产品文档
ADC
14.1 - Current Release 13.1 13.0 12.1
查看 PDF

SSL 策略绑定

October 7, 2021
投稿者: 
C

您可以将 SSL 策略全局绑定,也可以仅绑定到 SSL 类型的虚拟服务器。在评估绑定到服务、虚拟服务器或其他 Citrix ADC 绑定点的所有策略后,将评估全局绑定策略。如果传入数据与 SSL 策略中配置的任何规则匹配,则会触发该策略,并执行与其关联的操作。

将 SSL 策略绑定到虚拟服务器时,必须从以下绑定点之一中进行选择:

  • 请求(默认绑定点。完成 SSL 握手后,在 HTTP 层中进行策略评估。)

  • INTERCEPT_REQ(此选项适用于 Citrix Secure Web Gateway 设置。有关更多信息,请参阅 SSL 拦截的 SSL 策略基础设施)。

  • CLIENTHELLO_REQ

同样,从虚拟服务器取消绑定策略时,必须指定绑定点。

如果将 CLIENTHELLO_REQ 指定为绑定点,则在收到客户端 hello 消息时评估策略。允许的操作是重置、转发和caCertGrpName。重置操作终止连接。转发操作将请求转发到负载平衡虚拟服务器进行处理。caCertGrpName 操作有选择地选择基于 SNI 的 CA 进行客户端身份验证。有关 SSL 操作的更多信息,请参阅 SSL 内置操作和用户定义的操作

注意: TLS 1.3 协议不支持动作 cacertgrpName。

使用 CLI 全局绑定 SSL 策略

在命令提示符处,键入以下命令以绑定全局 SSL 策略并验证配置:

bind ssl global - policyName <string> [- priority <positive_integer>]
show ssl global
<!--NeedCopy-->

示例:

bind ssl global -policyName Policy-SSL-2 -priority 90
Done

sh ssl global

     1) Name: Policy-SSL-2 Priority: 90
     2) Name: Policy-SSL-1 Priority: 100
     Done
<!--NeedCopy-->

使用 GUI 全局绑定 SSL 策略

  1. 导航到流量管理 > SSL > 策略
  2. 在详细信息窗格中,单击全局绑定
  3. 在“绑定/取消绑定 SSL 策略到全局”对话框中,单击“插入策略”。
  4. 策略名称 列表中,选择一个策略。
  5. 或者,将条目拖动到策略库中的新位置以自动更新优先级别。
  6. 单击 OK(确定)。状态栏中显示一条消息,指出已成功绑定策略。

使用 CLI 将 SSL 策略绑定或取消绑定到虚拟服务器

在命令提示符下,键入以下命令以将 SSL 策略绑定到虚拟服务器并验证配置:

bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type <type>

unbind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type <type>

<!--NeedCopy-->

示例:

bind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ
<!--NeedCopy-->

unbind ssl vserver v1 -policyName pol1 -priority 1 -type CLIENTHELLO_REQ
<!--NeedCopy-->

show ssl vserver vs-server

Advanced SSL configuration for VServer vs-server:

DH: DISABLED

Ephemeral RSA: ENABLED          Refresh Count: 1000

Session Reuse: ENABLED          Timeout: 120 seconds

Cipher Redirect: DISABLED

SSLv2 Redirect: DISABLED

ClearText Port: 80

Client Auth: DISABLED

SSL Redirect: ENABLED

SSL-REDIRECT Port Rewrite: ENABLED

Non FIPS Ciphers: DISABLED

SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED

1)      Policy Name: ssl-policy-1        Priority: 10

1)      Cipher Name: DEFAULT

            Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

使用 GUI 将 SSL 策略绑定到虚拟服务器

  1. 导航到 流量管理 > 负载平衡 > 虚拟服务器,然后打开 SSL 虚拟服务器。
  2. 在“高级设置”中,选择 SSL 策略。单击 SSL 策略 部分以将策略绑定到虚拟服务器。
  3. 策略绑定 页面中,选择现有策略或添加新策略。
  4. 指定策略的优先级和类型(绑定点)。
  5. 选择 绑定
  6. 选择 完成
SSL 策略绑定
October 7, 2021
投稿者: 
C
October 7, 2021
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.