ADC

Perfil front-end seguro

Además de los perfiles de interfaz y servidor predeterminados, hay disponible un nuevo perfil de interfaz seguro predeterminado a partir de la versión 12.1. Los ajustes necesarios para obtener una calificación A+ (a partir de mayo de 2018) de Qualys SSL Labs vienen precargados en este perfil. Anteriormente, había que establecer de forma explícita cada uno de los parámetros necesarios para obtener una calificación A+ en un perfil de interfaz SSL o en un servidor virtual SSL. Ahora puede vincular el perfil ns_default_ssl_profile_secure_frontend a su servidor virtual SSL y los parámetros necesarios se configurarán automáticamente en su servidor virtual SSL.

Nota:

El perfil de interfaz de usuario seguro no se puede modificar.

Al habilitar el perfil predeterminado, el perfil de interfaz de usuario predeterminado se enlaza automáticamente a todos los servidores virtuales SSL. Para obtener una calificación A+, debe vincular explícitamente el perfil ns_default_ssl_profile_secure_frontend y también vincular un certificado de servidor SHA2/SHA256 a su servidor virtual SSL.

Parámetros de perfil de interfaz de usuario seguros

Los parámetros con sus ajustes predeterminados se enumeran aquí:

SSLv3: DISABLED  TLSv1.0: DISABLED  TLSv1.1: DISABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED

Deny SSL Renegotiation: NONSECURE

HSTS: ENABLED

HSTS IncludeSubDomains: YES

HSTS Max-Age: 15552000

Cipher Name: SECURE    Priority :1
<!--NeedCopy-->

Alias de cifrado seguro

Se agrega un nuevo alias de cifrado seguro y se enlaza al perfil de interfaz de usuario seguro. Para enumerar los cifrados que forman parte de este alias, en la línea de comandos escriba: show cipher SECURE

show cipher SECURE

    1) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 1
           Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
    2) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 2
           Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
    3) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384            Priority : 3
           Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
    4) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256            Priority : 4
           Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
Done
<!--NeedCopy-->

Configuración

Siga estos pasos:

  1. Agregue un servidor virtual de equilibrio de carga de tipo SSL.
  2. Enlaza un certificado SHA2/SHA256.
  3. Habilite el perfil predeterminado.
  4. Enlace el perfil de interfaz de usuario seguro al servidor virtual SSL.

Obtenga una calificación A+ para un servidor virtual SSL mediante la CLI

En el símbolo del sistema, escriba:

add lb vserver <name> <serviceType> <IPAddress> <port>
bind ssl vserver <vServerName> -certkeyName <string>
set ssl parameter -defaultProfile ENABLED
set ssl vserver <vServerName> -sslProfile ns_default_ssl_profile_secure_frontend
show ssl vserver [<vServerName>]
<!--NeedCopy-->

Ejemplo:

add lb vserver ssl-vsvr SSL 192.0.2.240 443

bind ssl vserver ssl-vsvr -certkeyName letrsa

set ssl parameter -defaultProfile ENABLED

Save your configuration before enabling the Default profile. You cannot undo the changes. Are you sure you want to enable the Default profile? [Y/N]y

set ssl vserver ssl-vsvr -sslProfile ns_default_ssl_profile_secure_frontend
<!--NeedCopy-->
sh ssl vserver ssl-vsvr

    Advanced SSL configuration for VServer ssl-vsvr:
    Profile Name :ns_default_ssl_profile_secure_frontend
    1) CertKey Name: letrsa     Server Certificate
Done
<!--NeedCopy-->
sh ssl profile ns_default_ssl_profile_secure_frontend

    1) Name: ns_default_ssl_profile_secure_frontend (Front-End)
    SSLv3: DISABLED  TLSv1.0: DISABLED  TLSv1.1: DISABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Client Auth: DISABLED
    Use only bound CA certificates: DISABLED
    Strict CA checks:                  NO
    Session Reuse: ENABLED   Timeout: 120 seconds
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED     Refresh Count: 0
    Deny SSL Renegotiation                NONSECURE
    Non FIPS Ciphers: DISABLED
    Cipher Redirect: DISABLED
    SSL Redirect: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1
    Push Encryption Trigger: Always
    PUSH encryption trigger timeout:  1 ms
    SNI: DISABLED
    OCSP Stapling: DISABLED
    Strict Host Header check for SNI enabled SSL sessions:                    NO
    Push flag:             0x0 (Auto)
    SSL quantum size:                8 kB
    Encryption trigger timeout       100 mS
    Encryption trigger packet count: 45
    Subject/Issuer Name Insertion Format:  Unicode
    SSL Interception: DISABLED
    SSL Interception OCSP Check: ENABLED
    SSL Interception End to End Renegotiation: ENABLED
    SSL Interception Maximum Reuse Sessions per Server:   10
    Session Ticket: DISABLED
    HSTS: ENABLED
    HSTS IncludeSubDomains: YES
    HSTS Max-Age: 15552000
    ECC Curve: P_256, P_384, P_224, P_521
    1) Cipher Name: SECURE    Priority :1
    Description: Predefined Cipher Alias
    1) Vserver Name: v2
Done
<!--NeedCopy-->

Obtenga una calificación A+ para un servidor virtual SSL mediante la GUI

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtualesy seleccione un servidor virtual SSL.
  2. En Configuración avanzada, haga clic en Perfil SSL.
  3. Selecciona ns_default_ssl_profile_secure_frontend.
  4. Haga clic en Aceptar.
  5. Haga clic en Listo.
Perfil front-end seguro