レガシー SSL プロファイル
注:
従来のプロファイルではなく、拡張プロファイルの使用をお勧めします。拡張プロファイルインフラストラクチャの詳細については、「 SSL プロファイルインフラストラクチャ」を参照してください。
重要:
SSLプロファイルをSSL仮想サーバーにバインドします。DTLS プロファイルを SSL 仮想サーバーにバインドしないでください。DTLS プロファイルの詳細については、 DTLS プロファイルを参照してください。
SSLプロファイルを使用して、Citrix ADCがSSLトラフィックを処理する方法を指定できます。このプロファイルは、仮想サーバ、サービス、サービスグループなどの SSL エンティティの SSL パラメータ設定の集まりであり、設定の容易さと柔軟性を提供します。グローバルパラメータのセットを 1 つだけ設定することに限定されません。グローバルパラメータの複数のセット(プロファイル)を作成し、異なる SSL エンティティに異なるセットを割り当てることができます。SSL プロファイルは、次の 2 つのカテゴリに分類されます。
- フロントエンドプロファイル。フロントエンドエンティティに適用可能なパラメータを含みます。つまり、クライアントからの要求を受信するエンティティに適用されます。
- バックエンドプロファイル。バックエンドエンティティに適用可能なパラメータを含みます。つまり、クライアント要求をサーバーに送信するエンティティに適用されます。
TCP または HTTP プロファイルとは異なり、SSL プロファイルはオプションです。したがって、デフォルトの SSL プロファイルはありません。複数のエンティティ間で同じプロファイルを再利用できます。図形に縦断がアタッチされていない場合は、グローバルレベルで設定された値が適用されます。動的に学習されたサービスには、現在のグローバル値が適用されます。
次の表に、各プロファイルの一部であるパラメータを示します。
| Front end profile | Back-end profile |
|---|---|
| cipherRedirect, cipherURL | denySSLReneg |
| clearTextPort* | encryptTriggerPktCount |
| clientAuth, clientCert | nonFipsCiphers |
| denySSLReneg | pushEncTrigger |
| dh, dhFile, dhCount | pushEncTriggerTimeout |
| dropReqWithNoHostHeader | pushFlag |
| encryptTriggerPktCount | quantumSize |
| eRSA, eRSACount | serverAuth |
| insertionEncoding | commonName |
| nonFipsCiphers | sessReuse, sessTimeout |
| pushEncTrigger | SNIEnable |
| pushEncTriggerTimeout | ssl3 |
| pushFlag | sslTriggerTimeout |
| quantumSize | strictCAChecks |
| redirectPortRewrite | tls1 |
| sendCloseNotify | - |
| sessReuse, sessTimeout | - |
SNIEnable |
- |
| ssl3 | - |
| sslRedirect | - |
| sslTriggerTimeout | - |
| strictCAChecks | - |
| tls1, tls11, tls12 | - |
* clearTextPort パラメーターは、SSL 仮想サーバーにのみ適用されます。
プロファイルの一部ではないパラメータを設定しようとすると、エラーメッセージが表示されます。たとえば、バックエンドプロファイルでclientAuthパラメータを設定しようとした場合です。
CRLメモリサイズ、OCSPキャッシュサイズ、UndefAction Control、UndefAction Dataなどの一部のSSLパラメータは、エンティティから独立しているため、前述のプロファイルのいずれにも含まれていません。
SSL プロファイルでは、次の操作がサポートされます。
- 追加:Citrix ADC上にSSLプロファイルを作成します。プロファイルがフロントエンドかバックエンドかを指定します。フロントエンドがデフォルトです。
- 設定-既存のプロファイルの設定を変更します。
- 設定解除-指定したパラメータをデフォルト値に設定します。パラメータを指定しない場合は、エラーメッセージが表示されます。エンティティのプロファイルを設定解除すると、そのプロファイルはエンティティからバインド解除されます。
- 除去-プロファイルを削除します。どのエンティティでも使用されているプロファイルも削除できません。設定をクリアすると、すべてのエンティティが削除されます。その結果、プロファイルも削除されます。
- [表示]:Citrix ADCで使用可能なすべてのプロファイルを表示します。プロファイル名を指定すると、そのプロファイルの詳細が表示されます。図形を指定すると、その図形に関連付けられた縦断が表示されます。
CLI を使用した SSL プロファイルの作成
- SSL プロファイルを追加するには、次のように入力します。
add ssl profile <name> [-sslProfileType ( BackEnd | FrontEnd )]
<!--NeedCopy-->
- 既存のプロファイルを変更するには、次のように入力します。
set ssl profile <name>
<!--NeedCopy-->
- 既存のプロファイルを設定解除するには、次のように入力します。
unset ssl profile <name> [-dh] [-dhFile] [-dhCount] [-eRSA]…
<!--NeedCopy-->
- エンティティから既存のプロファイルを設定解除するには、次のように入力します。
unset ssl vserver <vServerName> –sslProfile
<!--NeedCopy-->
- 既存のプロファイルを削除するには、次のように入力します。
rm ssl profile <name>
<!--NeedCopy-->
- 既存のプロファイルを表示するには、次のように入力します。
sh ssl profile <name>
<!--NeedCopy-->
GUI を使用した SSL プロファイルの作成
[システム] > [プロファイル] に移動し、[SSL プロファイル] タブを選択して SSL プロファイルを作成します。
クライアント証明書の検証の厳密な制御を可能にする
Citrix ADCアプライアンスは、単一のルートCAが証明書を発行した場合、有効な中間CA証明書を受け入れます。つまり、ルートCA証明書のみが仮想サーバーにバインドされており、ルートCAがクライアント証明書とともに送信された中間証明書のいずれかを検証する場合、アプライアンスは証明書チェーンを信頼し、ハンドシェイクは成功します。
ただし、クライアントがハンドシェイクで証明書のチェーンを送信する場合、その証明書がSSL仮想サーバーにバインドされている場合にのみ、CRLまたはOCSPレスポンダーを使用して中間証明書を検証できます。したがって、中間証明書の 1 つが失効しても、ハンドシェイクは成功します。ハンドシェイクの一部として、SSL 仮想サーバーは、バインドされている CA 証明書のリストを送信します。より厳密に制御するために、SSL仮想サーバーを構成して、その仮想サーバーにバインドされているCA証明書の1つが署名した証明書のみを受け入れるようにすることができます。これを行うには、仮想サーバーにバインドされたSSLプロファイルで ClientAuthUseBoundCAChain 設定を有効にする必要があります。仮想サーバーにバインドされているCA証明書の1つがクライアント証明書に署名していない場合、ハンドシェイクは失敗します。
たとえば、clientcert1 と clientcert2 の 2 つのクライアント証明書が、それぞれ中間証明書 Int-CA-A とInt-CA-B によって署名されているとします。中間証明書は、ルート証明書 Root-CA によって署名されます。Int-CA-A とルート CA は SSL 仮想サーバーにバインドされます。既定の場合 (クライアント認証の境界キャッシュが無効の場合)、クライアント 1 とクライアント 2 の両方が受け入れられます。ただし、ClientAuthUseBoundCAChainが有効になっている場合、Citrix ADCアプライアンスはclientcert1のみを受け入れます。
CLI を使用したクライアント証明書の検証の厳密な制御の有効化
コマンドプロンプトで、次のように入力します。 set ssl profile <name> -ClientAuthUseBoundCAChain Enabled
GUI を使用したクライアント証明書の検証の厳密な制御の有効化
- [システム] > [プロファイル] に移動し、[SSL プロファイル] タブを選択して SSL プロファイルを作成するか、既存のプロファイルを選択します。
- [バインドされた CA チェーンを使用したクライアント認証を有効にする] を選択します。