SSL 策略
Citrix ADC 设备上的策略有助于确定要处理的特定连接。处理基于为该特定策略配置的操作。创建策略并为其配置操作后,必须执行以下操作之一:
- 将策略绑定到设备上的虚拟服务器,以便它仅适用于流经该虚拟服务器的流量。
- 全局绑定策略,以便它应用于流经 Citrix ADC 设备上配置的任何虚拟服务器的所有流量。
Citrix ADC 设备 SSL 功能支持默认语法(高级)策略。有关默认语法表达式、它们的工作方式以及如何手动配置语法表达式的完整说明,请参阅 策略和表达式。
注意 : 在 CLI 中没有配置策略经验的用户通常会发现使用配置实用程序容易得多。
SSL 策略要求您在创建策略之前创建操作,以便您可以在创建策略时指定操作。 在 SSL 默认语法策略中,您还可以使用内置操作。有关内置操作的更多信息,请参阅 SSL 内置操作和用户定义的操作。
SSL 默认语法策略
SSL 默认语法策略(也称为高级策略)定义了要对请求执行的控件或数据操作。因此,SSL 策略可以归类为控制策略和数据策略:
- 控制策略。控制策略使用控制操作,例如强制执行客户端身份验证。 注意:在版本 10.5 或更高版本中,默认情况下,拒绝 SSL 重新协商 (denySSLReneg) 设置为全部。但是,控制策略(如 Clientauth)会触发重新协商握手。如果您使用此类策略,则必须将 denySSLReneg 设置为 NO。
- 数据策略。数据策略使用数据操作,例如将某些数据插入到请求中。
策略的基本组成部分是表达和操作。表达式标识要对其执行操作的请求。
您可以使用内置操作或用户定义操作配置默认语法策略。您可以使用内置操作配置策略,而无需创建单独的操作。但是,要使用用户定义的操作配置策略,请先配置该操作,然后配置该策略。
您可以指定在将表达式应用于请求时具有未定义结果时要执行的额外操作(称为 UNDF 操作)。
SSL 策略配置
您可以使用 CLI 和 GUI 配置 SSL 默认语法策略。
使用 CLI 配置 SSL 策略
在命令提示符下,键入:
add ssl policy <name> -rule <expression> -Action <string> [-undefAction <string>] [-comment <string>]
使用 GUI 配置 SSL 策略
导航到 流量管理 > SSL > 策略 ,然后在 策 略选项卡上单击 添加。
支持使用 TLS1.3 协议的 SSL 策略
从版本 13.0 Build 71.x 及更高版本中,添加了对使用 TLS1.3 协议的 SSL 策略的支持。当为连接协商 TLSv1.3 协议时,检查从客户端收到的 TLS 数据的策略规则现在会触发配置的操作。
例如,如果以下策略规则返回 true,则流量将转发到操作中定义的虚拟服务器。
add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(“xyz”) -action action1
限制
- 不支持控制策略。
- 不支持以下操作:
- DOCLIENTAUTH
- NOCLIENTAUTH
- cacertgrpName
- 客户端 CertCert验证
- ssllogProfile
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
已复制!
失败!