Stratégies SSL

May 5, 2023

Contributeur:

Les politiques de l’appliance NetScaler aident à identifier les connexions spécifiques que vous souhaitez traiter. Le traitement est basé sur les actions configurées pour cette stratégie particulière. Une fois que vous avez créé la stratégie et configuré une action pour celle-ci, vous devez effectuer l’une des opérations suivantes :

Liez la stratégie à un serveur virtuel sur l’appliance, afin qu’elle s’applique uniquement au trafic circulant via ce serveur virtuel.
Liez la politique de manière globale, afin qu’elle s’applique à tout le trafic passant par n’importe quel serveur virtuel configuré sur l’appliance NetScaler.

La fonctionnalité SSL de l’appliance NetScaler prend en charge les politiques avancées (avancées). Pour obtenir une description complète des expressions de stratégie avancées, de leur fonctionnement et de leur configuration manuelle, consultez Stratégies et expressions. Pour plus d’informations sur les expressions SSL, consultez Expressions de stratégie avancées : analyse SSL.

Remarque :

Les utilisateurs qui ne sont pas expérimentés dans la configuration des stratégies dans l’interface de ligne de commande trouvent généralement l’utilisation de l’utilitaire de configuration beaucoup plus facile.

Les stratégies SSL exigent que vous créiez une action avant de créer une stratégie, afin de pouvoir spécifier les actions lors de la création des stratégies. Dans les stratégies avancées SSL, vous pouvez également utiliser les actions intégrées. Pour plus d’informations sur les actions intégrées, consultez Actions intégrées SSL et actions définies parl’utilisateur.

Stratégies avancées SSL

Une stratégie SSL Advanced, également connue sous le nom de stratégie avancée, définit un contrôle ou une action de données à exécuter sur les demandes. Les stratégies SSL peuvent donc être classées en tant que stratégies de contrôle et stratégies de données :

Politique de contrôle. Une stratégie de contrôle utilise une action de contrôle, telle que forcer l’authentification du client. Remarque : Dans la version 10.5 ou ultérieure, le paramètre Refuser la renégociation SSL (DenySSLReneg) est défini, par défaut, sur ALL. Toutefois, les stratégies de contrôle, telles que CLIENTAUTH, déclenchent une négociation de renégociation. Si vous utilisez de telles stratégies, vous devez définir DenySSLReneg sur NO.
Politique de données. Une stratégie de données utilise une action de données, telle que l’insertion de certaines données dans la demande.

Les éléments essentiels d’une politique sont une expression et une action. L’expression identifie les demandes sur lesquelles l’action doit être exécutée.

Vous pouvez configurer une stratégie avancée avec une action intégrée ou une action définie par l’utilisateur. Vous pouvez configurer une stratégie avec une action intégrée sans créer d’action distincte. Toutefois, pour configurer une stratégie avec une action définie par l’utilisateur, configurez d’abord l’action, puis configurez la stratégie.

Vous pouvez spécifier une action supplémentaire, appelée action UNDEF, à effectuer lorsque l’application de l’expression à une demande a un résultat non défini.

Configuration de la stratégie SSL

Vous pouvez configurer une stratégie SSL Advanced à l’aide de l’interface de ligne de commande et de l’interface graphique.

Configurer une stratégie SSL à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
 

Configurer une stratégie SSL à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL > Stratégies et, sous l’onglet Stratégies, cliquez sur Ajouter.

Prise en charge des stratégies SSL avec le protocole TLS1.3

À partir de la version 13.0 build 71.x et ultérieure, la prise en charge des stratégies SSL avec le protocole TLS1.3 est ajoutée. Lorsque le protocole TLSv1.3 est négocié pour une connexion, les règles de stratégie qui inspectent les données TLS reçues du client déclenchent désormais l’action configurée.

Par exemple, si la règle de stratégie suivante renvoie true, le trafic est transféré vers le serveur virtuel défini dans l’action.

add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
 

Limitations

Les stratégies de contrôle ne sont pas prises en charge.
Les actions suivantes ne sont pas prises en charge :
- DOCLIENTAUTH
- NOCLIENTAUTH
- caCertGrpName
- Vérification du certificat client
- ssllogProfile

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Stratégies SSL

May 5, 2023

Contributeur:

Dans cet article

Cela vous a-t-il été utile ?