-
Gérer et surveiller à l'aide de Citrix Application Delivery Management
-
Accélération sécurisée du trafic
-
-
Fonctionnement de la compression SSL
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Fonctionnement de la compression SSL
La compression SSL a accès aux données en texte clair de la connexion, car l’appliance côté serveur agit en tant que délégué de sécurité des serveurs de point de terminaison. Ce comportement est possible car l’appliance côté serveur est configurée avec des copies des informations d’identification de sécurité des serveurs (clés privées et certificats), ce qui lui permet d’agir au nom des serveurs. Pour le client, ce comportement équivaut à communiquer directement avec le serveur de point de terminaison.
Étant donné que l’appliance fonctionne en tant que délégué de sécurité du serveur, la plupart des configurations se trouvent sur l’appliance côté serveur. L’appliance côté client (ou plug-in) agit comme un satellite de l’appliance côté serveur et ne nécessite pas de configuration par serveur.
Les appliances côté serveur et côté client partagent l’état de session via une connexion de signalisation SSL. Toutes les connexions accélérées entre les deux appliances sont envoyées via des connexions de données SSL, que les connexions d’origine aient été chiffrées ou non.
Remarque : la compression SSL ne crypte pas nécessairement tout le trafic de liaison. Le trafic initialement chiffré reste chiffré, mais le trafic non chiffré n’est pas toujours chiffré. Les appliances ne tentent pas de chiffrer le trafic non accéléré. Étant donné qu’il n’y a pas de garantie absolue que toute connexion donnée sera accélérée (divers événements empêchent l’accélération), il n’y a aucune garantie que les appliances chiffreront une connexion non chiffrée donnée.
La compression SSL fonctionne dans l’un des deux modes : proxy transparent ou proxy split. Ces deux modes prennent en charge des fonctionnalités SSL légèrement différentes. Vous sélectionnez le mode qui fournit les fonctionnalités requises par une application donnée.
Quel mode proxy SSL utiliser : utilisezle mode proxy transparent SSL uniquementsi vous avez besoin d’une véritable authentification client (c’est-à-dire une authentification qui identifie correctement le client de point de terminaison individuel) etque vous n’avez pas besoin de tickets Diffie-Hellman, Temp RSA, TLS SSL version 2, ou renégociation de session. Utilisez SSL split proxy pour tous les autres déploiements.
Proxy transparent SSL
En mode proxy transparent SSL (à ne pas confondre avec le mode transparent sur le plug-in WANOP Citrix SD-WAN), l’appliance côté serveur se fait du serveur. Les informations d’identification du serveur (paire de clés de certificat) sont installées sur l’appliance côté serveur afin qu’elle puisse agir au nom du serveur. L’appliance côté serveur configure ensuite l’appliance côté client pour qu’elle gère l’extrémité client de la connexion. Les informations d’identification du serveur ne sont pas installées sur l’appliance côté client.
L’authentification réelle du client est prise en charge dans ce mode, mais Temp RSA et Diffie-Hellman ne le sont pas. Le mode proxy transparent SSL est adapté aux applications nécessitant une authentification client, mais uniquement si aucune des fonctionnalités suivantes n’est requise : Diffie-Hellman, Temp RSA, tickets de session TLS, SSL version 2. En outre, la renégociation de session ne doit pas être tentée, sinon la connexion se termine.
Aucune configuration n’est requise sur l’appliance côté client (autre que la configuration d’une relation d’appairage sécurisée avec l’appliance côté serveur) et aucune configuration n’est requise sur le client, ce qui traite la connexion exactement comme si elle communiquait directement avec le serveur.
Proxy de partage SSL
Lemode proxy partagé SSL est préféré dans la plupart des cas, car il prend en charge Temp RSA et Diffie-Hellman, ce dont de nombreuses applications ont besoin. En mode proxy partagé SSL, l’appliance côté serveur se cache comme un serveur sur le client et comme un client sur le serveur. Vous installez les informations d’identification du serveur (une paire de clés de certificat) sur l’appliance côté serveur pour lui permettre d’agir au nom du serveur.
Le mode proxy fractionné prend également en charge l’authentification client par proxy si vous installez des informations d’identification client facultatives, qui sont présentées à l’application du serveur de point de terminaison si elle demande l’authentification client. Ces informations d’identification du client seront présentées à la place des informations d’identification du client du point de terminaison réel. (Utilisez un proxy transparent si les informations d’identification du client de point de terminaison sont requises par l’application.)
Étant donné que l’authentification vraie du client n’est pas prise en charge dans ce mode, le serveur ne peut pas authentifier le client de point de terminaison réel. Si l’appliance côté serveur n’est pas configurée avec des informations d’identification client, toutes les tentatives de l’application côté serveur lors de l’authentification client échouent. Si l’appliance côté serveur est configurée avec des informations d’identification client, toutes les demandes d’authentification client recevront ces informations d’identification, quelle que soit l’identité du client réel.
Aucune configuration n’est requise sur l’appliance côté client (autre que la configuration d’une relation d’appairage sécurisée avec l’appliance côté serveur) et aucune configuration n’est requise sur le client, ce qui traite la connexion comme si elle communiquait directement avec le serveur. Les informations d’identification du serveur sur l’appliance côté serveur ne sont pas installées sur l’appliance côté client.
Pour prendre en charge plusieurs serveurs, plusieurs paires de clés de certificat privées peuvent être installées sur l’appliance, une par profil SSL. Les règles SSL spéciales dans les définitions de classe de service correspondent aux serveurs aux profils SSL, et donc aux profils SSL aux informations d’identification.
En mode proxy partagé SSL, les certificats d’autorité de certification et les paires de clés de certificat et les certificats d’autorité de certification ne doivent pas correspondre à ceux des serveurs, bien qu’ils le puissent. En raison de la nature d’un proxy fractionné, l’appliance côté serveur peut utiliser des informations d’identification acceptables pour l’application cliente (informations d’identification valides délivrées par une autorité de confiance). Notez que, dans le cas des connexions HTTPS, les navigateurs Web émettent un avertissement si le nom commun ne correspond pas au nom de domaine dans l’URL. En général, l’utilisation de copies des informations d’identification du serveur est l’option la plus facile.
Partager
Partager
Dans cet article
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.