SSL プロファイル
SSL プロファイルは、暗号やプロトコルなどの SSL 設定の集まりです。プロファイルは、異なるサーバーに共通の設定がある場合に役立ちます。各サーバーに同じ設定を指定する代わりに、プロファイルを作成し、プロファイルに設定を指定し、プロファイルを別のサーバーにバインドできます。カスタムフロントエンド SSL プロファイルが作成されない場合、既定のフロントエンドプロファイルは、クライアント側のエンティティにバインドされます。このプロファイルを使用すると、クライアント側の接続を管理するための設定を構成できます。SSL インターセプションの場合は、SSL プロファイルを作成し、プロファイルで SSLインターセプション (SSLi) を有効にする必要があります。デフォルトの暗号グループはこのプロファイルにバインドされますが、展開に合わせてさらに多くの暗号を設定できます。SSLi CA 証明書をこのプロファイルにバインドし、プロファイルをプロキシサーバーにバインドする必要があります。SSLインターセプションの場合、プロファイルの重要なパラメーターは、オリジナル・サーバー証明書の OCSP ステータスの確認、オリジナル・サーバーが再ネゴシエーションを要求した場合のクライアントの再ネゴシエーションのトリガー、フロントエンドの SSL セッションを再利用する前にオリジナル・サーバー証明書の検証に使用されるパラメーターです。オリジンサーバーと通信するときは、デフォルトのバックエンドプロファイルを使用する必要があります。デフォルトのバックエンドプロファイルで、暗号スイートなどのサーバ側パラメータを設定します。カスタムバックエンドプロファイルはサポートされません。
最も一般的に使用される SSL 設定の例については、このセクションの最後の「サンプルプロファイル」を参照してください。
暗号/プロトコルのサポートは、内部ネットワークと外部ネットワークによって異なります。次の表では、ユーザーとSWGアプライアンス間の接続は内部ネットワークです。外部ネットワークは、アプライアンスとインターネットの間にあります。
表1:内部ネットワークの暗号/プロトコルサポートマトリックス
| (Cipher/protocol)/Platform | MPX (N3)* | VPX |
|---|---|---|
| TLS 1.1/1.2 | 12.1 | 12.1 |
| ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
| AES-GCM(Example TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
| SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
| ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | 12.1 |
表2:外部ネットワークの暗号/プロトコルサポートマトリックス
| (Cipher/protocol)/Platform | MPX (N3)* | VPX |
|---|---|---|
| TLS 1.1/1.2 | 12.1 | 12.1 |
| ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
| AES-GCM(Example TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
| SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
| ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | 未サポート |
* sh hardware (show hardware)コマンドを使用して、アプライアンスに N3 チップがあるかどうかを確認します。
例:
sh hardware
Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
Manufactured on: 8/19/2013
CPU: 2900MHZ
Host Id: 1006665862
Serial no: ENUK6298FT
Encoded serial no: ENUK6298FT
Done
Citrix SWG CLIを使用してSSLプロファイルを追加し、SSLインターセプトを有効にする
コマンドプロンプトで、次のように入力します。
add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>
引数:
sslInterception:
SSL セッションのインターセプションを有効または無効にします。
設定可能な値:ENABLED, DISABLED
デフォルト値: 無効
ssliReneg:
オリジンサーバーから再ネゴシエーション要求を受信したときのクライアント再ネゴシエーションのトリガーを有効または無効にします。
設定可能な値:ENABLED, DISABLED
デフォルト値:ENABLED
ssliOCSPCheck:
オリジンサーバー証明書の OCSP チェックを有効または無効にします。
設定可能な値:ENABLED, DISABLED
デフォルト値:ENABLED
サーバごとの最大サイズ:
動的オリジンサーバーごとにキャッシュされる SSL セッションの最大数。クライアント hello メッセージでクライアントから受信した SNI拡張ごとに、一意の SSL セッションが作成されます。一致するセッションは、サーバーセッションの再利用に使用されます。
デフォルト値:10
最小値:1
最大値:1000
例:
add ssl profile swg_ssl_profile -sslinterception ENABLED
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
Done
Citrix SWG CLIを使用してSSLインターセプトCA証明書をSSLプロフルにバインドする
コマンドプロンプトで、次のように入力します。
bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >
例:
bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
Done
Citrix SWG GUIを使用してSSLインターセプトCA証明書をSSLプロフルにバインドする
-
[ システム ] > [ プロファイル ] > [ SSL プロファイル] に移動します。
-
[追加] をクリックします。
-
プロファイルの名前を指定します。
-
SSL セッションインターセプションを有効にします。
-
[OK] をクリックします。
-
[詳細設定]で、[証明書キー] をクリックします。
-
プロファイルにバインドする SSLi CA 証明書キーを指定します。
-
[選択] をクリックし、[バインド] をクリックします。
-
オプションで、展開に合わせて暗号を設定します。
- 編集アイコンをクリックし、[追加] をクリックします。
- 1 つ以上の暗号グループを選択し、右矢印をクリックします。
- [OK] をクリックします。
-
[完了] をクリックします。
Citrix SWG GUIを使用してSSLプロファイルをプロキシサーバーにバインドする
- [ Secure Web Gateway ] > [ プロキシサーバー] に移動し、新しいサーバーを追加するか、変更するサーバーを選択します。
- [SSL プロファイル] で、[編集] アイコンをクリックします。
- [SSL プロファイル] リストで、前に作成した SSL プロファイルを選択します。
- [OK] をクリックします。
- [完了] をクリックします。
サンプルプロファイル:
Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert