This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
SSL圧縮のしくみ
サーバー側アプライアンスはエンドポイントサーバーの セキュリティデリゲート として機能するため、SSL圧縮は接続のクリアテキストデータにアクセスできます。この動作が可能なのは、サーバー側アプライアンスがサーバーのセキュリティ資格情報(秘密鍵と証明書)のコピーで構成されており、サーバーに代わって動作できるようにしているためです。クライアントにとって、この動作はエンドポイントサーバーと直接通信することと同じです。
アプライアンスはサーバーのセキュリティデリゲートとして機能しているため、ほとんどの構成はサーバー側アプライアンスで行われます。クライアント側アプライアンス(またはプラグイン)はサーバー側アプライアンスのサテライトとして機能し、サーバーごとの構成を必要としません。
サーバー側とクライアント側のアプライアンスは、 SSLシグナリング接続を介してセッションステータスを共有します。元の接続が暗号化されているかどうかに関係なく、2つのアプライアンス間のすべての高速接続は SSLデータ接続を 介して送信されます。
注:SSL圧縮は、必ずしもすべてのリンクトラフィックを暗号化するわけではありません。元々暗号化されていたトラフィックは暗号化されたままですが、暗号化されていないトラフィックは常に暗号化されるとは限りません。アプライアンスは、加速されていないトラフィックを暗号化しようとはしません。特定の接続が高速化されるという絶対的な保証はないため(さまざまなイベントが高速化を妨げる)、アプライアンスが特定の暗号化されていない接続を暗号化するという保証はありません。
SSL圧縮は、透過プロキシまたは分割プロキシの2つのモードのいずれかで動作します。これらの2つのモードは、わずかに異なるSSL機能をサポートします。特定のアプリケーションに必要な機能を提供するモードを選択します。
使用するSSLプロキシモード-真のクライアント認証(つまり、個々のエンドポイントクライアントを正しく識別する認証)が必要で、Diffie-Hellman、Temp RSA、TLSセッションチケット、SSLバージョン2、またはセッションの再ネゴシエーションが必要 ない 場合にのみSSL透過プロキシモードを使用 し ます。他のすべての展開にはSSL分割プロキシを使用します。
SSL透過プロキシ
SSL透過プロキシモード (Citrix SD-WAN WANOPプラグインの透過モードと混同しないでください)では、サーバー側のアプライアンスがサーバーになりすます。サーバーの資格情報(証明書とキーのペア)は、サーバーに代わって動作できるようにサーバー側のアプライアンスにインストールされます。次に、サーバー側アプライアンスは、接続のクライアント側を処理するようにクライアント側アプライアンスを構成します。サーバーの資格情報は、クライアント側のアプライアンスにインストールされていません。
このモードでは真のクライアント認証がサポートされていますが、TempRSAとDiffie-Hellmanはサポートされていません。SSL透過プロキシモードは、クライアント認証を必要とするアプリケーションに適していますが、次の機能のいずれも必要とされない場合に限ります:Diffie-Hellman、Temp RSA、TLSセッションチケット、SSLバージョン2。また、セッションの再ネゴシエーションを試行しないでください。そうしないと、接続が終了します。
クライアント側アプライアンスでの構成は不要であり(サーバー側アプライアンスとの安全なピアリング関係の構成を除く)、サーバーと直接通信しているかのように接続を処理するクライアントでの構成も必要ありません。
SSL分割プロキシ
SSL分割プロキシモード は、多くのアプリケーションで必要とされるTemp RSAとDiffie-Hellmanをサポートしているため、ほとんどの場合に推奨されます。SSL分割プロキシモードでは、サーバー側アプライアンスはサーバーからクライアントへ、およびクライアントからサーバーへのマスカレードを行います。サーバー側のアプライアンスにサーバーの資格情報(証明書とキーのペア)をインストールして、サーバーに代わって動作できるようにします。
分割プロキシモードは、オプションのクライアント資格情報をインストールした場合にもプロキシクライアント認証をサポートします。オプションのクライアント資格情報は、クライアント認証を要求した場合にエンドポイントサーバーアプリケーションに提示されます。これらのクライアント資格情報は、実際のエンドポイントクライアントの資格情報の代わりに表示されます。(エンドポイントクライアントの資格情報がアプリケーションで必要な場合は、透過プロキシを使用します。)
このモードでは真のクライアント認証がサポートされていないため、サーバーは実際のエンドポイントクライアントを認証できません。サーバー側アプライアンスがクライアント資格情報で構成されていない場合、サーバー側アプリケーションによるクライアント認証の試行はすべて失敗します。サーバー側アプライアンスがクライアント資格情報で構成されている場合、実際のクライアントのIDに関係なく、クライアント認証のすべての要求はこれらの資格情報で応答されます。
クライアント側アプライアンスでの構成は必要ありません(サーバー側アプライアンスとの安全なピアリング関係の構成を除く)。また、接続をサーバーと直接通信しているかのように扱うクライアントでの構成も必要ありません。サーバー側アプライアンスのサーバー資格情報は、クライアント側アプライアンスにインストールされていません。
複数のサーバーをサポートするために、SSLプロファイルごとに1つずつ、複数のプライベート証明書とキーのペアをアプライアンスにインストールできます。サービスクラス定義の特別なSSLルールは、サーバーをSSLプロファイルに一致させ、SSLプロファイルを資格情報に一致させます。
SSL分割プロキシモードでは、CA証明書と証明書とキーのペア、およびCA証明書は、実際にはサーバーのものと一致する必要はありませんが、一致する必要があります。分割プロキシの性質上、サーバー側アプライアンスは、クライアントアプリケーションに受け入れられる資格情報(信頼できる機関によって発行された有効な資格情報)を使用できます。HTTPS接続の場合、共通名がURLのドメイン名と一致しないと、Webブラウザーは警告を発行することに注意してください。一般に、サーバーの資格情報のコピーを使用する方が問題のないオプションです。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.