Citrix Secure Web Gateway

SSL 配置文件

September 29, 2025

投稿者:

C C

SSL 配置文件是 SSL 设置的集合，例如密码和协议。如果您有适用于不同服务器的通用设置，配置文件会很有帮助。您无需为每个服务器指定相同的设置，而是可以创建一个配置文件，在其中指定设置，然后将该配置文件绑定到不同的服务器。如果未创建自定义前端 SSL 配置文件，则默认前端配置文件将绑定到客户端实体。此配置文件使您能够配置用于管理客户端连接的设置。对于 SSL 拦截，您必须创建一个 SSL 配置文件并在其中启用 SSL 拦截 (SSLi)。默认密码组绑定到此配置文件，但您可以配置更多密码以适应您的部署。您必须将 SSLi CA 证书绑定到此配置文件，然后将此配置文件绑定到代理服务器。对于 SSL 拦截，配置文件中的基本参数用于检查源服务器证书的 OCSP 状态、在源服务器请求重新协商时触发客户端重新协商，以及在重用前端 SSL 会话之前验证源服务器证书。与源服务器通信时，您必须使用默认后端配置文件。在默认后端配置文件中设置任何服务器端参数，例如密码套件。不支持自定义后端配置文件。

有关最常用的 SSL 设置示例，请参阅本节末尾的“示例配置文件”。

内部网络和外部网络上的密码/协议支持有所不同。在下表中，用户与 SWG 设备之间的连接是内部网络。外部网络位于设备和 Internet 之间。

表 1：内部网络的密码/协议支持矩阵

(Cipher/protocol)/Platform	MPX (N3)*	VPX
TLS 1.1/1.2	12.1	12.1
ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA)	12.1	12.1
AES-GCM(Example TLS1.2-AES128-GCM-SHA256)	12.1	12.1
SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256)	12.1	12.1
ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA)	12.1	12.1

表 2：外部网络的密码/协议支持矩阵

(Cipher/protocol)/Platform	MPX (N3)*	VPX
TLS 1.1/1.2	12.1	12.1
ECDHE/DHE(Example TLS1-ECDHE-RSA-AES128-SHA)	12.1	12.1
AES-GCM(Example TLS1.2-AES128-GCM-SHA256)	12.1	12.1
SHA-2 Ciphers(Example TLS1.2-AES-128-SHA256)	12.1	12.1
ECDSA(Example TLS1-ECDHE-ECDSA-AES256-SHA)	12.1	不支持

* 使用 sh hardware (show hardware) 命令来识别您的设备是否具有 N3 芯片。

示例：

sh hardware

Platform: NSMPX-22000 16*CPU+24*IX+12*E1K+2*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done
<!--NeedCopy-->

使用 Citrix® SWG CLI 添加 SSL 配置文件并启用 SSL 拦截

在命令提示符下，键入：

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

参数：

sslInterception：

启用或禁用 SSL 会话拦截。

可能的值：ENABLED、DISABLED

默认值：DISABLED

ssliReneg：

在从源服务器收到重新协商请求时，启用或禁用触发客户端重新协商。

可能的值：ENABLED、DISABLED

默认值：ENABLED

ssliOCSPCheck：

启用或禁用源服务器证书的 OCSP 检查。

可能的值：ENABLED、DISABLED

默认值：ENABLED

ssliMaxSessPerServer：

每个动态源服务器要缓存的最大 SSL 会话数。为客户端在客户端 hello 消息中收到的每个 SNI 扩展创建一个唯一的 SSL 会话。匹配的会话用于服务器会话重用。

默认值：10

最小值：1

最大值：1000

示例：

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

使用 Citrix SWG CLI 将 SSL 拦截 CA 证书绑定到 SSL 配置文件

在命令提示符下，键入：

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

示例：

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done
<!--NeedCopy-->

使用 Citrix SWG GUI 将 SSL 拦截 CA 证书绑定到 SSL 配置文件

导航到“System”>“Profiles”>“SSL Profile”。
单击“Add”。
为配置文件指定一个名称。
启用“SSL Sessions Interception”。
单击“OK”。
在“Advanced Settings”中，单击“Certificate Key”。
指定要绑定到配置文件的 SSLi CA 证书密钥。
单击“Select”，然后单击“Bind”。
（可选）配置密码以适应您的部署。
- 单击编辑图标，然后单击“Add”。
- 选择一个或多个密码组，然后单击右箭头。
- 单击“OK”。
单击“Done”。

使用 Citrix SWG GUI 将 SSL 配置文件绑定到代理服务器

导航到“Secure Web Gateway”>“Proxy Servers”，然后添加新服务器或选择要修改的服务器。
在“SSL Profile”中，单击编辑图标。
在“SSL Profile”列表中，选择您之前创建的 SSL 配置文件。
单击“OK”。
单击“Done”。

示例配置文件：

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

NetScaler Secure Deployment Guide

SSL 配置文件

September 29, 2025

投稿者:

C C

September 29, 2025

投稿者:

C C

在本文中

使用 Citrix® SWG CLI 添加 SSL 配置文件并启用 SSL 拦截
使用 Citrix SWG CLI 将 SSL 拦截 CA 证书绑定到 SSL 配置文件
使用 Citrix SWG GUI 将 SSL 拦截 CA 证书绑定到 SSL 配置文件
使用 Citrix SWG GUI 将 SSL 配置文件绑定到代理服务器

这是否有帮助？

NetScaler Secure Deployment Guide