Citrix ADC

Clientzertifikat-Pass-Through

Citrix ADC kann jetzt so konfiguriert werden, dass Clientzertifikate an geschützte Anwendungen weitergeleitet werden, die Clientzertifikate für die Benutzerauthentifizierung benötigen. Der ADC authentifiziert zuerst den Benutzer, fügt dann das Clientzertifikat in die Anforderung ein und sendet es an die Anwendung. Diese Funktion wird durch Hinzufügen geeigneter SSL-Richtlinien konfiguriert.

Das genaue Verhalten dieser Funktion, wenn ein Benutzer ein Clientzertifikat vorlegt, hängt von der Konfiguration des virtuellen VPN-Servers ab.

  • Wenn der virtuelle VPN-Server so konfiguriert ist, dass Clientzertifikate akzeptiert werden, diese jedoch nicht benötigt werden, fügt der ADC das Zertifikat in die Anforderung ein und leitet die Anforderung dann an die geschützte Anwendung weiter.
  • Wenn der virtuelle VPN-Server die Clientzertifikatauthentifizierung deaktiviert hat, verhandelt der ADC das Authentifizierungsprotokoll neu und authentifiziert den Benutzer neu, bevor er das Clientzertifikat in den Header einfügt und die Anforderung an die geschützte Anwendung weiterleitet.
  • Wenn der virtuelle VPN-Server so konfiguriert ist, dass die Clientzertifikatauthentifizierung erforderlich ist, verwendet der ADC das Clientzertifikat, um den Benutzer zu authentifizieren, fügt das Zertifikat dann in den Header ein und leitet die Anforderung an die geschützte Anwendung weiter.

In allen diesen Fällen konfigurieren Sie den Pass-Through des Clientzertifikats wie folgt.

So erstellen und konfigurieren Sie die Passthrough-Clientzertifikate mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • add vpn vserver <name> SSL <IP> 443

    Ersetzen Sie als Name einen Namen für den virtuellen Server. Der Name muss aus einem bis 127 ASCII-Zeichen bestehen, beginnend mit einem Buchstaben oder Unterstrich (_) und nur Buchstaben, Zahlen und Unterstrich, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), equals (=) und Bindestrich (-). <IP>Ersetzen Sie für die IP-Adresse, die dem virtuellen Server zugewiesen ist.```

  • set ssl vserver <name> -clientAuth ENABLED -clientCert <clientcert> <name>Ersetzen Sie den Namen des virtuellen Servers, den Sie gerade erstellt haben. <clientCert>Ersetzen Sie einen der folgenden Werte:
    • deaktiviert: Deaktiviert die Clientzertifikatauthentifizierung auf dem virtuellen VPN-Server.
    • — konfiguriert den virtuellen VPN-Server so, dass Clientzertifikate authentifiziert werden müssen.
    • optional: Konfiguriert den virtuellen VPN-Server so, dass er die Clientzertifikatsauthentifizierung zulässt, jedoch nicht erforderlich ist.
  • bind vpn vserver \<name\> -policy local <name>Ersetzen Sie den Namen des virtuellen VPN-Servers, den Sie erstellt haben.
  • bind vpn vserver \<name> -policy cert <name>Ersetzen Sie den Namen des virtuellen VPN-Servers, den Sie erstellt haben.
  • bind ssl vserver \<name> -certkeyName \<certkeyname> <name>Ersetzen Sie den Namen des virtuellen Servers, den Sie erstellt haben. <certkeyName>Ersetzen Sie für den Clientzertifikatschlüssel.
  • bind ssl vserver \<name> -certkeyName \<cacertkeyname> -CA -ocspCheck Optional <name>Ersetzen Sie den Namen des virtuellen Servers, den Sie erstellt haben. <cacertkeyName>Ersetzen Sie den Zertifizierungsstellenzertifikatsschlüssel für.
  • add ssl action \<actname\> -clientCert ENABLED -certHeader CLIENT-CERT <actname>Ersetzen Sie einen Namen für die SSL-Aktion.
  • add ssl policy \<polname\> -rule true -action \<actname\> <polname>Ersetzen Sie für einen Namen für Ihre neue SSL-Richtlinie. <actname>Ersetzen Sie den Namen der soeben erstellten SSL-Aktion.
  • bind ssl vserver \<name\> -policyName \<polname\> -priority 10 <name>Ersetzen Sie den Namen des virtuellen VPN-Servers.

Beispiel

  • add vpn vserver vs-certpassthru SSL 10.121.250.75 443
  • set ssl vserver vs-certpassthru -clientAuth ENABLED -clientCert optional
  • bind vpn vserver vs-certpassthru -policy local
  • bind vpn vserver vs-certpassthru -policy cert
  • bind ssl vserver vs-certpassthru -certkeyName mycertKey
  • bind ssl vserver vs-certpassthru -certkeyName mycertKey -CA -ocspCheck Optional
  • add ssl action act-certpassthru -clientCert ENABLED -certHeader CLIENT-CERT
  • add ssl policy pol-certpassthru -rule true -action act-certpassthru
  • bind ssl vserver vs-certpassthru -policyName pol-certpassthru -priority 10

Clientzertifikat-Pass-Through