Perfil SSL
Un perfil SSL es una colección de configuraciones SSL, como cifrados y protocolos. Un perfil es útil si tienes configuraciones comunes para diferentes servidores. En lugar de especificar las mismas configuraciones para cada servidor, puedes crear un perfil, especificar las configuraciones en él y luego vincular el perfil a diferentes servidores. Si no se crea un perfil SSL de front-end personalizado, el perfil de front-end predeterminado se vincula a las entidades del lado del cliente. Este perfil te permite configurar ajustes para gestionar las conexiones del lado del cliente. Para la intercepción SSL, debes crear un perfil SSL y habilitar la intercepción SSL (SSLi) en el perfil. Un grupo de cifrado predeterminado está vinculado a este perfil, pero puedes configurar más cifrados para adaptarlos a tu implementación. Debes vincular un certificado CA SSLi a este perfil y luego vincular el perfil a un servidor proxy. Para la intercepción SSL, los parámetros esenciales en un perfil son los que se utilizan para verificar el estado OCSP del certificado del servidor de origen, activar la renegociación del cliente si el servidor de origen la solicita y verificar el certificado del servidor de origen antes de reutilizar la sesión SSL de front-end. Debes usar el perfil de backend predeterminado al comunicarte con los servidores de origen. Establece cualquier parámetro del lado del servidor, como los conjuntos de cifrado, en el perfil de backend predeterminado. No se admite un perfil de backend personalizado.
Para ver ejemplos de las configuraciones SSL más utilizadas, consulta “Perfil de ejemplo” al final de esta sección.
La compatibilidad con cifrados/protocolos difiere en la red interna y externa. En las siguientes tablas, la conexión entre los usuarios y un dispositivo SWG es la red interna. La red externa es entre el dispositivo y el internet.
Tabla 1: Matriz de compatibilidad de cifrados/protocolos para la red interna
| (Cifrado/protocolo)/Plataforma | MPX (N3)* | VPX |
|---|---|---|
| TLS 1.1/1.2 | 12.1 | 12.1 |
| ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
| AES-GCM(Example TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
| SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
| ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | 12.1 |
Tabla 2: Matriz de compatibilidad de cifrados/protocolos para la red externa
| (Cifrado/protocolo)/Plataforma | MPX (N3)* | VPX |
|---|---|---|
| TLS 1.1/1.2 | 12.1 | 12.1 |
| ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
| AES-GCM(Example TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
| SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
| ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | No compatible |
- Usa el comando sh hardware (mostrar hardware) para identificar si tu dispositivo tiene chips N3.
Ejemplo:
sh hardware
Platform: NSMPX-22000 16*CPU+24*IX+12*E1K+2*E1K+4*CVM N3 2200100
Manufactured on: 8/19/2013
CPU: 2900MHZ
Host Id: 1006665862
Serial no: ENUK6298FT
Encoded serial no: ENUK6298FT
Done
<!--NeedCopy-->
Agregar un perfil SSL y habilitar la intercepción SSL usando la CLI de Citrix® SWG
En el símbolo del sistema, escribe:
add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>
Argumentos:
sslInterception:
Habilita o deshabilita la intercepción de sesiones SSL.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: DISABLED
ssliReneg:
Habilita o deshabilita la activación de la renegociación del cliente cuando se recibe una solicitud de renegociación del servidor de origen.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: ENABLED
ssliOCSPCheck:
Habilita o deshabilita la verificación OCSP para un certificado de servidor de origen.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: ENABLED
ssliMaxSessPerServer:
Número máximo de sesiones SSL que se almacenarán en caché por servidor de origen dinámico. Se crea una sesión SSL única para cada extensión SNI recibida del cliente en un mensaje de saludo del cliente. La sesión coincidente se utiliza para la reutilización de la sesión del servidor.
Valor predeterminado: 10
Valor mínimo: 1
Valor máximo: 1000
Ejemplo:
add ssl profile swg_ssl_profile -sslinterception ENABLED
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Vincular un certificado CA de intercepción SSL a un perfil SSL usando la CLI de Citrix SWG
En el símbolo del sistema, escribe:
bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >
Ejemplo:
bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
Done
<!--NeedCopy-->
Vincular un certificado CA de intercepción SSL a un perfil SSL usando la GUI de Citrix SWG
- Ve a Sistema > Perfiles > Perfil SSL.
- Haz clic en Agregar.
- Especifica un nombre para el perfil.
- Habilita la Intercepción de sesiones SSL.
- Haz clic en Aceptar.
- En Configuración avanzada, haz clic en Clave de certificado.
- Especifica una clave de certificado CA SSLi para vincular al perfil.
- Haz clic en Seleccionar y luego en Vincular.
- Opcionalmente, configura cifrados para adaptarlos a tu implementación.
- Haz clic en el icono de edición y luego en Agregar.
- Selecciona uno o más grupos de cifrado y haz clic en la flecha derecha.
- Haz clic en Aceptar.
- Haz clic en Listo.
Vincular un perfil SSL a un servidor proxy usando la GUI de Citrix SWG
- Ve a Secure Web Gateway > Servidores proxy, y agrega un nuevo servidor o selecciona uno para modificar.
- En Perfil SSL, haz clic en el icono de edición.
- En la lista Perfil SSL, selecciona el perfil SSL que creaste anteriormente.
- Haz clic en Aceptar.
- Haz clic en Listo.
Perfil de ejemplo:
Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->
En este artículo
- Agregar un perfil SSL y habilitar la intercepción SSL usando la CLI de Citrix® SWG
- Vincular un certificado CA de intercepción SSL a un perfil SSL usando la CLI de Citrix SWG
- Vincular un certificado CA de intercepción SSL a un perfil SSL usando la GUI de Citrix SWG
- Vincular un perfil SSL a un servidor proxy usando la GUI de Citrix SWG