Profil SSL

Un profil SSL est un ensemble de paramètres SSL, tels que les chiffrements et les protocoles. Un profil est utile si vous avez des paramètres communs pour différents serveurs. Au lieu de spécifier les mêmes paramètres pour chaque serveur, vous pouvez créer un profil, spécifier les paramètres dans le profil, puis lier le profil à différents serveurs. Si aucun profil SSL frontal personnalisé n’est créé, le profil frontal par défaut est lié aux entités côté client. Ce profil vous permet de configurer les paramètres de gestion des connexions côté client. Pour l’interception SSL, vous devez créer un profil SSL et activer l’interception SSL (SSLI) dans le profil. Un groupe de chiffrement par défaut est lié à ce profil, mais vous pouvez configurer d’autres chiffrements en fonction de votre déploiement. Vous devez lier un certificat d’autorité de certification SSLi à ce profil, puis lier le profil à un serveur proxy. Pour l’interception SSL, les paramètres essentiels d’un profil sont ceux utilisés pour vérifier l’état OCSP du certificat du serveur d’origine, déclencher la renégociation du client si le serveur d’origine demande une renégociation et vérifier le certificat du serveur d’origine avant de réutiliser la session SSL frontale. Vous devez utiliser le profil principal par défaut lorsque vous communiquez avec les serveurs d’origine. Définissez tous les paramètres côté serveur, tels que les suites de chiffrement, dans le profil principal par défaut. Un profil principal personnalisé n’est pas pris en charge.

Pour obtenir des exemples des paramètres SSL les plus couramment utilisés, consultez « Exemple de profil » à la fin de cette section.

La prise en charge du chiffre/protocole diffère sur le réseau interne et externe. Dans les tableaux suivants, la connexion entre les utilisateurs et une appliance SWG est le réseau interne. Le réseau externe se trouve entre l’appliance et Internet.

image localisée

Tableau 1 : Matrice de prise en charge du chiffre/protocole pour le réseau interne

(Chiffrement/Protocole)/Plateforme MPX (N3)* VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE (Exemple TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM (Exemple TLS1.2-AES128-GCM-SHA256) 12.1 12.1
Ciphers SHA-2 (Exemple TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA (Exemple TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 12.1

Tableau 2 : Matrice de prise en charge du chiffre/protocole pour le réseau externe

(Chiffrement/Protocole)/Plateforme MPX (N3)* VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE (Exemple TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM (Exemple TLS1.2-AES128-GCM-SHA256) 12.1 12.1
Ciphers SHA-2 (Exemple TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA (Exemple TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 Non pris en charge

* Utilisez la commande sh hardware (show hardware) pour déterminer si votre appliance possède des puces N3.

Exemple :

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done
<!--NeedCopy-->

Ajouter un profil SSL et activer l’interception SSL à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

Arguments :

sslInterception:

Activer ou désactiver l’interception des sessions SSL.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

ssliReneg:

Activez ou désactivez le déclenchement de la renégociation client lorsqu’une demande de renégociation est reçue du serveur d’origine.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : ENABLED

ssliOCSPCheck:

Activez ou désactivez la vérification OCSP pour un certificat de serveur d’origine.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : ENABLED

ssliMaxSessPerServer:

Nombre maximal de sessions SSL à mettre en cache par serveur d’origine dynamique. Une session SSL unique est créée pour chaque extension SNI reçue du client dans un message de bonjour client. La session correspondante est utilisée pour la réutilisation de session serveur.

Valeur par défaut : 10

Valeur minimale : 1

Valeur maximale : 1000

Exemple :

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

Lier un certificat d’autorité de certification d’interception SSL à un profle SSL à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

Exemple :

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done
<!--NeedCopy-->

Lier un certificat d’autorité de certification d’interception SSL à un profle SSL à l’aide de l’interface graphique Citrix SWG

  1. Accédez à Système > Profils > Profil SSL.

  2. Cliquez sur Ajouter.

  3. Spécifiez un nom pour le profil.

  4. Activer l’interception des sessions SSL.

  5. Cliquez sur OK.

  6. Dans Paramètres avancés, cliquez sur Clé de certificat.

  7. Spécifiez une clé de certificat SSLi CA à lier au profil.

  8. Cliquez sur Sélectionner, puis sur Lier.

  9. Vous pouvez également configurer les chiffrements en fonction de votre déploiement.

    • Cliquez sur l’icône Modifier, puis cliquez sur Ajouter.
    • Sélectionnez un ou plusieurs groupes de chiffrement, puis cliquez sur la flèche droite.
    • Cliquez sur OK.
  10. Cliquez sur Terminé.

Liez un profil SSL à un serveur proxy à l’aide de l’interface graphique Citrix SWG

  1. Accédez à Secure Web Gateway > Serveurs proxy, puis ajoutez un nouveau serveur ou sélectionnez un serveur à modifier.
  2. Dans Profile SSL, cliquez sur l’icône Modifier.
  3. Dans la liste Profil SSL, sélectionnez le profil SSL que vous avez créé précédemment.
  4. Cliquez sur OK.
  5. Cliquez sur Terminé.

Exemple de profil :

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->