SSL 策略
NetScaler 设备上的策略有助于识别您要处理的特定连接。处理基于为该特定策略配置的操作。创建策略并为其配置操作后,必须执行以下操作之一:
- 将策略绑定到设备上的虚拟服务器,以便它仅适用于流经该虚拟服务器的流量。
- 全局绑定策略,以便将其应用于流经 NetScaler 设备上配置的任何虚拟服务器的所有流量。
NetScaler 设备 SSL 功能支持高级策略(高级)策略。有关高级策略表达式、其工作方式以及如何手动配置它们的完整说明,请参阅 策略和表达式。有关 SSL 表达式的更多信息,请参阅 高级策略表达式:解析 SSL。
注意:
在 CLI 配置策略方面没有经验的用户通常会发现使用配置实用程序要容易得多。
SSL 策略要求您在创建策略之前创建操作,以便在创建策略时指定操作。
在 SSL 高级策略中,您还可以使用内置操作。有关内置操作的更多信息,请参阅 SSL 内置操作和用户定义的操作。
SSL 高级策略
SSL Advanced 策略(也称为高级策略)定义要对请求执行的控制或数据操作。因此,SSL 策略可以归类为控制策略和数据策略:
-
控制策略。控制策略使用控制操作,例如强制进行客户端身份验证。
注意:在 10.5 或更高版本中,默认情况下,拒绝 SSL 重新协商 (denysslreneG) 设置为“全部”。但是,控制策略(例如 CLIENTAUTH)会触发重新协商握手。如果您使用此类策略,则必须将 denysslreneg 设置为 NO。
-
数据策略。数据策略使用数据操作,例如在请求中插入一些数据。
策略的基本组成部分是表达和操作。表达式标识要对其执行操作的请求。
您可以使用内置操作或用户定义的操作来配置 Advanced 策略。您可以使用内置操作配置策略,而无需创建单独的操作。但是,要使用用户定义的操作配置策略,请先配置操作,然后配置策略。
您可以指定在将表达式应用于请求产生未定义结果时要执行的额外操作,称为 UNDEF 操作。
SSL 策略配置
您可以使用 CLI 和 GUI 配置 SSL 高级策略。
使用 CLI 配置 SSL 策略
在命令提示符下,键入:
add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
使用 GUI 配置 SSL 策略
导航到“流量管理”>“SSL”>“策略”,然后在“策 略”选项卡上单击“添加”。
使用 TLS1.3 协议支持 SSL 策略
从 13.0 版本 71.x 及更高版本开始,添加了对使用 TLS1.3 协议的 SSL 策略的支持。当为连接协商 TLSv1.3 协议时,检查从客户端接收的 TLS 数据的策略规则现在会触发配置的操作。
例如,如果以下策略规则返回 true,则流量将转发到操作中定义的虚拟服务器。
add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
限制
- 不支持控制策略。
- 不支持以下操作:
- DOCLIENTAUTH
- 没有客户端身份验证
- cacertgrpName
- 客户端证/验证
- SSLLOG 配置文件
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.