ADC
ご意見をお寄せいただきありがとうございました

この記事は機械翻訳されています.免責事項

SSL ポリシー

Citrix ADCアプライアンスのポリシーは、処理する特定の接続を識別するのに役立ちます。処理は、その特定のポリシーに対して設定されているアクションに基づきます。ポリシーを作成してそのアクションを構成したら、次のいずれかを実行する必要があります。

  • ポリシーをアプライアンス上の仮想サーバーにバインドして、その仮想サーバーを流れるトラフィックにのみ適用されるようにします。
  • ポリシーをグローバルにバインドして、Citrix ADCアプライアンスで構成された仮想サーバーを通過するすべてのトラフィックに適用されるようにします。

Citrix ADCアプライアンスのSSL機能は、デフォルトの構文(詳細)ポリシーをサポートします。デフォルトの構文式、それらの動作方法、およびそれらを手動で設定する方法については、 ポリシーと式を参照してください

注:

CLI でのポリシーの設定に慣れていないユーザは、通常、設定ユーティリティの使用がかなり簡単になります。

SSL ポリシーでは、ポリシーを作成するときにアクションを指定できるように、ポリシーを作成する前にアクションを作成する必要があります。 SSL のデフォルト構文ポリシーでは、組み込みアクションを使用することもできます。組み込みアクションの詳細については、 SSL 組み込みアクションとユーザー定義アクションを参照してください

SSL のデフォルト構文ポリシー

SSL デフォルト構文ポリシー(詳細ポリシーとも呼ばれる)は、要求に対して実行される制御またはデータアクションを定義します。したがって、SSL ポリシーは、制御ポリシーおよびデータポリシーとして分類できます。

  • 制御ポリシー。制御ポリシーは、クライアント認証の強制などの制御アクションを使用します。 注意:リリース 10.5 以降では、SSL 再ネゴシエーションの拒否(denySSLReneg)はデフォルトで ALL に設定されています。ただし、CLIENTAUTH などの制御ポリシーは、再ネゴシエーションハンドシェイクをトリガーします。このようなポリシーを使用する場合は、denySSLReneg を NO に設定する必要があります。
  • データポリシー。データポリシーは、リクエストにデータを挿入するなどのデータアクションを使用します。

ポリシーの重要なコンポーネントは、式とアクションです。式は、アクションが実行される要求を識別します。

組み込みアクションまたはユーザー定義アクションを使用して、デフォルトの構文ポリシーを設定できます。別のアクションを作成しなくても、組み込みアクションを使用してポリシーを設定できます。ただし、ユーザ定義のアクションを使用してポリシーを設定するには、まずアクションを設定してから、ポリシーを設定します。

UNDEF アクションと呼ばれる追加のアクションを指定できます。このアクションは、要求に式を適用すると未定義の結果が生じた場合に実行されます。

SSL ポリシー構成

CLI および GUI を使用して、SSL デフォルト構文ポリシーを設定できます。

CLI を使用した SSL ポリシーの設定

コマンドプロンプトで入力します。

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]

GUI を使用した SSL ポリシーの構成

Traffic Management > SSL > Policiesに移動してPolicesタブでAddをクリックします。

SSLポリシーとTLS1.3プロトコルのサポート

リリース13.0ビルド71.x以降では、TLS1.3プロトコルを使用したSSLポリシーのサポートが追加されています。TLSv1.3プロトコルが接続についてネゴシエートされると、クライアントから受信したTLSデータを検査するポリシールールが設定されたアクションをトリガーするようになりました。

たとえば、次のポリシールールがtrueを返す場合、トラフィックはアクションで定義された仮想サーバーに転送されます。

add ssl action action1 -forward vserver2 add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1

制限事項

  • 制御ポリシーはサポートされていません。
  • これらの操作はサポートされていません。
    • DOCLIENTAUTH
    • NOCLIENTAUTH
    • caCertGrpName
    • clientCertVerification
    • ssllogProfile
このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。
SSL ポリシー