SSLエラーの自動学習
Citrix® SWGアプライアンスは、学習モードがオンの場合、ドメインをSSLバイパスリストに追加します。学習モードは、クライアントまたはオリジンサーバーのいずれかから受信したSSLアラートメッセージに基づいています。つまり、学習はクライアントまたはサーバーがアラートメッセージを送信することに依存します。アラートメッセージが送信されない場合、学習は行われません。アプライアンスは、以下のいずれかの条件が満たされた場合に学習します。
- サーバーからクライアント証明書のリクエストを受信した場合
- ハンドシェイクの一部として、以下のいずれかのアラートを受信した場合
- BAD_CERTIFICATE
- UNSUPPORTED_CERTIFICATE
- CERTIFICATE_REVOKED
- CERTIFICATE_EXPIRED
- CERTIFICATE_UNKNOWN
- UNKNOWN_CA (クライアントがピニングを使用している場合、サーバー証明書を受信するとこのアラートメッセージを送信します)
- HANDSHAKE_FAILURE
学習を有効にするには、エラーキャッシュを有効にし、そのために予約するメモリを指定する必要があります。
Citrix SWG GUIを使用した学習の有効化
- Secure Web Gateway > SSL に移動します
- Settings で、Change advanced SSL settings をクリックします
- SSL Interception で、SSL Interception Error Cache を選択します
-
SSL Interception Max Error Cache Memory で、予約するメモリ (バイト単位) を指定します
- OK をクリックします
Citrix SWG CLIを使用した学習の有効化
コマンドプロンプトで次のように入力します。
set ssl parameter -ssliErrorCache ( ENABLED | DISABLED ) -ssliMaxErrorCacheMem <positive_integer>
<!--NeedCopy-->
引数:
ssliErrorCache: 動的学習を有効または無効にし、学習した情報をキャッシュして、その後のリクエストのインターセプトまたはバイパスの決定を行います。有効にすると、アプライアンスはキャッシュルックアップを実行して、リクエストをバイパスするかどうかを決定します。
指定可能な値: `ENABLED, DISABLED`
デフォルト値: `DISABLED`
ssliMaxErrorCacheMem: 学習済みデータをキャッシュするために使用できる最大メモリをバイト単位で指定します。このメモリはLRUキャッシュとして使用され、設定されたメモリ制限が使い果たされると、古いエントリが新しいエントリに置き換えられます。値0は制限を自動的に決定します。
デフォルト値: 0
最小値: 0
最大値: 4294967294
コピー完了
コピー失敗