Zertifikatsperrlisten

Ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bleibt in der Regel bis zum Ablaufdatum gültig. Unter bestimmten Umständen kann die Zertifizierungsstelle das ausgestellte Zertifikat jedoch vor dem Ablaufdatum widerrufen (z. B. wenn der private Schlüssel eines Eigentümers kompromittiert wird, sich der Name eines Unternehmens oder einer Person ändert oder die Zuordnung zwischen dem Betreff und der Zertifizierungsstelle ändert).

Eine Zertifikatsperrliste (Certificate Revocation List, CRL) identifiziert ungültige Zertifikate anhand der Seriennummer und des Ausstellers.

Zertifizierungsstellen stellen regelmäßig Zertifikatsperrlisten aus. Sie können die Citrix ADC Appliance so konfigurieren, dass eine Zertifikatsperrliste verwendet wird, um Clientanforderungen zu blockieren, die ungültige Zertifikate enthalten.

Wenn Sie bereits eine CRL-Datei von einer Zertifizierungsstelle haben, fügen Sie diese der Citrix ADC Appliance hinzu. Sie können Aktualisierungsoptionen konfigurieren. Sie können Citrix ADC auch so konfigurieren, dass die CRL-Datei automatisch in einem bestimmten Intervall von einem Webspeicherort oder einem LDAP-Standort aus synchronisiert wird. Die Appliance unterstützt CRLs im PEM- oder DER-Dateiformat. Stellen Sie sicher, dass Sie das Dateiformat der CRL-Datei angeben, die der Citrix ADC Appliance hinzugefügt wird.

Wenn Sie Citrix ADC als Zertifizierungsstelle verwendet haben, um Zertifikate zu erstellen, die in SSL-Bereitstellungen verwendet werden, können Sie auch eine Zertifikatsperrliste erstellen, um ein bestimmtes Zertifikat zu widerrufen. Diese Funktion kann beispielsweise verwendet werden, um sicherzustellen, dass selbstsignierte Zertifikate, die auf dem Citrix ADC erstellt werden, weder in einer Produktionsumgebung noch über ein bestimmtes Datum hinaus verwendet werden.

Hinweis:

Standardmäßig werden Zertifikatsperrlisten im Verzeichnis /var/netscaler/ssl auf der Citrix ADC Appliance gespeichert.

Erstellen einer Zertifikatsperrliste auf dem ADC

Da Sie mit der Citrix ADC Appliance als Zertifizierungsstelle fungieren und selbstsignierte Zertifikate erstellen können, können Sie auch erstellte Zertifikate und Zertifikate, deren Zertifizierungsstellenzertifikat Sie besitzen, widerrufen.

Die Appliance muss ungültige Zertifikate widerrufen, bevor eine Zertifikatsperrliste für diese Zertifikate erstellt wird. Die Appliance speichert die Seriennummern der gesperrten Zertifikate in einer Indexdatei und aktualisiert die Datei jedes Mal, wenn sie ein Zertifikat widerruft. Die Indexdatei wird automatisch erstellt, wenn ein Zertifikat zum ersten Mal gesperrt wird.

Widerrufen eines Zertifikats oder Erstellen einer Zertifikatsperrliste mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

create ssl crl <CAcertFile> <CAkeyFile> <indexFile> (-revoke <input_filename> | -genCRL <output_filename>)

Beispiel:

create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -revoke Invalid-1

create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -genCRL CRL-1

Widerrufen eines Zertifikats oder Erstellen einer Zertifikatsperrliste mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL, und wählen Sie in der Gruppe Erste Schritte die Option CRL-Verwaltung aus.
  2. Geben Sie die Zertifikatdetails ein, und wählen Sie in der Liste Vorgang auswählen die Option Zertifikat widerrufen oder Zertifikatsperrliste generieren aus.

Hinzufügen einer vorhandenen Zertifikatsperrliste zum ADC

Bevor Sie die Zertifikatsperrliste auf der Citrix ADC Appliance konfigurieren, stellen Sie sicher, dass die CRL-Datei lokal auf der Citrix ADC-Appliance gespeichert ist. Bei einem HA-Setup muss die CRL-Datei auf beiden Citrix ADC Appliances vorhanden sein, und der Verzeichnispfad zur Datei muss auf beiden Appliances identisch sein.

Hinzufügen einer Zertifikatsperrliste auf dem Citrix ADC mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Zertifikatsperrliste auf dem Citrix ADC hinzuzufügen und die Konfiguration zu überprüfen:

add ssl crl <crlName> <crlPath> [-inform (DER | PEM)]

show ssl crl [<crlName>]

Beispiel:

> add ssl crl crl-one /var/netscaler/ssl/CRL-one -inform PEM

Done

> show ssl crl crl-one

            Name: crl-one   Status: Valid,  Days to expiration: 29
            CRL Path: /var/netscaler/ssl/CRL-one
            Format: PEM     CAcert: samplecertkey
            Refresh: DISABLED
            Version: 1
            Signature Algorithm: sha1WithRSAEncryption
            Issuer:  C=US,ST=California,L=Santa Clara,O=NetScaler Inc.,OU=SSL Acceleration,CN=www.ns.com/emailAddress=support@Citrix ADC appliance.com
            Last_update:Jun 15 10:53:53 2010 GMT
            Next_update:Jul 15 10:53:53 2010 GMT

    1)      Serial Number: 00
            Revocation Date:Jun 15 10:51:16 2010 GMT
     Done

Hinzufügen einer Zertifikatsperrliste auf dem Citrix ADC mit der GUI

Navigieren Sie zu Traffic Management > SSL > CRL, und fügen Sie eine CRL hinzu.

Konfigurieren von CRL-Aktualisierungsparametern

Eine Zertifikatsperrliste wird von einer Zertifizierungsstelle in regelmäßigen Abständen oder manchmal unmittelbar nach dem Widerruf eines bestimmten Zertifikats generiert und veröffentlicht. Citrix empfiehlt, die Zertifikatsperrlisten auf der Citrix ADC Appliance regelmäßig zu aktualisieren, um den Schutz vor Clients zu gewährleisten, die eine Verbindung mit ungültigen Zertifikaten herstellen möchten.

Die Citrix ADC Appliance kann Zertifikatsperrlisten von einem Webspeicherort oder einem LDAP-Verzeichnis aktualisieren. Wenn Sie Aktualisierungsparameter und einen Webspeicherort oder einen LDAP-Server angeben, muss die Zertifikatsperrliste zum Zeitpunkt der Ausführung des Befehls nicht auf der lokalen Festplatte vorhanden sein. Bei der ersten Aktualisierung wird eine Kopie auf dem lokalen Festplattenlaufwerk in dem durch den Parameter CRL-Datei angegebenen Pfad gespeichert. Der Standardpfad zum Speichern der Zertifikatsperrliste lautet /var/netscaler/ssl.

Hinweis: In Version 10.0 und höher ist die Methode zum Aktualisieren einer Zertifikatsperrliste standardmäßig nicht enthalten. Sie müssen explizit eine HTTP- oder LDAP-Methode angeben. Wenn Sie ein Upgrade von einer früheren Version auf Version 10.0 oder höher durchführen, müssen Sie eine Methode hinzufügen und den Befehl erneut ausführen.

Konfigurieren der automatischen CRL-Aktualisierung mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die automatische CRL-Aktualisierung zu konfigurieren, und überprüfen Sie die Konfiguration die folgenden Befehle, um die automatische CRL-Aktualisierung zu konfigurieren und die Konfiguration zu überprüfen:

set ssl crl <crlName> [-refresh ( ENABLED | DISABLED )] [-CAcert <string>] [-url <URL | -server <ip_addr|ipv6_addr>] [-method HTTP | (LDAP [-baseDN <string>] [-bindDN <string>] [-scope ( Base | One )] [-password <string>] [-binary ( YES | NO )])] [-port <port>] [-interval <interval>]

show ssl crl [<crlName>]

Beispiel:

    set CRL crl1  -refresh enabled -method ldap -inform DER -CAcert ca1 -server 10.102.192.192 -port 389 -scope base -baseDN "cn=clnt_rsa4_multicert_der,ou=eng,o=ns,c=in" -time 00:01

    set ssl crl crl1 -refresh enabled -method http -cacert ca1 -port 80 -time 00:10 -url http://10.102.192.192/crl/ca1.crl


    > sh crl

    1)         Name: crl1        Status: Valid,     Days to expiration: 355
                CRL Path: /var/netscaler/ssl/crl1
                Format: PEM      CAcert: ca1
                Refresh: ENABLED          Method: HTTP
                URL: http://10.102.192.192/crl/ca1.crl                 Port:80
                Refresh Time: 00:10
                Last Update: Successful, Date:Tue Jul  6 14:38:13 2010
    Done

Konfigurieren der automatischen CRL-Aktualisierung mit LDAP oder HTTP mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > CRL.
  2. Öffnen Sie eine Zertifikatsperrliste, und wählen Sie Automatische Zertifikatsperrliste aktivieren.

Hinweis: Wenn die neue Zertifikatsperrliste im externen Repository vor der tatsächlichen Aktualisierungszeit aktualisiert wurde, wie im Feld Letzte Aktualisierung der Zertifikatsperrliste angegeben, müssen Sie die Zertifikatsperrliste auf der Citrix ADC Appliance sofort aktualisieren.

Um die letzte Aktualisierungszeit anzuzeigen, wählen Sie die Zertifikatsperrliste aus, und klicken Sie auf Details.

Synchronisieren von Zertifikatsperrlisten

Die Citrix ADC Appliance verwendet die zuletzt verteilte Zertifikatsperrliste, um zu verhindern, dass Clients mit gesperrten Zertifikaten auf sichere Ressourcen zugreifen.

Wenn Zertifikatsperrlisten häufig aktualisiert werden, benötigt die Citrix ADC Appliance einen automatisierten Mechanismus, um die neuesten Zertifikatsperrlisten aus dem Repository abzurufen. Sie können die Appliance so konfigurieren, dass Zertifikatsperrlisten automatisch in einem angegebenen Aktualisierungsintervall aktualisiert werden.

Die Appliance verwaltet eine interne Liste der Zertifikatsperrlisten, die in regelmäßigen Abständen aktualisiert werden müssen. In diesen angegebenen Intervallen durchsucht die Appliance die Liste nach Zertifikatsperrlisten, die aktualisiert werden müssen, stellt eine Verbindung mit dem entfernten LDAP-Server oder HTTP-Server her, ruft die neuesten Zertifikatsperrlisten ab und aktualisiert dann die lokale Zertifikatsperrliste mit den neuen Zertifikatsperrlisten.

Hinweis: Wenn die CRL-Prüfung auf obligatorisch festgelegt ist, wenn das Zertifizierungsstellenzertifikat an den virtuellen Server gebunden ist und die anfängliche CRL-Aktualisierung fehlschlägt, werden alle Clientauthentifizierungsverbindungen mit demselben Aussteller wie die Zertifikatsperrliste als REVOKED zurückgewiesen, bis die Zertifikatsperrliste erfolgreich aktualisiert wurde.

Sie können das Intervall angeben, in dem die CRL-Aktualisierung durchgeführt werden muss. Sie können auch die genaue Zeit angeben.

Synchronisieren der automatischen CRL-Aktualisierung mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set ssl crl <crlName> [-interval <interval>] [-day <integer>] [-time <HH:MM>]

Beispiel:

set ssl crl CRL-1 -refresh ENABLE -interval MONTHLY -days 10 -time 12:00

Synchronisieren der CRL-Aktualisierung mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > CRL.
  2. Öffnen Sie eine Zertifikatsperrliste, wählen Sie Automatische Zertifikatsperrliste aktivieren und geben Sie das Intervall an.

Ausführen der Clientauthentifizierung mit einer Zertifikatsperrliste

Wenn eine Zertifikatsperrliste (Certificate Revocation List, CRL) auf einer Citrix ADC Appliance vorhanden ist, wird eine Zertifikatsperrlistenprüfung durchgeführt, unabhängig davon, ob die Zertifikatsperrlistenprüfung auf obligatorisch oder optional festgelegt ist.

Der Erfolg oder Misserfolg eines Handshake hängt von einer Kombination der folgenden Faktoren ab:

  • Regel für die CRL-Prüfung
  • Regel für die Clientzertifikatprüfung
  • Status der für das Zertifizierungsstellenzertifikat konfigurierten Zertifikatsperrliste

In der folgenden Tabelle sind die Ergebnisse der möglichen Kombinationen für einen Handshake mit einem gesperrten Zertifikat aufgeführt.

Tabelle 1. Ergebnis eines Handshake mit einem Client unter Verwendung eines gesperrten Zertifikats

Regel für die CRL-Prüfung Regel für die Clientzertifikatprüfung Status der für das Zertifizierungsstellenzertifikat konfigurierten Zertifikatsperrliste Ergebnis eines Handshake mit einem gesperrten Zertifikat
Optional Optional Fehlend Erfolg
Optional Mandatory Fehlend Erfolg
Optional Mandatory Präsentieren Fehler
Mandatory Optional Fehlend Erfolg
Mandatory Mandatory Fehlend Fehler
Mandatory Optional Präsentieren Erfolg
Mandatory Mandatory Präsentieren Fehler
Optional/Obligatorisch Optional Abgelaufen Erfolg
Optional/Obligatorisch Mandatory Abgelaufen Fehler

Hinweis:

  • Die CRL-Prüfung ist standardmäßig optional. Um von optional zu obligatorisch oder umgekehrt zu wechseln, müssen Sie zuerst die Bindung des Zertifikats vom virtuellen SSL-Server aufheben und es dann nach dem Ändern der Option erneut binden.

  • In der Ausgabe des Befehls sh ssl vserver bedeutet OCSP check: optional, dass eine CRL-Prüfung ebenfalls optional ist. Die CRL-Prüfeinstellungen werden in der Ausgabe des Befehls sh ssl vserver nur angezeigt, wenn die CRL-Prüfung auf obligatorisch eingestellt ist. Wenn die CRL-Prüfung auf optional eingestellt ist, werden die Details zur Zertifikatsperrliste nicht angezeigt.

So konfigurieren Sie die CRL-Prüfung mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

bind ssl vserver <vServerName> -certkeyName <string> [(-CA -crlCheck ( Mandatory | Optional ))]
sh ssl vserver

Beispiel:

bind ssl vs v1 -certkeyName ca -CA -crlCheck mandatory
> sh ssl vs v1

Advanced SSL configuration for VServer v1:

DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: ENABLED Client Cert Required: Mandatory
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Push Encryption Trigger: Always
Send Close-Notify: YES

ECC Curve: P_256, P_384, P_224, P_521

1) CertKey Name: ca CA Certificate CRLCheck: Mandatory CA_Name Sent

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done

Konfigurieren der CRL-Prüfung mit der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und öffnen Sie einen virtuellen SSL-Server.
  2. Klicken Sie in den Abschnitt Zertifikate.
  3. Wählen Sie ein Zertifikat aus, und wählen Sie in der Liste OCSP und CRL Check die Option CRL Obligatorisch aus.

Ergebnis eines Handshakes mit einem gesperrten oder gültigen Zertifikat

Regel für die CRL-Prüfung Regel für die Clientzertifikatprüfung Status der für das Zertifizierungsstellenzertifikat konfigurierten Zertifikatsperrliste Ergebnis eines Handshakes mit einem gesperrten Zertifikat Ergebnis eines Handshakes mit gültigem Zertifikat
Mandatory Mandatory Präsentieren Fehler Erfolg
Mandatory Mandatory Abgelaufen Fehler Fehler
Mandatory Mandatory Fehlend Fehler Fehler
Mandatory Mandatory Nicht definiert Fehler Fehler
Optional Mandatory Präsentieren Fehler Erfolg
Optional Mandatory Abgelaufen Erfolg Erfolg
Optional Mandatory Fehlend Erfolg Erfolg
Optional Mandatory Nicht definiert Erfolg Erfolg
Mandatory Optional Präsentieren Erfolg Erfolg
Mandatory Optional Abgelaufen Erfolg Erfolg
Mandatory Optional Fehlend Erfolg Erfolg
Mandatory Optional Nicht definiert Erfolg Erfolg
Optional Optional Präsentieren Erfolg Erfolg
Optional Optional Abgelaufen Erfolg Erfolg
Optional Optional Fehlend Erfolg Erfolg
Optional Optional Nicht definiert Erfolg Erfolg