Perfil SSL heredado
Nota:
Citrix recomienda utilizar los perfiles mejorados en lugar de los perfiles heredados. Para obtener información sobre la infraestructura de perfiles mejorada, consulte Infraestructura de perfiles SSL.
Importante:
Enlazar un perfil SSL a un servidor virtual SSL. No enlazar un perfil DTLS a un servidor virtual SSL. Para obtener información sobre los perfiles DTLS, consulte Perfiles DTLS.
Puede utilizar un perfil SSL para especificar cómo un dispositivo NetScaler procesa el tráfico SSL. El perfil es una colección de parámetros SSL para entidades SSL, como servidores virtuales, servicios y grupos de servicios, y ofrece facilidad de configuración y flexibilidad. No se limita a configurar solo un conjunto de parámetros globales. Puede crear varios conjuntos (perfiles) de parámetros globales y asignar diferentes conjuntos a diferentes entidades SSL. Los perfiles SSL se clasifican en dos categorías:
- Perfiles de interfaz, que contienen parámetros aplicables a la entidad de interfaz. Es decir, se aplican a la entidad que recibe solicitudes de un cliente.
- Perfiles de fondo, que contienen parámetros aplicables a la entidad de fondo. Es decir, se aplican a la entidad que envía solicitudes de clientes a un servidor.
A diferencia de un perfil TCP o HTTP, un perfil SSL es opcional. Por lo tanto, no hay un perfil SSL predeterminado. El mismo perfil se puede reutilizar en varias entidades. Si una entidad no tiene un perfil adjunto, se aplican los valores establecidos a nivel global. Para los servicios aprendidos dinámicamente, se aplican los valores globales actuales.
En la siguiente tabla se enumeran los parámetros que forman parte de cada perfil.
Perfil frontal | Perfil de back-end |
---|---|
cipherRedirect, cipherURL | denySSLReneg |
clearTextPort* | encryptTriggerPktCount |
clientAuth, clientCert | nonFipsCiphers |
denySSLReneg | pushEncTrigger |
dh, dhFile, dhCount | pushEncTriggerTimeout |
dropReqWithNoHostHeader | pushFlag |
encryptTriggerPktCount | quantumSize |
eRSA, eRSACount | serverAuth |
insertionEncoding | commonName |
nonFipsCiphers | sessReuse, sessTimeout |
pushEncTrigger | SNIEnable |
pushEncTriggerTimeout | ssl3 |
pushFlag | sslTriggerTimeout |
quantumSize | strictCAChecks |
redirectPortRewrite | tls1 |
sendCloseNotify | - |
sessReuse, sessTimeout | - |
SNIEnable |
- |
ssl3 | - |
sslRedirect | - |
sslTriggerTimeout | - |
strictCAChecks | - |
tls1, tls11, tls12 | - |
* El parámetro clearTextPort solo se aplica a un servidor virtual SSL.
Aparece un mensaje de error si intenta establecer un parámetro que no forma parte del perfil. Por ejemplo, si intenta establecer el parámetro ClientAuth en un perfil de back-end.
Algunos parámetros SSL, como el tamaño de la memoria CRL, el tamaño de la caché de OCSP, el control de indeformación y los datos de indeformación, no forman parte de ninguno de los perfiles anteriores, porque estos parámetros son independientes de las entidades.
Un perfil SSL admite las siguientes operaciones:
- Agregar: Crea un perfil SSL en NetScaler. Especifique si el perfil es frontal o posterior. El front-end es el predeterminado.
- Definir: Permite modificar la configuración de un perfil existente.
- Desestablecer: Establece los parámetros especificados en sus valores predeterminados. Si no especifica ningún parámetro, aparece un mensaje de error. Si desactiva un perfil en una entidad, el perfil se separará de la entidad.
- Eliminar: Permite borrar un perfil. No se puede eliminar un perfil que esté siendo utilizado por ninguna entidad. Al borrar la configuración, se eliminan todas las entidades. Como resultado, los perfiles también se eliminan.
- Mostrar: Muestra todos los perfiles disponibles en NetScaler. Si se especifica un nombre de perfil, se muestran los detalles de ese perfil. Si se especifica una entidad, se muestran los perfiles asociados a esa entidad.
Cree un perfil SSL mediante la CLI
- Para añadir un perfil SSL, escriba:
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
<!--NeedCopy-->
- Para modificar un perfil existente, escriba:
set ssl profile <name>
<!--NeedCopy-->
- Para anular un perfil existente, escriba:
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
<!--NeedCopy-->
- Para eliminar un perfil existente de una entidad, escriba:
unset ssl vserver <vServerName> –sslProfile
<!--NeedCopy-->
- Para eliminar un perfil existente, escriba:
rm ssl profile <name>
<!--NeedCopy-->
- Para mostrar un perfil existente, escriba:
sh ssl profile <name>
<!--NeedCopy-->
Cree un perfil SSL mediante la interfaz gráfica de usuario
Vaya a Sistema > Perfiles, seleccione la ficha Perfiles SSL y cree un perfil SSL.
Habilite un control más estricto de la validación de los certificados del cliente
El dispositivo NetScaler acepta certificados de CA intermedia válidos si los ha emitido una sola CA raíz. Es decir, si solo el certificado de CA raíz está enlazado al servidor virtual y dicha CA raíz valida cualquiera de los certificados intermedios enviados con el certificado del cliente, el dispositivo confía en la cadena de certificados y el protocolo de enlace se realiza correctamente.
Sin embargo, si un cliente envía una cadena de certificados en el protocolo de enlace, los certificados intermedios se pueden validar mediante un respondedor CRL u OCSP solo si ese certificado está enlazado al servidor virtual SSL. Por lo tanto, incluso si se revoca uno de los certificados intermedios, el apretón de manos tiene éxito. Como parte del apretón de manos, el servidor virtual SSL envía la lista de certificados de CA que están enlazados a él. Para un control más estricto, puede configurar el servidor virtual SSL para que solo acepte un certificado firmado por uno de los certificados de CA enlazados a ese servidor virtual. Para ello, debe habilitar la ClientAuthUseBoundCAChain
configuración en el perfil SSL enlazado al servidor virtual. El protocolo de enlace falla si uno de los certificados de CA enlazados al servidor virtual no ha firmado el certificado de cliente.
Por ejemplo, supongamos que dos certificados de cliente, clientcert1 y clientcert2, están firmados por los certificados intermedios Int-CA-A e Int-CA-B, respectivamente. Los certificados intermedios están firmados por el certificado raíz Root-CA. Int-CA-A y Root-CA están enlazados al servidor virtual SSL. En el caso predeterminado (ClientAuthUseBoundCAChain inhabilitado), se aceptan tanto clientcert1 como clientcert2. Sin embargo, si ClientAuthuseBoundCachain está habilitado, el dispositivo NetScaler solo acepta clientcert1.
Habilite un control más estricto en la validación de certificados de cliente mediante la CLI
En la línea de comandos, escriba: set ssl profile <name> -ClientAuthUseBoundCAChain Enabled
Permitir un control más estricto de la validación de certificados de cliente mediante la interfaz gráfica de usuario
- Vaya a Sistema > Perfiles, seleccione la ficha Perfiles SSL y cree un perfil SSL o seleccione un perfil existente.
- Seleccione Habilitar autenticación de clientes mediante la cadena de CA enlazada.