SSL 配置文件
SSL 配置文件是 SSL 设置的集合,如密码和协议。如果您具有针对不同服务器的常用设置,则配置文件非常有用。您可以创建配置文件,在配置文件中指定设置,然后将配置文件绑定到不同的服务器,而不是为每个服务器指定相同的设置。如果未创建自定义前端 SSL 配置文件,则默认前端配置文件绑定到客户端实体。此配置文件允许您配置用于管理客户端连接的设置。对于 SSL 截获,必须创建 SSL 配置文件并在配置文件中启用 SSL 截获 (SSLi)。默认密码组绑定到此配置文件,但您可以配置更多密码以适应您的部署。必须将 SSLi CA 证书绑定到此配置文件,然后将配置文件绑定到代理服务器。对于 SSL 截获,配置文件中的基本参数是用于检查原始服务器证书的 OCSP 状态的参数,如果原始服务器请求重新协商,则触发客户端重新协商,然后在重复使用前端 SSL 会话。与源服务器通信时,必须使用默认的后端配置文件。在默认后端配置文件中设置任何服务器端参数,例如密码套件。不支持自定义后端配置文件。
有关最常用 SSL 设置的示例,请参阅本部分末尾的“示例配置文件”。
内部和外部网络的密码/协议支持不同。在下表中,用户与 SWG 设备之间的连接是内部网络。外部网络位于设备和 Internet 之间。
表 1:内部网络的密码/协议支持列表
(密码/协议)/平台 | MPX (N3)* | VPX |
---|---|---|
TLS 1.1/1.2 | 12.1 | 12.1 |
ECDHE/DHE(示例 TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
AES-GCM(示例 TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
ECDSA(示例 TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | 12.1 |
表 2:外部网络的密码/协议支持列表
(密码/协议)/平台 | MPX (N3)* | VPX |
---|---|---|
TLS 1.1/1.2 | 12.1 | 12.1 |
ECDHE/DHE(示例 TLS1-ECDHE-RSA-AES128-SHA) | 12.1 | 12.1 |
AES-GCM(示例 TLS1.2-AES128-GCM-SHA256) | 12.1 | 12.1 |
SHA-2 密码(示例 TLS1.2-AES-128-SHA256) | 12.1 | 12.1 |
ECDSA(示例 TLS1-ECDHE-ECDSA-AES256-SHA) | 12.1 | 不支持 |
* 使用 sh hardware (show hardware) 命令确定设备是否具有 N3 芯片。
示例:
sh hardware
Platform: NSMPX-22000 16\*CPU+24\*IX+12\*E1K+2\*E1K+4*CVM N3 2200100
Manufactured on: 8/19/2013
CPU: 2900MHZ
Host Id: 1006665862
Serial no: ENUK6298FT
Encoded serial no: ENUK6298FT
Done
<!--NeedCopy-->
使用 Citrix SWG CLI 添加 SSL 配置文件并启用 SSL 拦截
在命令提示符下,键入:
add ssl profile <name> -sslinterception ENABLED -ssliReneg ( ENABLED | DISABLED ) -ssliOCSPCheck ( ENABLED | DISABLED ) -ssliMaxSessPerServer <positive_integer>
参数:
sslInterception:
启用或禁用对 SSL 会话的拦截。
可能的值:ENABLED、DISABLED
默认值: 禁用
斯利利内斯:
从源服务器收到重新协商请求时启用或禁用触发客户端重新协商。
可能的值:ENABLED、DISABLED
默认值:ENABLED
ssliOCSPCheck:
启用或禁用 OCSP 检查原始服务器证书。
可能的值:ENABLED、DISABLED
默认值:ENABLED
ssliMaxSessPerServer:
每个动态源服务器要缓存的最大 SSL 会话数。将为客户端 Hello 消息中从客户端接收的每个 SNI 扩展创建一个唯一的 SSL 会话。匹配的会话用于服务器会话重用。
默认值:10
最小值:1
最大值:1000
示例:
add ssl profile swg_ssl_profile -sslinterception ENABLED
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
使用 Citrix SWG CLI 将 SSL 拦截 CA 证书绑定到 SSL PROFLE
在命令提示符下,键入:
bind ssl profile <name> -ssliCACertkey <ssli-ca-cert >
示例:
bind ssl profile swg_ssl_profile -ssliCACertkey swg_ca_cert
Done
sh ssl profile swg_ssl_profile
1) Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Server Cert Verification for Client Reuse: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
Done
<!--NeedCopy-->
使用 Citrix SWG GUI 将 SSL 拦截 CA 证书绑定到 SSL
-
导航到 系统 > 配置文件 > SSL 配置文件。
-
单击添加。
-
指定配置文件的名称。
-
启用 SSL 会话拦截。
-
单击确定。
-
在“高级设置”中,单击“证书密钥”。
-
指定要绑定到配置文件的 SSLi CA 证书密钥。
-
单击 选择 ,然后单击 绑定 。
-
或者,配置密码以适合您的部署。
- 单击编辑图标,然后单击 添加。
- 选择一个或多个密码组,然后单击向右箭头。
- 单击确定。
-
单击完成。
使用 Citrix SWG GUI 将 SSL 配置文件绑定到代理服务器
- 导航到 Secure Web Gateway > 代理服务器,然后添加新服务器或选择要修改的服务器。
- 在 SSL 配置文件中,单击编辑图标。
- 在 SSL 配置文件 列表中,选择您之前创建的 SSL 配置文件。
- 单击确定。
- 单击完成。
样本配置文件:
Name: swg_ssl_profile (Front-End)
SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Client Auth: DISABLED
Use only bound CA certificates: DISABLED
Strict CA checks: NO
Session Reuse: ENABLED Timeout: 120 seconds
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Deny SSL Renegotiation ALL
Non FIPS Ciphers: DISABLED
Cipher Redirect: DISABLED
SSL Redirect: DISABLED
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Push Encryption Trigger: Always
PUSH encryption trigger timeout: 1 ms
SNI: DISABLED
OCSP Stapling: DISABLED
Strict Host Header check for SNI enabled SSL sessions: NO
Push flag: 0x0 (Auto)
SSL quantum size: 8 kB
Encryption trigger timeout 100 mS
Encryption trigger packet count: 45
Subject/Issuer Name Insertion Format: Unicode
SSL Interception: ENABLED
SSL Interception OCSP Check: ENABLED
SSL Interception End to End Renegotiation: ENABLED
SSL Interception Maximum Reuse Sessions per Server: 10
Session Ticket: DISABLED Session Ticket Lifetime: 300 (secs)
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
ECC Curve: P_256, P_384, P_224, P_521
1) Cipher Name: DEFAULT Priority :1
Description: Predefined Cipher Alias
1) SSL Interception CA CertKey Name: swg_ca_cert
<!--NeedCopy-->