SSLプロファイル
SSLプロファイルは、暗号やプロトコルなどのSSL設定の集合です。複数のサーバーで共通の設定を使用する場合に、プロファイルは役立ちます。各サーバーに同じ設定を指定する代わりに、プロファイルを作成し、そのプロファイルで設定を指定してから、そのプロファイルを異なるサーバーにバインドできます。カスタムのフロントエンドSSLプロファイルが作成されていない場合、デフォルトのフロントエンドプロファイルがクライアント側のエンティティにバインドされます。このプロファイルを使用すると、クライアント側の接続を管理するための設定を構成できます。SSLインターセプトの場合、SSLプロファイルを作成し、そのプロファイルでSSLインターセプト(SSLi)を有効にする必要があります。デフォルトの暗号グループがこのプロファイルにバインドされていますが、展開に合わせてさらに多くの暗号を構成できます。SSLi CA証明書をこのプロファイルにバインドし、次にそのプロファイルをプロキシサーバーにバインドする必要があります。SSLインターセプトの場合、プロファイル内の重要なパラメーターは、オリジンサーバー証明書のOCSPステータスをチェックするため、オリジンサーバーが再ネゴシエーションを要求した場合にクライアントの再ネゴシエーションをトリガーするため、およびフロントエンドSSLセッションを再利用する前にオリジンサーバー証明書を検証するために使用されるものです。オリジンサーバーと通信する際は、デフォルトのバックエンドプロファイルを使用する必要があります。暗号スイートなどのサーバー側パラメーターは、デフォルトのバックエンドプロファイルで設定します。カスタムのバックエンドプロファイルはサポートされていません。
最も一般的に使用されるSSL設定の例については、このセクションの最後にある「サンプルプロファイル」を参照してください。
内部ネットワークと外部ネットワークでは、暗号/プロトコルのサポートが異なります。次の表では、ユーザーとSWGアプライアンス間の接続が内部ネットワークです。外部ネットワークは、アプライアンスとインターネット間の接続です。
表1:内部ネットワークの暗号/プロトコルサポートマトリックス
| (暗号/プロトコル)/プラットフォーム | MPX (N3)* | VPX |
|---|---|---|
| TLS 1.1/1.2 | 12.1 | 12.1 |
| ECDHE/DHE(例 TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
| AES-GCM(例 TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
| SHA-2暗号(例 TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
| ECDSA(例 TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | 12.1 |
表2:外部ネットワークの暗号/プロトコルサポートマトリックス
| (暗号/プロトコル)/プラットフォーム | MPX (N3)* | VPX |
|---|---|---|
| TLS 1.1/1.2 | 12.1 | 12.1 |
| ECDHE/DHE(例 TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
| AES-GCM(例 TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
| SHA-2暗号(例 TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
| ECDSA(例 TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | サポートされていません |
* sh hardware (show hardware) コマンドを使用して、アプライアンスにN3チップが搭載されているかどうかを識別します。
例:
sh hardware
Platform: NSMPX-22000 16*CPU+24*IX+12*E1K+2*E1K+4*CVM N3 2200100
Manufactured on: 8/19/2013
CPU: 2900MHZ
Host Id: 1006665862
Serial no: ENUK6298FT
Encoded serial no: ENUK6298FT
Done
<!--NeedCopy-->
Citrix® SWG CLI を使用したSSLプロファイルの追加とSSLインターセプトの有効化
コマンドプロンプトで、次のように入力します。
add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>
引数:
sslInterception:
SSLセッションのインターセプトを有効または無効にします。
指定可能な値:ENABLED、DISABLED
デフォルト値:DISABLED
ssliReneg:
オリジンサーバーから再ネゴシエーション要求を受信したときに、クライアントの再ネゴシエーションをトリガーするかどうかを有効または無効にします。
指定可能な値:ENABLED、DISABLED
デフォルト値:ENABLED
ssliOCSPCheck:
オリジンサーバー証明書のOCSPチェックを有効または無効にします。
指定可能な値:ENABLED、DISABLED
デフォルト値:ENABLED
ssliMaxSessPerServer:
動的オリジンサーバーごとにキャッシュされるSSLセッションの最大数。クライアントのhelloメッセージでクライアントから受信したSNI拡張ごとに、一意のSSLセッションが作成されます。一致するセッションは、サーバーセッションの再利用に使用されます。
デフォルト値:10
最小値:1
最大値:1000
例:
add ssl profile swg_ssl_profile -sslinterception ENABLED
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Citrix SWG CLI を使用したSSLプロファイルへのSSLインターセプトCA証明書のバインド
コマンドプロンプトで、次のように入力します。
bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >
例:
bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
Done
<!--NeedCopy-->
Citrix SWG GUI を使用したSSLプロファイルへのSSLインターセプトCA証明書のバインド
- System > Profiles > SSL Profile に移動します。
- Add をクリックします。
- プロファイルの名前を指定します。
- SSL Sessions Interception を有効にします。
- OK をクリックします。
- Advanced Settings で、Certificate Key をクリックします。
- プロファイルにバインドするSSLi CA証明書キーを指定します。
- Select をクリックし、次に Bind をクリックします。
- 必要に応じて、展開に合わせて暗号を構成します。
- 編集アイコンをクリックし、次に Add をクリックします。
- 1つ以上の暗号グループを選択し、右矢印をクリックします。
- OK をクリックします。
- Done をクリックします。
Citrix SWG GUI を使用したプロキシサーバーへのSSLプロファイルのバインド
- Secure Web Gateway > Proxy Servers に移動し、新しいサーバーを追加するか、変更するサーバーを選択します。
- SSL Profile で、編集アイコンをクリックします。
- SSL Profile リストで、以前に作成したSSLプロファイルを選択します。
- OK をクリックします。
- Done をクリックします。
サンプルプロファイル:
Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->