Documentación de productos
Citrix SD-WAN
Current Release 11.5 limited availability 11.3 11.2 11.1 11.0 10.2
Ver PDF

Configurar compresión SSL

October 27, 2021
Contribución de: 
C

La función de compresión SSL WANOP de Citrix SD-WAN permite la compresión multisesión de conexiones SSL (por ejemplo, tráfico HTTPS), proporcionando una relación de compresión de hasta 10 000:1. Para obtener más información, consulte Compresión SSL.

Para que la compresión SSL funcione, el dispositivo WANOP SD-WAN necesita certificados del servidor o del cliente. Para admitir varios servidores, se pueden instalar varias claves privadas en el dispositivo, una por perfil SSL. Las reglas SSL especiales en las definiciones de clases de servicio relacionan los servidores con los perfiles SSL y, por lo tanto, los perfiles SSL con las claves privadas.

La compresión SSL funciona en modo proxy dividido o proxy transparente, puede elegir el modo según sus requisitos. Para obtener más información, consulte Cómo funciona la compresión SSL.

Nota

El modo proxy transparente no es compatible actualmente.

Para habilitar el acceso seguro con el túnel SSL, se utiliza el protocolo SSL más reciente TLS 1.2 en el proxy SSL. Puede optar por utilizar únicamente el protocolo TLS1.2 o utilizar los protocolos TLS1.0, TLS1.1 y TLS1.2.

Nota

Los protocolos SSL SSL v3 y SSL v2 ya no son compatibles.

Para configurar la compresión SSL:

  1. Adquiera copias del certificado de CA de su servidor y del par de claves de certificado privadas e instálelas en el dispositivo del servidor. Es probable que estas credenciales sean específicas de la aplicación. Es decir, un servidor puede tener credenciales distintas para un servidor web Apache que para un Exchange Server que ejecuta RPC a través de HTTPS.

  2. Puede optar por crear un perfil SSL de proxy dividido o un perfil SSL de proxy transparente.

    Para obtener información sobre cómo configurar el perfil SSL de proxy dividido, consulte la sección Configuración de un perfil SSL de proxy dividido a continuación.

    Para obtener información sobre cómo configurar el perfil SSL de proxy transparente, consulte la sección Configuración del perfil SSL de proxy transparente a continuación.

    Nota

    El perfil SSL proxy transparente no es compatible actualmente.

  3. Adjunte el perfil SSL a una clase de servicio del dispositivo del servidor. Esto se puede hacer creando una nueva clase de servicio basada en la IP del servidor o modificando una clase de servicio existente.

    Para obtener más información, consulte la sección Creación o modificación de la clase de servicio a continuación.

  4. Defina las clases de servicio en el dispositivo del cliente. El tráfico SSL no se comprime a menos que pertenezca a una clase de servicio, en el dispositivo del lado del cliente, que permite la aceleración y la compresión. Puede ser una regla de clase de servicio ordinaria, no una regla SSL (solo el dispositivo del lado del servidor necesita reglas SSL), pero debe habilitar la aceleración y la compresión. El tráfico pertenece a una clase de servicio existente, como “HTTPS” u “Otro tráfico TCP”. “ Si la directiva de esta clase habilita la aceleración y la compresión, no se necesita ninguna configuración adicional.

  5. Compruebe el funcionamiento de la regla. Envía tráfico que debería recibir aceleración SSL a través de los dispositivos. En el dispositivo del lado del servidor, en la ficha Supervisión: Optimización: Conexiones: Conexiones aceleradas, la columna Clase de servicio debe coincidir con la clase de servicio configurada para una aceleración segura y la columna Proxy SSL debe mostrar True para las conexiones adecuadas.

Configuración de un perfil SSL de proxy dividido

Para configurar un perfil SSL de proxy dividido:

  1. En el dispositivo WO Netscaler SD-WAN del lado del servidor, vaya a Configuración > Aceleración segura > Perfil SSL y haga clic en Agregar perfil.

    Nota

    Puede agregar manualmente un perfil SSL o importar uno almacenado en el equipo local.

  2. En el campo Nombre de perfil, introduzca un nombre para el perfil SSL y seleccione Perfil habilitado

  3. Si su servidor SSL utiliza más de un nombre de host virtual, en el campo Nombre de host virtual, introduzca el nombre del host virtual de destino. Éste es el nombre de host que aparece en las credenciales del servidor.

    Imagen localizada

    Nota

    Para admitir varios hosts virtuales, cree un perfil SSL independiente para cada nombre de host.

  4. Seleccione Dividir tipo de proxy.

  5. En el campo Verificación de certificados, conserve el valor predeterminado (firma/caducidad) a menos que sus directivas indiquen lo contrario.

  6. Realizar la configuración del proxy del lado del servidor:

    En el campo Almacén de verificación, seleccione una entidad emisora de certificados (CA) del servidor existente o haga clic en + para cargar una entidad emisora de certificados de servidor.

    Elija Autenticación necesaria y, en el campo Certificado/Clave privada, seleccione un par de claves de certificado o haga clic en + para cargar un par de claves de certificado.

    En el campo Versión de protocolo, seleccione los protocolos que acepta su servidor.

    Nota

    NetScaler SD-WAN WO admite una combinación de TLS1.0, TLS1.1 o TLS1.2, o TLS1.2 únicamente. Los protocolos SSL SSLv3 y SSLv2 no son compatibles.

    Si es necesario, modifique la cadena de especificación de cifrado mediante la sintaxis OpenSSL.

    Si es necesario, seleccione el tipo de renegociación en la lista desplegable Tipo de renegociación para permitir la renegociación de sesiones SSL del lado del cliente.

    Imagen localizada

  7. Realizar la configuración del proxy del lado del cliente:

    En el campo Certificado/Clave privada, conserve el valor predeterminado.

    Elija Crear cadena de certificados para permitir que el dispositivo del lado del servidor cree la cadena de certificados SSL.

    Si es necesario, seleccione o cargue un almacén de CA para utilizarlo como almacén de cadena de certificados.

    En el campo Versión de protocolo, seleccione las versiones de protocolo que desea admitir en el lado del cliente.

    Nota

    NetScaler SD-WAN WO admite una combinación de TLS1.0, TLS1.1 o TLS1.2, o TLS1.2 únicamente. Los protocolos SSL SSLv3 y SSLv2 no son compatibles.

    Si es necesario, modifique la especificación de cifrado del lado del cliente.

    Si es necesario, seleccione el tipo de renegociación en la lista desplegable Tipo de renegociación para permitir la renegociación de sesiones SSL del lado del cliente.

    Imagen localizada

  8. Haga clic en Crear.

Configuración del perfil SSL de proxy transparente

Para configurar un perfil SSL de proxy transparente:

  1. En el dispositivo WO Netscaler SD-WAN del lado del servidor, vaya a Configuración > Aceleración segura > Perfil SSL y haga clic en Agregar perfil.

    Nota

    Puede agregar manualmente un perfil SSL o importar uno almacenado en el equipo local.

  2. En el campo Nombre de perfil, introduzca un nombre para el perfil SSL y seleccione Perfil habilitado.

  3. Si su servidor SSL utiliza más de un nombre de host virtual, en el campo Nombre de host virtual, introduzca el nombre del host virtual de destino. Éste es el nombre de host que aparece en las credenciales del servidor.

    Nota

    Para admitir varios hosts virtuales, cree un perfil SSL independiente para cada nombre de host.

    Imagen localizada

  4. Seleccione el tipo de proxy Transparente.

  5. En el campo Clave privada del servidor SSL, seleccione la clave privada del servidor en el menú desplegable o haga clic en + para cargar una nueva clave privada.

  6. Haga clic en Crear.

Creación o modificación de la clase de servicio

Para crear o modificar la clase de servicio y adjuntar el perfil SSL:

  1. En la interfaz web del dispositivo WO Netscaler SD-WAN, vaya a Configuración > Reglas de optimización > Clases de servicio y haga clic en Agregar. Para modificar una clase de servicio existente, seleccione la clase de servicio adecuada y haga clic en Modificar.
  2. En el campo Nombre, introduzca un nombre para la nueva clase de servicio (por ejemplo, “HTTPS acelerado”).
  3. Habilite la compresión estableciendo la directiva de aceleración en disco, memoria o control de flujo.
  4. En la sección Reglas de filtro, haga clic en Agregar.
  5. En el campo Dirección IP de destino, escriba la dirección IP del servidor (por ejemplo, 172.16.0.1 o, de forma equivalente, 172.16.0.1/32.1). En el campo Dirección, establezca la regla en Unidireccional. Los perfiles SSL están inhabilitados si se especifica Bidireccional.
  6. En la sección Perfiles SSL, seleccione el perfil SSL que creó y muévalo a la sección Configurado.
  7. Haga clic en Crear para crear la regla.
  8. Haga clic en Crear para crear la clase de servicio.

Comando CLI actualizado

NetScaler SD-WAN WO 9.3 admite el protocolo SSL TLS1.2 más reciente. Puede elegir utilizar el protocolo TLS1.2 o cualquier versión de los protocolos TLS. Los protocolos SSL SSL v3 y SSL v2 y los perfiles SSL proxy transparente no son compatibles. Los comandos de CLI add ssl-profile y set ssl-profile se actualizan para reflejar estos cambios.

-  \*add ssl-profile\*

-  \*name "profile-name"\*

-  \*-state {enable, disable}\*

-  \*-proxy-type split\*

-  \*-virtual-hostname "hostname"\*

-  \*-cert-key "cert-key-pair-name"\*

-  \*[-build-cert-chain {enable, disable}]\*

-  \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*

-  \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*

-  \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-server-side-protocol { TLS-1.2, TLS-version-any}]\*

-  \*[-server-side-ciphers "ciphers"]\*

-  \*[-server-side-authentication {enable, disable}]\*

-  \*[-server-side-cert-key "cert-key-pair-name"]\*

-  \*[-server-side-build-cert-chain {enable, disable}]\*

-  \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*

-  \*compatible}\* \*[-client-side-protocol-version { TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*

-  \*set ssl-profile\*

-  \*-name "profile-name" [-state {enable, disable}]\*

-  \*[-proxy-type split]\*

-  \*[-virtual-hostname "hostname"]\*

-  \*[-cert-key "cert-key-pair-name"]\*

-  \*[-build-cert-chain {enable, disable}]\*

-  \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*

-  \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*

-  \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*

-  \*[-server-side-protocol {TLS-1.2, TLS-version-any}]\*

-  \*[-server-side-ciphers "ciphers"]\*

-  \*[-server-side-authentication {enable, disable}]\*

-  \*[-server-side-cert-key "cert-key-pair-name"]\*

-  \*[-server-side-build-cert-chain {enable, disable}]\*

-  \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*

\*compatible}]\* \*[-client-side-protocol-version {TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*
<!--NeedCopy-->

El resto de los comandos de configuración SSL permanecen sin cambios. Para obtener más información, consulte Configuración SSL.

Configurar compresión SSL
October 27, 2021
Contribución de: 
C
October 27, 2021
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.