más fácil.
Las directivas SSL requieren que cree una acción antes de crear una directiva, de modo que pueda especificar las acciones al crear las directivas. En las directivas SSL Advanced, también puede usar las acciones integradas. Para obtener más información sobre las acciones integradas, consulte Acciones integradas SSL y acciones definidas porel usuario.
Directivas SSL Advanced
Una directiva SSL Advanced, también conocida como directiva avanzada, define un control o una acción de datos que se debe realizar en las solicitudes. Por lo tanto, las directivas SSL se pueden clasificar como directivas de control y directivas de datos:
- Directiva de control. Una directiva de control utiliza una acción de control, como forzar la autenticación del cliente. Nota: En la versión 10.5 o posterior, denegar renegociación SSL (denySSLReneg) se establece, de forma predeterminada, en ALL. Sin embargo, las directivas de control, como CLIENTAUTH, desencadenan un apretón de manos de renegociación. Si utiliza dichas directivas, debe establecer DenysslReneg en NO.
- Directiva de datos. Una directiva de datos utiliza una acción de datos, como insertar algunos datos en la solicitud.
Los componentes esenciales de una directiva son una expresión y una acción. La expresión identifica las solicitudes en las que se va a realizar la acción.
Puede configurar una directiva avanzada con una acción integrada o una acción definida por el usuario. Puede configurar una directiva con una acción integrada sin crear una acción independiente. Sin embargo, para configurar una directiva con una acción definida por el usuario, primero configure la acción y, a continuación, configure la directiva.
Puede especificar una acción adicional, denominada acción UNDEF, que se realizará cuando la aplicación de la expresión a una solicitud tenga un resultado indefinido.
Configuración de directivas SSL
Puede configurar una directiva SSL Advanced mediante la CLI y la GUI.
Configurar una directiva SSL mediante la CLI
En el símbolo del sistema, escriba:
add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->
Configurar una directiva SSL mediante la interfaz gráfica de usuario
Vaya a Administración del tráfico > SSL > Directivas y, en la ficha Directivas, haga clic en Agregar.
Compatibilidad con directivas SSL con protocolo TLS1.3
A partir de la versión 13.0 compilación 71.x y posteriores, se agrega compatibilidad con las directivas SSL con el protocolo TLS1.3. Cuando se negocia el protocolo TLSv1.3 para una conexión, las reglas de directiva que inspeccionan los datos TLS recibidos del cliente desencadenan ahora la acción configurada.
Por ejemplo, si la siguiente regla de directiva devuelve true, el tráfico se reenvía al servidor virtual definido en la acción.
add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
<!--NeedCopy-->
Limitaciones
- Las directivas de control no son compatibles.
- No se admiten las acciones siguientes:
- DOCLIENTAUTH
- NOCLIENTAUTH
- caCertGrpName
- clientCertVerification
- ssllogProfile