Perfil SSL

Un perfil SSL es una colección de configuraciones SSL, como cifrados y protocolos. Un perfil es útil si tiene una configuración común para diferentes servidores. En lugar de especificar la misma configuración para cada servidor, puede crear un perfil, especificar la configuración en el perfil y, a continuación, enlazar el perfil a diferentes servidores. Si no se crea un perfil SSL front-end personalizado, el perfil front-end predeterminado está enlazado a entidades del lado cliente. Este perfil le permite configurar los parámetros para administrar las conexiones del lado del cliente. Para la intercepción SSL, debe crear un perfil SSL y habilitar la intercepción SSL (SSLi) en el perfil. Un grupo de cifrado predeterminado está enlazado a este perfil, pero puede configurar más cifrados para adaptarse a su implementación. Debe enlazar un certificado de CA SSLi a este perfil y, a continuación, enlazar el perfil a un servidor proxy. Para la interceptación SSL, los parámetros esenciales de un perfil son los que se utilizan para comprobar el estado OCSP del certificado del servidor de origen, activar la renegociación del cliente si el servidor de origen solicita la renegociación y verificar el certificado del servidor de origen antes de volver a utilizar la sesión SSL front-end. Debe utilizar el perfil backend predeterminado al comunicarse con los servidores de origen. Establezca los parámetros del lado del servidor, como conjuntos de cifrado, en el perfil de back-end predeterminado. No se admite un perfil de back-end personalizado.

Para ver ejemplos de la configuración SSL más utilizada, consulte “Perfil de muestra” al final de esta sección.

El soporte de cifrado/protocolo difiere en la red interna y externa. En las tablas siguientes, la conexión entre los usuarios y un dispositivo SWG es la red interna. La red externa se encuentra entre el dispositivo e Internet.

Imagen localizada

Tabla 1: Tabla de compatibilidad de cifrados/protocolos para la red interna

(cifrado/protocolo) /Plataforma MPX (N3) * VPX
TLS 1.1/1.2 12,1 12,1
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 12,1 12,1
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 12,1 12,1
Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 12,1 12,1
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) 12,1 12,1

Tabla 2: Tabla de compatibilidad de cifrados/protocolos para la red externa

(cifrado/protocolo) /Plataforma MPX (N3) * VPX
TLS 1.1/1.2 12,1 12,1
ECDHE/DHE (Ejemplo TLS1-ECDHE-RSA-AES128-SHA) 12,1 12,1
AES-GCM (Ejemplo TLS1.2-AES128-GCM-SHA256) 12,1 12,1
Cifras SHA-2 (Ejemplo TLS1.2-AES-128-SHA256) 12,1 12,1
ECDSA (Ejemplo TLS1-ECDHE-ECDSA-AES256-SHA) 12,1 No se admite

* Utilice el comando sh hardware (show hardware) para identificar si el dispositivo tiene chips N3.

Ejemplo:

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done
<!--NeedCopy-->

Agregue un perfil SSL y habilite la intercepción SSL mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

Argumentos:

IntercepciónSSLIntercepción:

Habilitar o inhabilitar la interceptación de sesiones SSL.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: DISABLED

SSLIreneg:

Habilitar o inhabilitar la activación de la renegociación del cliente cuando se recibe una solicitud de renegociación del servidor de origen.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: ENABLED

ComprobaciónSSLIOCSPCheck:

Habilitar o inhabilitar la comprobación de OCSP para un certificado de servidor de origen.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: ENABLED

sslimaxsessperServer:

Número máximo de sesiones SSL que se almacenarán en caché por servidor de origen dinámico. Se crea una sesión SSL única para cada extensión SNI recibida del cliente en un mensaje de saludo de cliente. La sesión coincidente se utiliza para la reutilización de la sesión del servidor.

Valor predeterminado: 10

Valor mínimo: 1

Valor máximo: 1000

Ejemplo:

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

Enlazar un certificado de CA de interceptación SSL a un perfil SSL mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

Ejemplo:

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done
<!--NeedCopy-->

Enlazar un certificado de CA de interceptación SSL a un perfil SSL mediante la GUI de Citrix SWG

  1. Vaya a Sistema > Perfiles > Perfil SSL.

  2. Haga clic en Agregar.

  3. Especifique un nombre para el perfil.

  4. Habilite la intercepción de sesiones SSL.

  5. Haga clic en OK.

  6. En Configuración avanzada, haga clic en Clave de certificado.

  7. Especifique una clave de certificado de CA SSLi para enlazar al perfil.

  8. Haga clic en Seleccionar y, a continuación, haga clic en Vincular.

  9. Opcionalmente, configure los cifrados para que se adapten a su implementación.

    • Haga clic en el icono de edición y, a continuación, haga clic en Agregar.
    • Seleccione uno o más grupos de cifrado y haga clic en la flecha derecha.
    • Haga clic en OK.
  10. Haga clic en Done.

Enlazar un perfil SSL a un servidor proxy mediante la GUI de Citrix SWG

  1. Desplácese hasta Secure Web Gateway > Servidores proxyy agregue un nuevo servidor o seleccione un servidor que desee modificar.
  2. En Perfil SSL, haga clic en el icono de edición.
  3. En la lista Perfil SSL, seleccione el perfil SSL que creó anteriormente.
  4. Haga clic en OK.
  5. Haga clic en Done.

Perfil de muestra:

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->