我们正在运行带有 OpenSSL 0.98 的 Apache 2.2.22,我们的一台 Citrix NetScaler 主机在握手 SSL 后无法发送客户端证书,因为我们必须将 SSLInsecureRenegotiation 设置为安全标准。
有没有办法根据 Remote_Addr 动态设置此指令?我尝试了很多设置,但我想按照设计,似乎没有办法选择性地允许某个用户代理或 IP 使用 SSLInsecureRenegotiation?
我们已经修补了最新的 NetScaler 10,但是在 SSL 初始握手之后,Apache 向 NetScaler 发送回了重新协商请求,因为 LocationMatch 需要客户端证书,但这从未得到响应,导致 Apache 终止会话。-https://www.rfc-editor.org/rfc/rfc5746#section-3.5Citrix 告诉我们,下游规则通常位于“受信任”网络上,并且不支持使用客户端方法,是否可以区分请求以及如何通过某种主机身份或 IP 调用 SSLInsecureRenegotiation 指令?
其他论坛的一些评论 -
我不认为它可以设置在虚拟服务器级别以下的任何地方,这就是为什么我认为它需要在负载均衡器上解决(尽管 Citrix 可能会这么说)。他们似乎有很多不同的 TLS 重新协商值可以设置,包括完全禁用客户端和服务器之间的重新协商支持。也许在 serverfault 上发布这个问题会有所帮助? – mahnsc 14 小时前
嗨,问题在于 SSL 卸载旨在在 Web 服务器前面运行,而不是在客户端,但不幸的是我们的项目还是继续进行。Citrix 尚未完全实施 RFC 5746 扩展来防止后端的中间人攻击,因为他们认为 Netscaler 后面的后端(在这个反向上下文中是逻辑的)是一个受信任的通道,第三方托管 Apache 对所有流量都有严格的安全规则。我可能会说服他们为我们的主机设置一个特殊案例,但找不到在会话中设置指令的方法。– ev4nsj 14 分钟前
答案1
您需要按照以下说明对 NetScaler 主机应用更新Citrix 安全公告 CTX123359。