SSL 配置文件

SSL 配置文件是 SSL 设置的集合,如密码和协议。如果您具有针对不同服务器的常用设置,则配置文件非常有用。您可以创建配置文件,在配置文件中指定设置,然后将配置文件绑定到不同的服务器,而不是为每个服务器指定相同的设置。如果未创建自定义前端 SSL 配置文件,则默认前端配置文件绑定到客户端实体。此配置文件允许您配置用于管理客户端连接的设置。对于 SSL 截获,必须创建 SSL 配置文件并在配置文件中启用 SSL 截获 (SSLi)。默认密码组绑定到此配置文件,但您可以配置更多密码以适应您的部署。必须将 SSLi CA 证书绑定到此配置文件,然后将配置文件绑定到代理服务器。对于 SSL 截获,配置文件中的基本参数是用于检查原始服务器证书的 OCSP 状态的参数,如果原始服务器请求重新协商,则触发客户端重新协商,然后在重复使用前端 SSL 会话。与源服务器通信时,必须使用默认的后端配置文件。在默认后端配置文件中设置任何服务器端参数,例如密码套件。不支持自定义后端配置文件。

有关最常用 SSL 设置的示例,请参阅本部分末尾的“示例配置文件”。

内部和外部网络的密码/协议支持不同。在下表中,用户与 SWG 设备之间的连接是内部网络。外部网络位于设备和 Internet 之间。

本地化后的图片

表 1:内部网络的密码/协议支持列表

(密码/协议)/平台 MPX (N3)* VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE(示例 TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM(示例 TLS1.2-AES128-GCM-SHA256) 12.1 12.1
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA(示例 TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 12.1

表 2:外部网络的密码/协议支持列表

(密码/协议)/平台 MPX (N3)* VPX
TLS 1.1/1.2 12.1 12.1
ECDHE/DHE(示例 TLS1-ECDHE-RSA-AES128-SHA) 12.1 12.1
AES-GCM(示例 TLS1.2-AES128-GCM-SHA256) 12.1 12.1
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) 12.1 12.1
ECDSA(示例 TLS1-ECDHE-ECDSA-AES256-SHA) 12.1 不支持

* 使用 sh hardware (show hardware) 命令确定设备是否具有 N3 芯片。

示例

sh hardware

Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100

Manufactured on: 8/19/2013

CPU: 2900MHZ

Host Id: 1006665862

Serial no: ENUK6298FT

Encoded serial no: ENUK6298FT

Done
<!--NeedCopy-->

使用 Citrix SWG CLI 添加 SSL 配置文件并启用 SSL 拦截

在命令提示符下,键入:

add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>

参数

sslInterception:

启用或禁用对 SSL 会话的拦截。

可能的值:ENABLED、DISABLED

默认值: 禁用

斯利利内斯

从源服务器收到重新协商请求时启用或禁用触发客户端重新协商。

可能的值:ENABLED、DISABLED

默认值:ENABLED

ssliOCSPCheck

启用或禁用 OCSP 检查原始服务器证书。

可能的值:ENABLED、DISABLED

默认值:ENABLED

ssliMaxSessPerServer

每个动态源服务器要缓存的最大 SSL 会话数。将为客户端 Hello 消息中从客户端接收的每个 SNI 扩展创建一个唯一的 SSL 会话。匹配的会话用于服务器会话重用。

默认值:10

最小值:1

最大值:1000

示例

add ssl profile swg_ssl_profile  -sslinterception ENABLED

Done

sh ssl profile swg_ssl_profile

1)    Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

Done
<!--NeedCopy-->

使用 Citrix SWG CLI 将 SSL 拦截 CA 证书绑定到 SSL PROFLE

在命令提示符下,键入:

bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >

示例

bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert

Done

sh ssl profile swg_ssl_profile

1)            Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Server Cert Verification for Client Reuse: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert

Done
<!--NeedCopy-->

使用 Citrix SWG GUI 将 SSL 拦截 CA 证书绑定到 SSL

  1. 导航到 系统 > 配置文件 > SSL 配置文件。

  2. 单击添加

  3. 指定配置文件的名称。

  4. 启用 SSL 会话拦截

  5. 单击确定

  6. 在“高级设置”中,单击“证书密钥”。

  7. 指定要绑定到配置文件的 SSLi CA 证书密钥。

  8. 单击 选择 ,然后单击 绑定

  9. 或者,配置密码以适合您的部署。

    • 单击编辑图标,然后单击 添加
    • 选择一个或多个密码组,然后单击向右箭头。
    • 单击确定
  10. 单击完成

使用 Citrix SWG GUI 将 SSL 配置文件绑定到代理服务器

  1. 导航到 Secure Web Gateway > 代理服务器,然后添加新服务器或选择要修改的服务器。
  2. SSL 配置文件中,单击编辑图标。
  3. SSL 配置文件 列表中,选择您之前创建的 SSL 配置文件。
  4. 单击确定
  5. 单击完成

样本配置文件

Name: swg_ssl_profile (Front-End)

                SSLv3: DISABLED               TLSv1.0: ENABLED  TLSv1.1: ENABLED  TLSv1.2: ENABLED

                Client Auth: DISABLED

                Use only bound CA certificates: DISABLED

                Strict CA checks:                               NO

                Session Reuse: ENABLED                              Timeout: 120 seconds

                DH: DISABLED

                DH Private-Key Exponent Size Limit: DISABLED   Ephemeral RSA: ENABLED                            Refresh Count: 0

                Deny SSL Renegotiation                                ALL

                Non FIPS Ciphers: DISABLED

                Cipher Redirect: DISABLED

                SSL Redirect: DISABLED

                Send Close-Notify: YES

                Strict Sig-Digest Check: DISABLED

                Push Encryption Trigger: Always

                PUSH encryption trigger timeout:             1 ms

                SNI: DISABLED

                OCSP Stapling: DISABLED

                Strict Host Header check for SNI enabled SSL sessions:                   NO

                Push flag:            0x0 (Auto)

                SSL quantum size:                            8 kB

                Encryption trigger timeout           100 mS

                Encryption trigger packet count:               45

                Subject/Issuer Name Insertion Format: Unicode

                SSL Interception: ENABLED

                SSL Interception OCSP Check: ENABLED

                SSL Interception End to End Renegotiation: ENABLED

                SSL Interception Maximum Reuse Sessions per Server:  10

                Session Ticket: DISABLED              Session Ticket Lifetime: 300 (secs)

                HSTS: DISABLED

                HSTS IncludeSubDomains: NO

                HSTS Max-Age: 0

                ECC Curve: P_256, P_384, P_224, P_521

1)            Cipher Name: DEFAULT Priority :1

                Description: Predefined Cipher Alias

1)            SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->