ADC

Perfil de front-end seguro

February 16, 2021

Contribución de:

Además de un perfil front-end predeterminado y un perfil back-end predeterminado, hay disponible un nuevo perfil front-end seguro predeterminado a partir de la versión 12.1. Los ajustes necesarios para una calificación A+ (a partir de mayo de 2018) de Qualys SSL Labs están precargados en este perfil. Anteriormente, tenía que establecer explícitamente cada uno de los parámetros necesarios para una calificación A+ en un perfil front-end SSL o en un servidor virtual SSL. Ahora puede enlazar el perfil ns_default_ssl_profile_secure_frontend a su servidor virtual SSL y los parámetros requeridos se establecen automáticamente en su servidor virtual SSL.

Nota:

El perfil front-end seguro no se puede modificar.

Cuando habilita el perfil predeterminado, el perfil front-end predeterminado se vincula automáticamente a todos los servidores virtuales SSL. Para obtener una calificación A+, debe vincular explícitamente el perfil ns_default_ssl_profile_secure_frontend y también vincular un certificado de servidor SHA2/SHA256 a su servidor virtual SSL.

Parámetros de perfil front-end seguros

Los parámetros con su configuración predeterminada se enumeran aquí:

SSLv3: DISABLED  TLSv1.0: DISABLED  TLSv1.1: DISABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED

Deny SSL Renegotiation: NONSECURE

HSTS: ENABLED

HSTS IncludeSubDomains: YES

HSTS Max-Age: 15552000

Cipher Name: SECURE    Priority :1
<!--NeedCopy-->

Alias de cifrado seguro

Se agrega un nuevo alias de cifrado seguro que se vincula al perfil de front-end seguro. Para enumerar los cifrados que forman parte de este alias, escriba en el símbolo del sistema: Show cipher SECURE

show cipher SECURE

    1) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 1
           Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc030
    2) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 2
           Description: TLSv1.2 Kx=ECC-DHE  Au=RSA  Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02f
    3) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384            Priority : 3
           Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(256) Mac=AEAD   HexCode=0xc02c
    4) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256            Priority : 4
           Description: TLSv1.2 Kx=ECC-DHE  Au=ECDSA Enc=AES-GCM(128) Mac=AEAD   HexCode=0xc02b
Done
<!--NeedCopy-->

Configuración

Siga estos pasos:

Agregue un servidor virtual de equilibrio de carga de tipo SSL.
Enlazar un certificado SHA2/SHA256.
Habilite el perfil predeterminado.
Enlazar el perfil front-end seguro al servidor virtual SSL.

Obtenga una calificación A+ para un servidor virtual SSL mediante la CLI

En el símbolo del sistema, escriba:

add lb vserver <name> <serviceType> <IPAddress> <port>
bind ssl vserver <vServerName> -certkeyName <string>
set ssl parameter -defaultProfile ENABLED
set ssl vserver <vServerName> -sslProfile ns_default_ssl_profile_secure_frontend
show ssl vserver [<vServerName>]
<!--NeedCopy-->

Ejemplo:

add lb vserver ssl-vsvr SSL 192.0.2.240 443

bind ssl vserver ssl-vsvr -certkeyName letrsa

set ssl parameter -defaultProfile ENABLED

Save your configuration before enabling the Default profile. You cannot undo the changes. Are you sure you want to enable the Default profile? [Y/N]y

set ssl vserver ssl-vsvr -sslProfile ns_default_ssl_profile_secure_frontend
<!--NeedCopy-->

sh ssl vserver ssl-vsvr

    Advanced SSL configuration for VServer ssl-vsvr:
    Profile Name :ns_default_ssl_profile_secure_frontend
    1) CertKey Name: letrsa     Server Certificate
Done
<!--NeedCopy-->

sh ssl profile ns_default_ssl_profile_secure_frontend

    1) Name: ns_default_ssl_profile_secure_frontend (Front-End)
    SSLv3: DISABLED  TLSv1.0: DISABLED  TLSv1.1: DISABLED  TLSv1.2: ENABLED  TLSv1.3: DISABLED
    Client Auth: DISABLED
    Use only bound CA certificates: DISABLED
    Strict CA checks:                  NO
    Session Reuse: ENABLED   Timeout: 120 seconds
    DH: DISABLED
    DH Private-Key Exponent Size Limit: DISABLED    Ephemeral RSA: ENABLED     Refresh Count: 0
    Deny SSL Renegotiation                NONSECURE
    Non FIPS Ciphers: DISABLED
    Cipher Redirect: DISABLED
    SSL Redirect: DISABLED
    Send Close-Notify: YES
    Strict Sig-Digest Check: DISABLED
    Zero RTT Early Data: DISABLED
    DHE Key Exchange With PSK: NO
    Tickets Per Authentication Context: 1
    Push Encryption Trigger: Always
    PUSH encryption trigger timeout:  1 ms
    SNI: DISABLED
    OCSP Stapling: DISABLED
    Strict Host Header check for SNI enabled SSL sessions:                    NO
    Push flag:             0x0 (Auto)
    SSL quantum size:                8 kB
    Encryption trigger timeout       100 mS
    Encryption trigger packet count: 45
    Subject/Issuer Name Insertion Format:  Unicode
    SSL Interception: DISABLED
    SSL Interception OCSP Check: ENABLED
    SSL Interception End to End Renegotiation: ENABLED
    SSL Interception Maximum Reuse Sessions per Server:   10
    Session Ticket: DISABLED
    HSTS: ENABLED
    HSTS IncludeSubDomains: YES
    HSTS Max-Age: 15552000
    ECC Curve: P_256, P_384, P_224, P_521
    1) Cipher Name: SECURE    Priority :1
    Description: Predefined Cipher Alias
    1) Vserver Name: v2
Done
<!--NeedCopy-->

Obtenga una calificación A+ para un servidor virtual SSL mediante la interfaz gráfica de usuario

Vaya a Administración de tráfico > Equilibrio de carga > Servidores virtuales y seleccione un servidor virtual SSL.
En Configuración avanzada, haga clic en Perfil SSL.
Seleccione ns_default_ssl_profile_secure_frontend.
Haga clic en Aceptar.
Haga clic en Done.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Perfil de front-end seguro

February 16, 2021

Contribución de:

February 16, 2021

Contribución de:

¿Le ha resultado útil?