Citrix NetScaler 11: A+ Rating bei Qualys SSL Labs

Qualys SSL LabsNachfolgend ein kurzes Cheat-Sheet, um für Webseiten, die auf bzw. hinter einem Citrix NetScaler gehostet sind beim SSL Test von Qualys für seine Webseite ein A+ zu erhalten. Dank NetScaler Version 11 ist dies nun endlich auch für die virtuellen VPX Appliances möglich.

Zunächst benötigt man eine eigene Ciphergruppe, die den Secrurity Standard etwas höher setzt, als die von Haus aus mitgelieferten Gruppen. Für MPX und SDX Appliances kann für den zu konfigurierenden vServer folgende Cipher Group verwendet werden.

add ssl cipher cipher_secure_default
bind ssl cipher cipher_secure_default -cipherName TLS1.2-ECDHE-RSA-AES256-GCM-SHA384
bind ssl cipher cipher_secure_default -cipherName TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
bind ssl cipher cipher_secure_default -cipherName TLS1.2-ECDHE-RSA-AES-256-SHA384
bind ssl cipher cipher_secure_default -cipherName TLS1.2-ECDHE-RSA-AES-128-SHA256
bind ssl cipher cipher_secure_default -cipherName TLS1-ECDHE-RSA-AES256-SHA
bind ssl cipher cipher_secure_default -cipherName TLS1-ECDHE-RSA-AES128-SHA
bind ssl cipher cipher_secure_default -cipherName TLS1.2-DHE-RSA-AES256-GCM-SHA384
bind ssl cipher cipher_secure_default -cipherName TLS1.2-DHE-RSA-AES128-GCM-SHA256
bind ssl cipher cipher_secure_default -cipherName TLS1-DHE-RSA-AES-256-CBC-SHA
bind ssl cipher cipher_secure_default -cipherName TLS1-DHE-RSA-AES-128-CBC-SHA
bind ssl cipher cipher_secure_default -cipherName TLS1-AES-256-CBC-SHA
bind ssl cipher cipher_secure_default -cipherName TLS1-AES-128-CBC-SHA
bind ssl cipher cipher_secure_default -cipherName SSL3-DES-CBC3-SHA

Für die NetScaler VPX kann folgendes Set benutzt werden (hier werden aktuell nicht alle Ciphers unterstützt).

add ssl cipher cipher_secure_default_vpx
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1.2-ECDHE-RSA-AES-128-SHA256
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-ECDHE-RSA-AES256-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-ECDHE-RSA-AES128-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-DHE-RSA-AES-256-CBC-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-DHE-RSA-AES-128-CBC-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-AES-256-CBC-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName TLS1-AES-128-CBC-SHA
bind ssl cipher cipher_secure_default_vpx -cipherName SSL3-DES-CBC3-SHA

Zusätzlich benötigt man noch eine Rewrite Policy, um den HTTP STS Header in die Server Response einzufügen. Diese Policy kann entweder global oder für jeden vServer gebunden werden.

add rewrite action act_rewrite_inject_http_sts_header insert_http_header Strict-Transport-Security "\"max-age=31536000\""
add rewrite policy pol_rewrite_inject_http_sts_header true act_rewrite_inject_http_sts_header

Final sollte SSLv3 global oder lokal mittels SSL Profile deaktiviert werden.

add ssl profile prof_ssl_default -sessReuse ENABLED -sessTimeout 120 -ssl3 DISABLED

Kommentare (2)

traxxus30.11.2015 um 21:37 Uhr

Kannst du mir sagen, wie im im GUI die ReWrite Policy korrekt binde damit HTTP STS geht?

Im ReWrite Policy Manager muss ich da
Bind Point: Override global
Protocoll: HTTP
Connection Type: Request

einstellen?

Simon22.12.2015 um 22:55 Uhr

Hallo,

man kann sie natürlich über das Global Binding definieren, würde ich aber nicht empfehlen. Ich würde die Policy auf vServer Ebene setzen.

Daher: vServer -> Policy -> Rewrite -> Response

Mittels Rewrite „Request“ Policy wird der Client-Request umgeschrieben der am Backend ankommt. Also nicht das was man hier erreichen möchte.

Gruß, Simon

Einen Kommentar hinterlassen

Dein Kommentar