This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
SSL圧縮を構成する
Citrix SD-WAN WANOP SSL圧縮機能を使用すると、SSL接続(HTTPSトラフィックなど)のマルチセッション圧縮が可能になり、最大10, 000:1 の圧縮率が提供されます。詳細については、 SSL 圧縮を参照してください。
SSL 圧縮が機能するには、SD-WAN WANOP アプライアンスにサーバーまたはクライアントからの証明書が必要です。複数のサーバーをサポートするために、SSLプロファイルごとに1つずつ、複数の秘密鍵をアプライアンスにインストールできます。サービスクラス定義の特別なSSLルールは、サーバーをSSLプロファイルに一致させ、SSLプロファイルを秘密鍵に一致させます。
SSL圧縮は、スプリットプロキシモードまたはトランスペアレントプロキシモードで機能します。要件に応じてモードを選択できます。詳細については、「 SSL 圧縮の仕組み」を参照してください。
注
透過プロキシモードは現在サポートされていません。
SSLトンネルによる安全なアクセスを可能にするために、最新のSSLプロトコルTLS1.2がSSLプロキシで使用されます。TLS1.2プロトコルのみを使用するか、TLS1.0、TLS1.1、およびTLS1.2プロトコルを使用するかを選択できます。
注
SSLプロトコルSSLv3およびSSLv2はサポートされなくなりました。
SSL圧縮を構成するには:
-
サーバーのCA証明書と秘密証明書とキーのペアのコピーを取得し、サーバー側のアプライアンスにインストールします。これらの資格情報は、アプリケーション固有である可能性があります。つまり、サーバーは、ApacheWebサーバーとRPC over HTTPSを実行しているExchange Serverの資格情報が異なる場合があります。
-
分割プロキシSSLプロファイルまたは透過プロキシSSLプロファイルの作成を選択できます。
スプリットプロキシ SSL プロファイルの設定については、後述の「 スプリットプロキシ SSL プロファイルの設定 」の項を参照してください。
透過プロキシ SSL プロファイルの設定については、後述の「 透過プロキシ SSL プロファイルの設定 」の項を参照してください。
注
透過プロキシSSLプロファイルは現在サポートされていません。
-
SSLプロファイルをサーバー側アプライアンスのサービスクラスにアタッチします。これは、サーバーIPに基づいて新しいサービスクラスを作成するか、既存のサービスクラスを変更することによって実行できます。
詳細については、後述の「 サービスクラスの作成または変更」の項を参照してください 。
-
クライアント側アプライアンスでサービスクラスを設定します。SSLトラフィックは、アクセラレーションと圧縮を可能にするクライアント側アプライアンスのサービスクラスに分類されない限り、圧縮されません。これは、SSLルールではなく通常のサービスクラスルールにすることができます(サーバー側アプライアンスのみがSSLルールを必要とします)が、アクセラレーションと圧縮を有効にする必要があります。トラフィックは、「HTTPS」や「その他の TCP トラフィック」などの既存のサービスクラスに分類されます。このクラスのポリシーでアクセラレーションと圧縮が有効になっている場合、追加の構成は必要ありません。
-
ルールの動作を確認します。アプライアンスを介してSSLアクセラレーションを受信する必要があるトラフィックを送信します。サーバー側アプライアンスの[監視]:[最適化]:[接続]:[アクセラレーション接続]タブで、[サービスクラス]列は安全なアクセラレーション用に設定したサービスクラスと一致し、[SSLプロキシ]列には適切な接続の場合はTrueが表示されます。
スプリットプロキシ SSL プロファイルの設定
分割プロキシSSLプロファイルを構成するには:
-
サーバー側のNetscaler SD-WAN WOアプライアンスで、[ 構成 ]>[ セキュアアクセラレーション ]>[ SSLプロファイル ]に移動し、[ プロファイルの追加]をクリックします。
注
SSLプロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートすることができます。
-
[ プロファイル名 ] フィールドに SSL プロファイルの名前を入力し、[ プロファイル有効] を選択します。
-
SSL サーバが複数の仮想ホスト名を使用している場合は、[仮想ホスト名( Virtual Host Name )] フィールドに、ターゲットの仮想ホスト名を入力します。これは、サーバーの資格情報にリストされているホスト名です。
注
複数の仮想ホストをサポートするには、ホスト名ごとに個別のSSLプロファイルを作成します。
-
[ プロキシタイプを分割 ] を選択します。
-
「 証明書の検証 」フィールドで、ポリシーで特に指定されていない限り、デフォルト値(署名/有効期限)のままにします。
-
サーバー側のプロキシ構成を実行します。
[ 検証ストア ] フィールドで、既存のサーバ認証局 (CA) を選択するか、[ + ] をクリックしてサーバ CA をアップロードします。
[ 認証が必要 ] を選択し、[ 証明書/秘密キー ] フィールドで証明書キーペアを選択するか、[ + ] をクリックして証明書キーペアをアップロードします。
[プロトコルバージョン( Protocol Version )] フィールドで、サーバが受け入れるプロトコルを選択します。
注
NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、 またはTLS1.2の組み合わせのみをサポートします 。SSL プロトコル SSLv3 および SSLv2 はサポートされていません。
必要に応じて、OpenSSL 構文を使用して、 暗号仕様の文字列を編集します 。
必要に応じて、[再ネゴシエーションタイプ(Rnegotiation Type)] ドロップダウンリストから再ネゴシエーションのタイプを選択し 、クライアント側の SSL セッションの再ネゴシエーションを許可します。
-
クライアント側のプロキシ構成を実行します。
[ 証明書/秘密キー ] フィールドで、デフォルト値をそのまま使用します。
サーバー側アプライアンスで SSL 証明書チェーンを構築できるようにするには 、[証明書チェーンの構築] を選択します。
必要に応じて、証明書チェーンストアとして使用するCAストアを選択またはアップロードします。
[ プロトコルバージョン (Protocol Version)] フィールドで、クライアント側でサポートするプロトコルバージョンを選択します。
注
NetScaler SD-WAN WOは、 TLS1.0、TLS1.1またはTLS1.2、 またはTLS1.2の組み合わせのみをサポートします 。SSL プロトコル SSLv3 および SSLv2 はサポートされていません。
必要に応じて、クライアント側の暗号仕様を編集します。
必要に応じて、[再ネゴシエーションタイプ(Rnegotiation Type)] ドロップダウンリストから再ネゴシエーションのタイプを選択し 、クライアント側の SSL セッションの再ネゴシエーションを許可します。
-
[作成] をクリックします。
トランスペアレントプロキシ SSL プロファイルの設定
透過プロキシSSLプロファイルを構成するには:
-
サーバー側のNetscaler SD-WAN WOアプライアンスで、[ 構成 ]>[ セキュアアクセラレーション ]>[ SSLプロファイル ]に移動し、[ プロファイルの追加]をクリックします。
注
SSLプロファイルを手動で追加するか、ローカルコンピューターに保存されているプロファイルをインポートすることができます。
-
[ プロファイル名(Profile Name )] フィールドに SSL プロファイルの名前を入力し、[プロファイル有効(Profile Enabled)] を選択します。
-
SSL サーバが複数の仮想ホスト名を使用している場合は、[仮想ホスト名( Virtual Host Name )] フィールドに、ターゲットの仮想ホスト名を入力します。これは、サーバーの資格情報にリストされているホスト名です。
注
複数の仮想ホストをサポートするには、ホスト名ごとに個別のSSLプロファイルを作成します。
-
トランスペアレントプロキシタイプを選択します 。
-
[ SSL サーバーの秘密鍵 ] フィールドで、ドロップダウンメニューからサーバーの秘密鍵を選択するか、[ + ] をクリックして新しい秘密鍵をアップロードします。
-
[作成] をクリックします。
サービスクラスの作成または変更
サービスクラスを作成または変更してSSLプロファイルを添付するには:
- Netscaler SD-WAN WOアプライアンスのWebインターフェイスで、[ 構成]>[最適化ルール]>[サービスクラス ]の順に移動し、[ 追加]をクリックします。既存のサービスクラスを編集するには、該当するサービスクラスを選択し、[ Edit] をクリックします。
- [Name] フィールドに、新しいサービスクラスの名前(「アクセラレーションHTTPS」など)を入力します。
- アクセラレーションポリシーを [ ディスク、 メモリ 、 またはフロー制御] に設定して、圧縮を有効にします。
- [ フィルタルール ] セクションで、[ 追加] をクリックします。
- [ 宛先 IP アドレス] フィールドに、サーバーの IP アドレスを入力します (たとえば、172.16.0.1 または 172.16.0.1/32.1 など)。[ 方向 ] フィールドで、ルールを [単方向] に設定します。双方向が指定されている場合、SSLプロファイルは無効になります。
- [ SSL プロファイル ] セクションで、作成した SSL プロファイルを選択し、[ 構成済み ] セクションに移動します。
- [ Create ] をクリックしてルールを作成します。
- [ Create ] をクリックして、サービスクラスを作成します。
更新されたCLIコマンド
NetScaler SD-WAN WO 9.3は、最新のTLS1.2 SSLプロトコルをサポートしています。TLS1.2プロトコルのみを使用するか、TLSプロトコルの任意のバージョンを使用するかを選択できます。SSLプロトコルSSLv3とSSLv2、および透過プロキシSSLプロファイルはサポートされていません。 追加 ssl-profile および set ssl-profile CLI コマンドが更新され、これらの変更が反映されます。
- \*add ssl-profile\*
- \*name "profile-name"\*
- \*-state {enable, disable}\*
- \*-proxy-type split\*
- \*-virtual-hostname "hostname"\*
- \*-cert-key "cert-key-pair-name"\*
- \*[-build-cert-chain {enable, disable}]\*
- \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*
- \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*
- \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*
- \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*
- \*[-server-side-protocol { TLS-1.2, TLS-version-any}]\*
- \*[-server-side-ciphers "ciphers"]\*
- \*[-server-side-authentication {enable, disable}]\*
- \*[-server-side-cert-key "cert-key-pair-name"]\*
- \*[-server-side-build-cert-chain {enable, disable}]\*
- \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*
- \*compatible}\* \*[-client-side-protocol-version { TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*
- \*set ssl-profile\*
- \*-name "profile-name" [-state {enable, disable}]\*
- \*[-proxy-type split]\*
- \*[-virtual-hostname "hostname"]\*
- \*[-cert-key "cert-key-pair-name"]\*
- \*[-build-cert-chain {enable, disable}]\*
- \*[-cert-chain-store {use-all-configured-CA-stores, "store-name"}]\*
- \*[-cert-verification {none, Signature/Expiration, Signature/Expiration/\*
- \*Common-Name-White-List, Signature/Expiration/Common-Name-Black-List}]\*
- \*[-verification-store {use-all-configured-CA-stores, "store-name"}]\*
- \*[-server-side-protocol {TLS-1.2, TLS-version-any}]\*
- \*[-server-side-ciphers "ciphers"]\*
- \*[-server-side-authentication {enable, disable}]\*
- \*[-server-side-cert-key "cert-key-pair-name"]\*
- \*[-server-side-build-cert-chain {enable, disable}]\*
- \*[-server-side-renegotiation {disable-old-style, enable-old-style, new-style,\*
\*compatible}]\* \*[-client-side-protocol-version {TLS-1.2, TLS-version-any}]\* \*[-client-side-ciphers "ciphers"]\* \*[-client-side-renegotiation {disable-old-style, enable-old-style, new-style,\* \*compatible}]\*
<!--NeedCopy-->
その他の SSL 構成コマンドは変更されません。詳細については、「 SSL 設定」を参照してください。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.