レガシーSSLプロファイル
注:
従来のプロファイルではなく、拡張プロファイルの使用をお勧めします。拡張プロファイルインフラストラクチャの詳細については、「 SSL プロファイルインフラストラクチャ」を参照してください。
重要:
SSL プロファイルを SSL 仮想サーバーにバインドします。DTLS プロファイルを SSL 仮想サーバーにバインドしないでください。DTLS プロファイルの詳細については、 DTLS プロファイルを参照してください。
SSLプロファイルを使用して、NetScaler ADCがSSLトラフィックを処理する方法を指定できます。プロファイルは、仮想サーバー、サービス、サービスグループなどのSSLエンティティのSSLパラメータ設定の集合であり、構成が容易で柔軟性があります。設定できるグローバルパラメータは 1 セットだけに限定されません。グローバルパラメータの複数のセット (プロファイル) を作成し、異なる SSL エンティティに異なるセットを割り当てることができます。SSL プロファイルは次の 2 つのカテゴリに分類されます。
- フロントエンドエンティティに適用されるパラメータを含むフロントエンドプロファイル。つまり、クライアントからリクエストを受け取るエンティティに適用されます。
- バックエンド・エンティティに適用可能なパラメータを含むバックエンド・プロファイル。つまり、クライアント要求をサーバーに送信するエンティティに適用されます。
TCP や HTTP プロファイルとは異なり、SSL プロファイルはオプションです。したがって、デフォルトの SSL プロファイルはありません。同じプロファイルを複数のエンティティで再利用できます。エンティティにプロファイルが添付されていない場合は、グローバルレベルで設定された値が適用されます。動的に学習されるサービスには、現在のグローバル値が適用されます。
次の表は、各プロファイルに含まれるパラメータを示しています。
フロントエンドプロファイル | バックエンドプロファイル |
---|---|
cipherRedirect, cipherURL | denySSLReneg |
clearTextPort* | encryptTriggerPktCount |
clientAuth, clientCert | nonFipsCiphers |
denySSLReneg | pushEncTrigger |
dh, dhFile, dhCount | pushEncTriggerTimeout |
dropReqWithNoHostHeader | pushFlag |
encryptTriggerPktCount | quantumSize |
eRSA, eRSACount | serverAuth |
insertionEncoding | commonName |
nonFipsCiphers | sessReuse, sessTimeout |
pushEncTrigger | SNIEnable |
pushEncTriggerTimeout | ssl3 |
pushFlag | sslTriggerTimeout |
quantumSize | strictCAChecks |
redirectPortRewrite | tls1 |
sendCloseNotify | - |
sessReuse, sessTimeout | - |
SNIEnable |
- |
ssl3 | - |
sslRedirect | - |
sslTriggerTimeout | - |
strictCAChecks | - |
tls1, tls11, tls12 | - |
* ClearTextPort パラメータは SSL 仮想サーバーにのみ適用されます。
プロファイルの一部ではないパラメータを設定しようとすると、エラーメッセージが表示されます。たとえば、バックエンドプロファイルで ClientAuth パラメーターを設定しようとしたとします。
CRL メモリサイズ、OCSP キャッシュサイズ、UnDefaction コントロール、UnDefaction Data などの一部の SSL パラメータは、エンティティから独立しているため、前述のどのプロファイルにも含まれていません。
SSL プロファイルは次の操作をサポートします。
- 追加 — NetScaler に SSL プロファイルを作成します。プロファイルがフロントエンドかバックエンドかを指定します。フロントエンドがデフォルトです。
- 設定-既存のプロファイルの設定を変更します。
- 「設定解除」(Unset)-指定されたパラメータをデフォルト値に設定します。パラメータを何も指定しない場合、エラーメッセージが表示されます。エンティティのプロファイルを設定解除すると、プロファイルはエンティティからバインド解除されます。
- 削除-プロファイルを削除します。どのエンティティでも使用されているプロファイルは削除できません。設定をクリアすると、すべてのエンティティが削除されます。その結果、プロファイルも削除されます。
- 表示-NetScaler で使用可能なすべてのプロファイルを表示します。プロファイル名を指定すると、そのプロファイルの詳細が表示されます。エンティティを指定すると、そのエンティティに関連付けられているプロファイルが表示されます。
CLI を使用して SSL プロファイルを作成する
- SSL プロファイルを追加するには、次のように入力します。
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
<!--NeedCopy-->
- 既存のプロファイルを変更するには、次のように入力します。
set ssl profile <name>
<!--NeedCopy-->
- 既存のプロファイルを設定解除するには、次のように入力します。
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
<!--NeedCopy-->
- エンティティから既存のプロファイルを設定解除するには、次のように入力します。
unset ssl vserver <vServerName> –sslProfile
<!--NeedCopy-->
- 既存のプロファイルを削除するには、次のように入力します。
rm ssl profile <name>
<!--NeedCopy-->
- 既存のプロファイルを表示するには、次のように入力します。
sh ssl profile <name>
<!--NeedCopy-->
GUI を使用して SSL プロファイルを作成する
[ システム ] > [ プロファイル] に移動し、[SSL プロファイル] タブを選択し、SSL プロファイルを作成します。
クライアント証明書の検証をより厳密に制御できるようにする
NetScalerアプライアンスは、1つのルートCAが発行した有効な中間CA証明書を受け入れます。つまり、ルートCA証明書のみが仮想サーバーにバインドされ、そのルートCAがクライアント証明書とともに送信された中間証明書のいずれかを検証する場合、アプライアンスは証明書チェーンを信頼し、ハンドシェイクは成功します。
ただし、クライアントがハンドシェイクで一連の証明書を送信する場合、その証明書が SSL 仮想サーバーにバインドされている場合にのみ、CRL または OCSP レスポンダーを使用して中間証明書を検証できます。したがって、中間証明書の 1 つが失効しても、ハンドシェイクは成功します。ハンドシェイクの一部として、SSL 仮想サーバはバインドされている CA 証明書のリストを送信します。より厳密に制御するには、その仮想サーバーにバインドされたCA証明書のいずれかが署名した証明書のみを受け入れるように SSL 仮想サーバーを構成できます。そのためには、 ClientAuthUseBoundCAChain
仮想サーバーにバインドされたSSLプロファイルの設定を有効にする必要があります。仮想サーバーにバインドされているCA証明書の1つがクライアント証明書に署名していない場合、ハンドシェイクは失敗します。
たとえば、clientcert1 と clientcert2 の 2 つのクライアント証明書が、それぞれ中間証明書 int-CA-A と int-CA-B によって署名されているとします。中間証明書は、ルート証明書 root-CA によって署名されます。int-CA-A とルート CA は SSL 仮想サーバにバインドされます。デフォルトの場合 (ClientAuthuseBoundCachain は無効)、clientcert1 と clientcert2 の両方が受け入れられます。ただし、ClientAuthUseBoundCachainが有効な場合、NetScaler ADCアプライアンスはclientcert1のみを受け入れます。
CLI を使用して、クライアント証明書の検証をより厳密に制御できるようにする
コマンドプロンプトで、次のように入力します。 set ssl profile <name> -ClientAuthUseBoundCAChain Enabled
GUI を使用してクライアント証明書の検証をより厳密に制御できるようにする
- [ システム ] > [ プロファイル] に移動し、[ SSL プロファイル ] タブを選択して SSL プロファイルを作成するか、既存のプロファイルを選択します。
- [ バインドされた CA チェーンを使用したクライアント認証を有効にする] を選択します。