Citrix Secure Web Gateway

Profil SSL

September 29, 2025

Contributeur:

C C

Un profil SSL est un ensemble de paramètres SSL, tels que des chiffrements et des protocoles. Un profil est utile si vous avez des paramètres communs pour différents serveurs. Au lieu de spécifier les mêmes paramètres pour chaque serveur, vous pouvez créer un profil, y spécifier les paramètres, puis l’associer à différents serveurs. Si un profil SSL frontal personnalisé n’est pas créé, le profil frontal par défaut est lié aux entités côté client. Ce profil vous permet de configurer des paramètres pour la gestion des connexions côté client. Pour l’interception SSL, vous devez créer un profil SSL et activer l’interception SSL (SSLi) dans ce profil. Un groupe de chiffrements par défaut est lié à ce profil, mais vous pouvez configurer davantage de chiffrements pour s’adapter à votre déploiement. Vous devez lier un certificat CA SSLi à ce profil, puis lier le profil à un serveur proxy. Pour l’interception SSL, les paramètres essentiels d’un profil sont ceux utilisés pour vérifier le statut OCSP du certificat du serveur d’origine, déclencher la renégociation côté client si le serveur d’origine demande une renégociation, et vérifier le certificat du serveur d’origine avant de réutiliser la session SSL frontale. Vous devez utiliser le profil backend par défaut lors de la communication avec les serveurs d’origine. Définissez tous les paramètres côté serveur, tels que les suites de chiffrement, dans le profil backend par défaut. Un profil backend personnalisé n’est pas pris en charge.

Pour des exemples des paramètres SSL les plus couramment utilisés, consultez la section « Exemple de profil » à la fin de cette section.

Le support des chiffrements/protocoles diffère sur les réseaux interne et externe. Dans les tableaux suivants, la connexion entre les utilisateurs et une appliance SWG est le réseau interne. Le réseau externe est entre l’appliance et Internet.

Tableau 1 : Matrice de support des chiffrements/protocoles pour le réseau interne

(Chiffrement/protocole)/Plateforme	MPX (N3)*	VPX
TLS 1.1/1.2	12.1	12.1
ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA)	12.1	12.1
AES-GCM(Example TLS1.2-AES128-GCM-SHA256)	12.1	12.1
SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256)	12.1	12.1
ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA)	12.1	12.1

Tableau 2 : Matrice de support des chiffrements/protocoles pour le réseau externe

(Chiffrement/protocole)/Plateforme	MPX (N3)*	VPX
TLS 1.1/1.2	12.1	12.1
ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA)	12.1	12.1
AES-GCM(Example TLS1.2-AES128-GCM-SHA256)	12.1	12.1
SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256)	12.1	12.1
ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA)	12.1	Non pris en charge

* Utilisez la commande sh hardware (afficher le matériel) pour identifier si votre appliance dispose de puces N3.

Exemple :

sh hardware

Platform: NSMPX-22000 16*CPU+24*IX+12*E1K+2*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done
<!--NeedCopy-->

Ajouter un profil SSL et activer l’interception SSL à l’aide de l’interface de ligne de commande (CLI) Citrix® SWG

À l’invite de commandes, tapez :

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

Arguments :

sslInterception :

Active ou désactive l’interception des sessions SSL.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

ssliReneg :

Active ou désactive le déclenchement de la renégociation côté client lorsqu’une demande de renégociation est reçue du serveur d’origine.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : ENABLED

ssliOCSPCheck :

Active ou désactive la vérification OCSP pour un certificat de serveur d’origine.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : ENABLED

ssliMaxSessPerServer :

Nombre maximal de sessions SSL à mettre en cache par serveur d’origine dynamique. Une session SSL unique est créée pour chaque extension SNI reçue du client dans un message client hello. La session correspondante est utilisée pour la réutilisation de la session serveur.

Valeur par défaut : 10

Valeur minimale : 1

Valeur maximale : 1000

Exemple :

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

Lier un certificat CA d’interception SSL à un profil SSL à l’aide de l’interface de ligne de commande (CLI) Citrix SWG

À l’invite de commandes, tapez :

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

Exemple :

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done
<!--NeedCopy-->

Lier un certificat CA d’interception SSL à un profil SSL à l’aide de l’interface graphique (GUI) Citrix SWG

Accédez à Système > Profils > Profil SSL.
Cliquez sur Ajouter.
Spécifiez un nom pour le profil.
Activez Interception des sessions SSL.
Cliquez sur OK.
Dans Paramètres avancés, cliquez sur Clé de certificat.
Spécifiez une clé de certificat CA SSLi à lier au profil.
Cliquez sur Sélectionner, puis sur Lier.
Vous pouvez éventuellement configurer des chiffrements pour s’adapter à votre déploiement.
- Cliquez sur l’icône de modification, puis sur Ajouter.
- Sélectionnez un ou plusieurs groupes de chiffrements, puis cliquez sur la flèche droite.
- Cliquez sur OK.
Cliquez sur Terminé.

Lier un profil SSL à un serveur proxy à l’aide de l’interface graphique (GUI) Citrix SWG

Accédez à Secure Web Gateway > Serveurs proxy, et ajoutez un nouveau serveur ou sélectionnez un serveur à modifier.
Dans Profil SSL, cliquez sur l’icône de modification.
Dans la liste Profil SSL, sélectionnez le profil SSL que vous avez créé précédemment.
Cliquez sur OK.
Cliquez sur Terminé.

Exemple de profil :

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

NetScaler Secure Deployment Guide

Profil SSL

September 29, 2025

Contributeur:

C C

September 29, 2025

Contributeur:

C C

Dans cet article

Ajouter un profil SSL et activer l’interception SSL à l’aide de l’interface de ligne de commande (CLI) Citrix® SWG
Lier un certificat CA d’interception SSL à un profil SSL à l’aide de l’interface de ligne de commande (CLI) Citrix SWG
Lier un certificat CA d’interception SSL à un profil SSL à l’aide de l’interface graphique (GUI) Citrix SWG
Lier un profil SSL à un serveur proxy à l’aide de l’interface graphique (GUI) Citrix SWG

Cela vous a-t-il été utile ?

NetScaler Secure Deployment Guide