SSLポリシー
Citrix ADCアプライアンスのポリシーは、処理する特定の接続を識別するのに役立ちます。処理は、その特定のポリシーに対して設定されたアクションに基づいて行われます。ポリシーを作成し、そのアクションを設定したら、次のいずれかを実行する必要があります。
- ポリシーをアプライアンス上の仮想サーバにバインドして、その仮想サーバを通過するトラフィックにのみ適用されるようにします。
- ポリシーをグローバルにバインドして、Citrix ADCアプライアンスで構成された仮想サーバーを通過するすべてのトラフィックに適用します。
Citrix ADCアプライアンスのSSL機能は、高度なポリシー(詳細)ポリシーをサポートします。高度なポリシー式の詳細、その仕組み、および手動での設定方法の詳細については、「 ポリシーと式」を参照してください。SSL 式の詳細については、「 高度なポリシー式:SSL の解析」を参照してください。
注:
CLI でのポリシーの設定に慣れていないユーザは、通常、設定ユーティリティの使用がかなり簡単になります。
SSL ポリシーでは、ポリシーの作成時にアクションを指定できるように、ポリシーを作成する前にアクションを作成する必要があります。 SSL Advanced ポリシーでは、組み込みアクションを使用することもできます。組み込みアクションの詳細については、 SSL 組み込みアクションとユーザー定義アクションを参照してください。
SSL 詳細ポリシー
SSL アドバンスドポリシーは、高度なポリシーとも呼ばれ、要求に対して実行されるコントロールまたはデータアクションを定義します。したがって、SSL ポリシーは、制御ポリシーとデータポリシーに分類できます。
- 制御ポリシー。制御ポリシーは、クライアント認証の強制などの制御アクションを使用します。 注:リリース 10.5 以降では、SSL 再ネゴシエーションの拒否(denySSLreneg)はデフォルトで ALL に設定されます。ただし、CLIENTEAUTH などの制御ポリシーは、再ネゴシエーションハンドシェイクをトリガーします。このようなポリシーを使用する場合は、denySSLreneg を NO に設定する必要があります。
- データポリシー。データポリシーは、リクエストへのデータの挿入などのデータアクションを使用します。
ポリシーの重要なコンポーネントは、式とアクションです。式は、アクションが実行されるリクエストを識別します。
高度なポリシーは、組み込みアクションまたはユーザー定義アクションで構成できます。別のアクションを作成しなくても、組み込みアクションを使用してポリシーを設定できます。ただし、ユーザ定義アクションを使用してポリシーを設定するには、まずアクションを設定してから、ポリシーを設定します。
リクエストに式を適用した結果が未定義である場合に実行される、UNDEF アクションと呼ばれる追加のアクションを指定できます。
SSL ポリシー設定
SSL 詳細ポリシーは、CLI および GUI を使用して設定できます。
CLI を使用して SSL ポリシーを設定する
コマンドプロンプトで入力します。
add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->
GUI を使用した SSL ポリシーの設定
[ トラフィック管理] > [SSL] > [ポリシー ] に移動し、[ ポリシー ] タブで [ 追加] をクリックします。
TLS1.3 プロトコルでの SSL ポリシーのサポート
リリース 13.0 ビルド 71.x 以降から、TLS1.3 プロトコルを使用した SSL ポリシーのサポートが追加されました。TLSv1.3 プロトコルが接続に対してネゴシエートされると、クライアントから受信した TLS データを検査するポリシールールが、設定されたアクションをトリガーするようになりました。
たとえば、次のポリシールールが true を返した場合、トラフィックはアクションで定義された仮想サーバーに転送されます。
add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
<!--NeedCopy-->
制限事項
- 制御ポリシーはサポートされていません。
- 次のアクションはサポートされていません。
- DOCLIENTAUTH
- NOCLIENTAUTH
- caCertGrpName
- clientCertVerification
- ssllogProfile