Authentifizierung mit Clientzertifikaten

Websites, die sensible Inhalte enthalten, wie Online-Banking-Websites oder Websites mit persönlichen Informationen des Mitarbeiters, erfordern manchmal Clientzertifikate für die Authentifizierung. Um Authentifizierung, Autorisierung und Überwachung für die Authentifizierung von Benutzern auf der Grundlage clientseitiger Zertifikatattribute zu konfigurieren, aktivieren Sie zuerst die Clientauthentifizierung auf dem virtuellen Server für die Datenverkehrsverwaltung und binden das Stammzertifikat an den virtuellen Authentifizierungsserver. Dann implementieren Sie eine von zwei Optionen. Sie können den Standardauthentifizierungstyp auf dem virtuellen Authentifizierungsserver als CERT konfigurieren oder eine Zertifikataktion erstellen, die definiert, was der Citrix ADC für die Authentifizierung von Benutzern auf der Grundlage eines Clientzertifikats tun muss. In beiden Fällen muss Ihr Authentifizierungsserver CRLs unterstützen. Sie konfigurieren den ADC, um den Benutzernamen aus dem Feld SubjectCN oder einem anderen angegebenen Feld im Clientzertifikat zu extrahieren.

Wenn der Benutzer versucht, sich an einem virtuellen Authentifizierungsserver anzumelden, für den eine Authentifizierungsrichtlinie nicht konfiguriert ist, und eine globale Kaskade nicht konfiguriert ist, werden die Benutzernameninformationen aus dem angegebenen Feld des Zertifikats extrahiert. Wenn das erforderliche Feld extrahiert wird, ist die Authentifizierung erfolgreich. Wenn der Benutzer während des SSL-Handshakes kein gültiges Zertifikat bereitstellt oder wenn die Benutzernamenextraktion fehlschlägt, schlägt die Authentifizierung fehl. Nachdem das Clientzertifikat überprüft wurde, zeigt der ADC dem Benutzer eine Anmeldeseite an.

Bei den folgenden Verfahren wird davon ausgegangen, dass Sie bereits eine funktionierende Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration erstellt haben und daher nur erklären, wie die Authentifizierung mithilfe von Clientzertifikaten aktiviert wird. Bei diesen Verfahren wird auch davon ausgegangen, dass Sie Ihr Stammzertifikat und die Clientzertifikate erhalten haben und sie im ADC im Verzeichnis /nsconfig/ssl platziert haben.

So konfigurieren Sie die Authentifizierungs-, Autorisierungs- und Auditing-Clientzertifikatparameter mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein, um das Zertifikat zu konfigurieren und die Konfiguration zu überprüfen:

  • add ssl certKey <certkeyName> -cert <certFile> -key <keyFile> -password -inform <inform> -expiryMonitor <expiryMonitor> -notificationPeriod <notificationPeriod>

  • bind ssl certKey <certkeyName> -vServer <certkeyName> -CA -crlCheck Mandatory

  • show ssl certKey [<certkeyName>]

  • set aaa parameter -defaultAuthType CERT

  • show aaa parameter

  • set aaa certParams -userNameField "Subject:CN"

  • show aaa certParams

So konfigurieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsclient-Zertifikatsparameter mit dem Konfigurationsdienstprogramm

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen Server aus, den Sie für die Clientzertifikatauthentifizierung konfigurieren möchten, und klicken Sie dann auf Bearbeiten.
  3. Klicken Sie auf der Seite Konfiguration unter Zertifikate auf den Pfeil nach rechts (>), um das Installationsdialogfeld von CA Cert Key zu öffnen.
  4. Klicken Sie im Dialogfeld Zertifizierungsstellenschlüssel auf Einfügen .
  5. Klicken Sie im Dialogfeld Zertifizierungsstellenschlüssel - SSL-Zertifikate auf Installieren .
  6. Legen Sie im Dialogfeld Zertifikat installieren die folgenden Parameter fest, deren Namen den CLI-Parameternamen entsprechen, wie gezeigt:
    • Zertifikatschlüsselpaarname* — CertKeyName
    • Zertifikatsdateiname — certFile
    • Schlüsseldateiname — keyFile
    • Zertifikatformat — inform
    • Kennwort—password
    • Zertifikat-Bundle — bundle
    • Benachrichtigen, wenn abläuft — expiryMonitor
    • Benachrichtigungszeitraum — notificationPeriod
  7. Klicken Sie auf Installieren, und klicken Sie dann auf Schließen.
  8. Wählen Sie im Dialogfeld Zertifizierungsstellenzerschlüssel in der Liste Zertifikat das Stammzertifikat aus.
  9. Klicken Sie auf Speichern.
  10. Klicken Sie auf Zurück, um zum Hauptkonfigurationsbildschirm zurückzukehren.
  11. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > CERT.
  12. Wählen Sie im Detailbereich die Richtlinie aus, die Sie für die Verarbeitung der Clientzertifikatauthentifizierung konfigurieren möchten, und klicken Sie dann auf Bearbeiten.
  13. Wählen Sie im Dialogfeld Authentifizierungs-CERT-Richtlinie konfigurieren in der Dropdownliste Server den virtuellen Server aus, den Sie gerade für die Clientzertifikatauthentifizierung konfiguriert haben.
  14. Klicken Sie auf OK. In der Statusleiste wird eine Meldung angezeigt, die besagt, dass die Konfiguration erfolgreich abgeschlossen wurde.

Unterstützung zur Benachrichtigung der Anzahl fehlgeschlagener Anmeldeversuche

Die Citrix ADC Appliance kann nun die Anzahl fehlgeschlagener Anmeldeversuche protokollieren, die nach der letzten erfolgreichen Anmeldung durchgeführt wurden. Die Funktion funktioniert nur, wenn die Option PersistentLoginAttempts auf der Appliance aktiviert ist. Standardmäßig ist die Option auf der Citrix ADC Appliance deaktiviert.

Ein Citrix ADC Administrator kann diese Informationen verwenden, um zu überprüfen, ob unbefugte Versuche für ein gesichertes externes Benutzerkonto aufgetreten sind.

Um dieses Feature zu verwenden, geben Sie an der Citrix ADC Eingabeaufforderung Folgendes ein:

set aaa parameter [–maxloginAttempts <value> [-failedLoginTimeout <value>]] -persistentLoginAttempts (ENABLED | DISABLED)

Beispiel:

set aaa parameter –maxLoginAttempts 4 –failedLoginTimeout 3 –persistentLoginAttempts ENABLED