ADC
感谢您提供反馈

这篇文章已经过机器翻译.放弃

SSL 策略

NetScaler 设备上的策略有助于识别您要处理的特定连接。处理基于为该特定策略配置的操作。创建策略并为其配置操作后,必须执行以下操作之一:

  • 将策略绑定到设备上的虚拟服务器,以便它仅适用于流经该虚拟服务器的流量。
  • 全局绑定策略,以便将其应用于流经 NetScaler 设备上配置的任何虚拟服务器的所有流量。

NetScaler 设备 SSL 功能支持高级策略(高级)策略。有关高级策略表达式、其工作方式以及如何手动配置它们的完整说明,请参阅 策略和表达式。有关 SSL 表达式的更多信息,请参阅 高级策略表达式:解析 SSL

注意:

在 CLI 配置策略方面没有经验的用户通常会发现使用配置实用程序要容易得多。

SSL 策略要求您在创建策略之前创建操作,以便在创建策略时指定操作。 在 SSL 高级策略中,您还可以使用内置操作。有关内置操作的更多信息,请参阅 SSL 内置操作和用户定义的操作

SSL 高级策略

SSL Advanced 策略(也称为高级策略)定义要对请求执行的控制或数据操作。因此,SSL 策略可以归类为控制策略和数据策略:

  • 控制策略。控制策略使用控制操作,例如强制进行客户端身份验证。 注意:在 10.5 或更高版本中,默认情况下,拒绝 SSL 重新协商 (denysslreneG) 设置为“全部”。但是,控制策略(例如 CLIENTAUTH)会触发重新协商握手。如果您使用此类策略,则必须将 denysslreneg 设置为 NO。
  • 数据策略。数据策略使用数据操作,例如在请求中插入一些数据。

策略的基本组成部分是表达和操作。表达式标识要对其执行操作的请求。

您可以使用内置操作或用户定义的操作来配置 Advanced 策略。您可以使用内置操作配置策略,而无需创建单独的操作。但是,要使用用户定义的操作配置策略,请先配置操作,然后配置策略。

您可以指定在将表达式应用于请求产生未定义结果时要执行的额外操作,称为 UNDEF 操作。

SSL 策略配置

您可以使用 CLI 和 GUI 配置 SSL 高级策略。

使用 CLI 配置 SSL 策略

在命令提示符下,键入:

add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]

使用 GUI 配置 SSL 策略

导航到“流量管理”>“SSL”>“策略”,然后在“ 略”选项卡上单击“添加”。

使用 TLS1.3 协议支持 SSL 策略

从 13.0 版本 71.x 及更高版本开始,添加了对使用 TLS1.3 协议的 SSL 策略的支持。当为连接协商 TLSv1.3 协议时,检查从客户端接收的 TLS 数据的策略规则现在会触发配置的操作。

例如,如果以下策略规则返回 true,则流量将转发到操作中定义的虚拟服务器。

add ssl action action1 -forward vserver2 add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1

限制

  • 不支持控制策略。
  • 不支持以下操作:
    • DOCLIENTAUTH
    • 没有客户端身份验证
    • cacertgrpName
    • 客户端证/验证
    • SSLLOG 配置文件
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
SSL 策略