Profil SSL hérité
Remarque :
Citrix recommande d’utiliser les profils améliorés au lieu des profils hérités. Pour plus d’informations sur l’infrastructure de profils améliorée, voir Infrastructure de profils SSL.
Important :
Liez un profil SSL à un serveur virtuel SSL. Ne liez pas un profil DTLS à un serveur virtuel SSL. Pour plus d’informations sur les profils DTLS, consultez Profils DTLS.
Vous pouvez utiliser un profil SSL pour spécifier la manière dont NetScaler traite le trafic SSL. Le profil est un ensemble de paramètres SSL pour les entités SSL, telles que les serveurs virtuels, les services et les groupes de services, et offre facilité de configuration et flexibilité. Vous n’êtes pas limité à la configuration d’un seul ensemble de paramètres globaux. Vous pouvez créer plusieurs ensembles (profils) de paramètres globaux et attribuer différents ensembles à différentes entités SSL. Les profils SSL sont classés en deux catégories :
- Profils frontaux, contenant les paramètres applicables à l’entité frontale. En d’autres termes, ils s’appliquent à l’entité qui reçoit les demandes d’un client.
- Profils principaux, contenant les paramètres applicables à l’entité principale. En d’autres termes, ils s’appliquent à l’entité qui envoie les demandes des clients à un serveur.
Contrairement à un profil TCP ou HTTP, un profil SSL est facultatif. Il n’existe donc pas de profil SSL par défaut. Le même profil peut être réutilisé sur plusieurs entités. Si aucun profil n’est associé à une entité, les valeurs définies au niveau global s’appliquent. Pour les services appris de manière dynamique, les valeurs globales actuelles s’appliquent.
Le tableau suivant répertorie les paramètres qui font partie de chaque profil.
Profilé frontal | Profil principal |
---|---|
Redirection de chiffrement, URL de chiffrement | denySSLReneg |
clearTextPort* | encryptTriggerPktCount |
clientAuth, clientCert | nonFipsCiphers |
denySSLReneg | pushEncTrigger |
dh, dhFile, dhCount | pushEncTriggerTimeout |
dropReqWithNoHostHeader | pushFlag |
encryptTriggerPktCount | quantumSize |
eRSA, eRSACount | serverAuth |
insertionEncoding | commonName |
nonFipsCiphers | sessReuse, sessTimeout |
pushEncTrigger | SNIEnable |
pushEncTriggerTimeout | ssl3 |
pushFlag | sslTriggerTimeout |
quantumSize | strictCAChecks |
redirectPortRewrite | tls1 |
sendCloseNotify | - |
sessReuse, sessTimeout | - |
SNIEnable |
- |
ssl3 | - |
sslRedirect | - |
sslTriggerTimeout | - |
strictCAChecks | - |
tls1, tls11, tls12 | - |
* Le paramètre ClearTextPort s’applique uniquement à un serveur virtuel SSL.
Un message d’erreur s’affiche si vous essayez de définir un paramètre qui ne fait pas partie du profil. Par exemple, si vous essayez de définir le paramètre ClientAuth dans un profil principal.
Certains paramètres SSL, tels que la taille de la mémoire CRL, la taille du cache OCSP, le contrôle UnDefaction et les données UnDefaction, ne font partie d’aucun des profils précédents, car ces paramètres sont indépendants des entités.
Un profil SSL prend en charge les opérations suivantes :
- Ajouter : crée un profil SSL sur NetScaler. Spécifiez si le profil est frontal ou dorsal. Le front-end est la valeur par défaut.
- Définir : modifie les paramètres d’un profil existant.
- Désactiver : définit les paramètres spécifiés à leurs valeurs par défaut. Si vous ne spécifiez aucun paramètre, un message d’erreur s’affiche. Si vous annulez la définition d’un profil sur une entité, le profil n’est pas lié à l’entité.
- Remove : supprime un profil. Un profil utilisé par une entité ne peut pas être supprimé. L’effacement de la configuration supprime toutes les entités. Par conséquent, les profils sont également supprimés.
- Afficher : affiche tous les profils disponibles sur NetScaler. Si un nom de profil est spécifié, les détails de ce profil sont affichés. Si une entité est spécifiée, les profils associés à cette entité sont affichés.
Création d’un profil SSL à l’aide de l’interface de ligne de commande
- Pour ajouter un profil SSL, tapez :
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
<!--NeedCopy-->
- Pour modifier un profil existant, tapez :
set ssl profile <name>
<!--NeedCopy-->
- Pour annuler la définition d’un profil existant, tapez :
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
<!--NeedCopy-->
- Pour annuler la définition d’un profil existant pour une entité, tapez :
unset ssl vserver <vServerName> –sslProfile
<!--NeedCopy-->
- Pour supprimer un profil existant, tapez :
rm ssl profile <name>
<!--NeedCopy-->
- Pour afficher un profil existant, tapez :
sh ssl profile <name>
<!--NeedCopy-->
Création d’un profil SSL à l’aide de l’interface graphique
Accédez à Système > Profils, sélectionnez l’onglet Profils SSL et créez un profil SSL.
Permettre un contrôle plus strict de la validation des certificats clients
L’appliance NetScaler accepte les certificats d’autorité de certification intermédiaire valides si une seule autorité de certification racine les a émis. En d’autres termes, si seul le certificat Root-CA est lié au serveur virtuel et que Root-CA valide l’un des certificats intermédiaires envoyés avec le certificat client, l’appliance fait confiance à la chaîne de certificats et l’établissement de liaison est réussi.
Toutefois, si un client envoie une chaîne de certificats lors de la connexion, les certificats intermédiaires peuvent être validés à l’aide d’un répondeur CRL ou OCSP uniquement si ce certificat est lié au serveur virtuel SSL. Par conséquent, même si l’un des certificats intermédiaires est révoqué, la prise de contact est réussie. Dans le cadre de l’établissement de la liaison, le serveur virtuel SSL envoie la liste des certificats d’autorité de certification qui lui sont liés. Pour un contrôle plus strict, vous pouvez configurer le serveur virtuel SSL pour qu’il accepte uniquement un certificat signé par l’un des certificats CA liés à ce serveur virtuel. Pour ce faire, vous devez activer le ClientAuthUseBoundCAChain
paramètre dans le profil SSL lié au serveur virtuel. La connexion échoue si l’un des certificats d’autorité de certification liés au serveur virtuel n’a pas signé le certificat client.
Par exemple, disons que deux certificats clients, clientcert1 et clientcert2, sont signés par les certificats intermédiaires int-CA-A et int-CA-B, respectivement. Les certificats intermédiaires sont signés par le certificat racine Root-CA. Int-CA-A et Root-CA sont liés au serveur virtuel SSL. Dans le cas par défaut (ClientAuthUseBoundCachain désactivé), clientcert1 et clientcert2 sont acceptés. Toutefois, si ClientAuthUseBoundCachain est activé, l’appliance NetScaler n’accepte que clientcert1.
Contrôle plus strict de la validation des certificats clients à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez : set ssl profile <name> -ClientAuthUseBoundCAChain Enabled
Permettre un contrôle plus strict sur la validation des certificats clients à l’aide de l’interface graphique
- Accédez à Système > Profils, sélectionnez l’onglet Profils SSL et créez un profil SSL ou sélectionnez un profil existant.
- Sélectionnez Activer l’authentification client à l’aide de la chaîne de certification liée.