Ce article a été traduit automatiquement. (Clause de non responsabilité)
Profil SSL
Un profil SSL est un ensemble de paramètres SSL, tels que les chiffrements et les protocoles. Un profil est utile si vous avez des paramètres communs pour différents serveurs. Au lieu de spécifier les mêmes paramètres pour chaque serveur, vous pouvez créer un profil, spécifier les paramètres dans le profil, puis lier le profil à différents serveurs. Si aucun profil SSL frontal personnalisé n’est créé, le profil frontal par défaut est lié aux entités côté client. Ce profil vous permet de configurer les paramètres de gestion des connexions côté client. Pour l’interception SSL, vous devez créer un profil SSL et activer l’interception SSL (SSLI) dans le profil. Un groupe de chiffrement par défaut est lié à ce profil, mais vous pouvez configurer d’autres chiffrements en fonction de votre déploiement. Vous devez lier un certificat d’autorité de certification SSLi à ce profil, puis lier le profil à un serveur proxy. Pour l’interception SSL, les paramètres essentiels d’un profil sont ceux utilisés pour vérifier l’état OCSP du certificat du serveur d’origine, déclencher la renégociation du client si le serveur d’origine demande une renégociation et vérifier le certificat du serveur d’origine avant de réutiliser la session SSL frontale. Vous devez utiliser le profil principal par défaut lorsque vous communiquez avec les serveurs d’origine. Définissez tous les paramètres côté serveur, tels que les suites de chiffrement, dans le profil principal par défaut. Un profil principal personnalisé n’est pas pris en charge.
Pour obtenir des exemples des paramètres SSL les plus couramment utilisés, consultez « Exemple de profil » à la fin de cette section.
La prise en charge du chiffre/protocole diffère sur le réseau interne et externe. Dans les tableaux suivants, la connexion entre les utilisateurs et une appliance SWG est le réseau interne. Le réseau externe se trouve entre l’appliance et Internet.
Tableau 1 : Matrice de prise en charge du chiffre/protocole pour le réseau interne
| (Chiffrement/Protocole)/Plateforme | MPX (N3)* | VPX |
|---|---|---|
| TLS 1.1/1.2 | 12.1 | 12.1 |
| ECDHE/DHE (Exemple TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
| AES-GCM (Exemple TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
| Ciphers SHA-2 (Exemple TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
| ECDSA (Exemple TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | 12.1 |
Tableau 2 : Matrice de prise en charge du chiffre/protocole pour le réseau externe
| (Chiffrement/Protocole)/Plateforme | MPX (N3)* | VPX |
|---|---|---|
| TLS 1.1/1.2 | 12.1 | 12.1 |
| ECDHE/DHE (Exemple TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
| AES-GCM (Exemple TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
| Ciphers SHA-2 (Exemple TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
| ECDSA (Exemple TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | Non pris en charge |
* Utilisez la commande sh hardware (show hardware) pour déterminer si votre appliance possède des puces N3.
Exemple :
sh hardware
Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
Manufactured on: 8/19/2013
CPU: 2900MHZ
Host Id: 1006665862
Serial no: ENUK6298FT
Encoded serial no: ENUK6298FT
Done
Ajouter un profil SSL et activer l’interception SSL à l’aide de l’interface de ligne de commande Citrix SWG
À l’invite de commandes, tapez :
add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>
Arguments :
sslInterception:
Activer ou désactiver l’interception des sessions SSL.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : DISABLED
ssliReneg:
Activez ou désactivez le déclenchement de la renégociation client lorsqu’une demande de renégociation est reçue du serveur d’origine.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : ENABLED
ssliOCSPCheck:
Activez ou désactivez la vérification OCSP pour un certificat de serveur d’origine.
Valeurs possibles : ENABLED, DISABLED
Valeur par défaut : ENABLED
ssliMaxSessPerServer:
Nombre maximal de sessions SSL à mettre en cache par serveur d’origine dynamique. Une session SSL unique est créée pour chaque extension SNI reçue du client dans un message de bonjour client. La session correspondante est utilisée pour la réutilisation de session serveur.
Valeur par défaut : 10
Valeur minimale : 1
Valeur maximale : 1000
Exemple :
add ssl profile swg_ssl_profile -sslinterception ENABLED
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
Done
Lier un certificat d’autorité de certification d’interception SSL à un profle SSL à l’aide de l’interface de ligne de commande Citrix SWG
À l’invite de commandes, tapez :
bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >
Exemple :
bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
Done
Lier un certificat d’autorité de certification d’interception SSL à un profle SSL à l’aide de l’interface graphique Citrix SWG
-
Accédez à Système > Profils > Profil SSL.
-
Cliquez sur Ajouter.
-
Spécifiez un nom pour le profil.
-
Activer l’interception des sessions SSL.
-
Cliquez sur OK.
-
Dans Paramètres avancés, cliquez sur Clé de certificat.
-
Spécifiez une clé de certificat SSLi CA à lier au profil.
-
Cliquez sur Sélectionner, puis sur Lier.
-
Vous pouvez également configurer les chiffrements en fonction de votre déploiement.
- Cliquez sur l’icône Modifier, puis cliquez sur Ajouter.
- Sélectionnez un ou plusieurs groupes de chiffrement, puis cliquez sur la flèche droite.
- Cliquez sur OK.
-
Cliquez sur Terminé.
Liez un profil SSL à un serveur proxy à l’aide de l’interface graphique Citrix SWG
- Accédez à Secure Web Gateway > Serveurs proxy, puis ajoutez un nouveau serveur ou sélectionnez un serveur à modifier.
- Dans Profile SSL, cliquez sur l’icône Modifier.
- Dans la liste Profil SSL, sélectionnez le profil SSL que vous avez créé précédemment.
- Cliquez sur OK.
- Cliquez sur Terminé.
Exemple de profil :
Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
Dans cet article
- Ajouter un profil SSL et activer l’interception SSL à l’aide de l’interface de ligne de commande Citrix SWG
- Lier un certificat d’autorité de certification d’interception SSL à un profle SSL à l’aide de l’interface de ligne de commande Citrix SWG
- Lier un certificat d’autorité de certification d’interception SSL à un profle SSL à l’aide de l’interface graphique Citrix SWG
- Liez un profil SSL à un serveur proxy à l’aide de l’interface graphique Citrix SWG