Citrix ADC

Häufig gestellte Fragen zu SSL

Grundlegende Fragen

HTTPS-Zugriff auf die GUI schlägt auf einer VPX-Instanz fehl. Wie erhalte ich Zugang?

Für den HTTPS-Zugriff auf die GUI ist ein Zertifikatschlüsselpaar erforderlich. Auf einer Citrix ADC Appliance wird ein Zertifikatschlüsselpaar automatisch an die internen Dienste gebunden. Auf einer MPX- oder SDX-Appliance beträgt die Standardschlüsselgröße 1024 Byte und bei einer VPX-Instanz beträgt die Standardschlüsselgröße 512 Byte. Die meisten Browser akzeptieren heute jedoch keinen Schlüssel, der weniger als 1024 Bytes ist. Dadurch wird der HTTPS-Zugriff auf das VPX-Konfigurationsprogramm blockiert.

Citrix empfiehlt, ein Zertifikatschlüsselpaar von mindestens 1024 Byte zu installieren und es an den internen Dienst für HTTPS-Zugriff an das Konfigurationsdienstprogramm zu binden. Alternativ aktualisieren Sie diens-server-certificate auf 1024 Bytes. Sie können den HTTP-Zugriff auf das Konfigurationsprogramm oder die CLI verwenden, um das Zertifikat zu installieren.

Wenn ich einer MPX-Appliance eine Lizenz hinzufüge, geht die Zertifikatschlüsselpaarbindung verloren. Wie kann ich dieses Problem lösen?

Wenn beim Start keine Lizenz auf einer MPX-Appliance vorhanden ist und Sie später eine Lizenz hinzufügen und die Appliance neu starten, verlieren Sie möglicherweise die Zertifikatbindung. Installieren Sie das Zertifikat neu und binden Sie es an den internen Dienst

Citrix empfiehlt, vor dem Starten der Appliance eine entsprechende Lizenz zu installieren.

Was sind die verschiedenen Schritte bei der Einrichtung eines sicheren Kanals für eine SSL-Transaktion?

Das Einrichten eines sicheren Kanals für eine SSL-Transaktion umfasst die folgenden Schritte:

  1. Der Client sendet eine HTTPS-Anforderung für einen sicheren Kanal an den Server.

  2. Nach Auswahl des Protokolls und der Verschlüsselung sendet der Server sein Zertifikat an den Client.

  3. Der Client überprüft die Authentizität des Serverzertifikats.

  4. Wenn eine der Prüfungen fehlschlägt, zeigt der Client das entsprechende Feedback an.

  5. Wenn die Prüfungen bestehen oder der Client entscheidet, fortzufahren, selbst wenn eine Prüfung fehlschlägt, erstellt der Client einen temporären Einwegschlüssel. Dieser Schlüssel wird als Pre-Master-Secret bezeichnet, und der Client verschlüsselt diesen Schlüssel mithilfe des öffentlichen Schlüssels des Serverzertifikats.

  6. Der Server entschlüsselt ihn nach Erhalt des Pre-Master-Geheimnisses mithilfe des privaten Schlüssels des Servers und generiert die Sitzungsschlüssel. Der Client generiert auch die Sitzungsschlüssel aus dem Pre-Master-Geheimnis. Somit haben sowohl Client als auch Server nun einen gemeinsamen Sitzungsschlüssel, der für die Verschlüsselung und Entschlüsselung von Anwendungsdaten verwendet wird.

Ich verstehe, dass SSL ein CPU-intensiver Prozess ist. Welche CPU-Kosten sind mit dem SSL-Prozess verbunden?

Die folgenden zwei Phasen sind mit dem SSL-Prozess verknüpft:

  • Die erste Handshake-Konfiguration und sichere Kanal-Setup mithilfe der Public und Private Key-Technologie.

  • Massendatenverschlüsselung mithilfe der asymmetrischen Schlüsseltechnologie.

Beide der vorherigen Phasen können sich auf die Serverleistung auswirken, und sie erfordern eine intensive CPU-Verarbeitung aus folgenden Gründen:

  1. Der anfängliche Handshake beinhaltet öffentlich-private Schlüsselkryptografie, die aufgrund großer Schlüsselgrößen (1024 Bit, 2048 Bit, 4096 Bit) sehr CPU-intensiv ist.

  2. Die Verschlüsselung/Entschlüsselung von Daten ist auch rechnerisch teuer, abhängig von der Menge der Daten, die verschlüsselt oder entschlüsselt werden müssen.

Was sind die verschiedenen Entitäten einer SSL-Konfiguration?

Eine SSL-Konfiguration verfügt über die folgenden Entitäten:

  • Serverzertifikat
  • Zertifikat der Zertifizierungsstelle (CA)
  • Verschlüsselungssuite, die die Protokolle für die folgenden Aufgaben angibt:
    • Initialer Schlüsselaustausch
    • Server- und Clientauthentifizierung
    • Massenverschlüsselungsalgorithmus
    • Nachrichtenauthentifizierung
  • Clientauthentifizierung
  • CRL
  • SSL-Zertifikatschlüsselgenerierungstool, mit dem Sie die folgenden Dateien erstellen können:
    • Zertifikatanforderung
    • Selbstsigniertes Zertifikat
    • RSA- und DSA-Schlüssel
    • DH-Parameter

Ich möchte die SSL-Abladungsfunktion der Citrix ADC Appliance verwenden. Was sind die verschiedenen Optionen für den Empfang eines SSL-Zertifikats?

Sie müssen ein SSL-Zertifikat erhalten, bevor Sie das SSL-Setup auf der Citrix ADC Appliance konfigurieren können. Sie können eine der folgenden Methoden verwenden, um ein SSL-Zertifikat zu erhalten:

  • Fordern Sie ein Zertifikat von einer autorisierten Zertifizierungsstelle an.

  • Verwenden Sie das vorhandene Serverzertifikat.

  • Erstellen Sie ein Zertifikatschlüsselpaar auf der Citrix ADC Appliance.

Hinweis: Dieses Zertifikat ist ein Testzertifikat, das von der Testroot-CA signiert wurde, die von der Citrix ADC Appliance generiert wurde. Von dieser Root-CA signierte Testzertifikate werden von Browsern nicht akzeptiert. Der Browser gibt eine Warnmeldung aus, die besagt, dass das Zertifikat des Servers nicht authentifiziert werden kann.

  • Für andere Zwecke als Testzwecke müssen Sie ein gültiges Zertifizierungsstellenzertifikat und einen Zertifizierungsstellenschlüssel angeben, um das Serverzertifikat zu signieren.

Was sind die Mindestanforderungen für ein SSL-Setup?

Die Mindestanforderungen für die Konfiguration eines SSL-Setups sind wie folgt:

  • Beschaffen Sie sich die Zertifikate und Schlüssel.
  • Erstellen Sie einen virtuellen SSL-Server mit Lastenausgleich.
  • Binden Sie HTTP- oder SSL-Dienste an den virtuellen SSL-Server.
  • Binden Sie ein Zertifikatschlüsselpaar an den virtuellen SSL-Server.

Was sind die Grenzen für die verschiedenen Komponenten von SSL?

SSL-Komponenten haben folgende Grenzwerte:

  • Bitgröße von SSL-Zertifikaten: 4096.
  • Anzahl der SSL-Zertifikate: Abhängig vom verfügbaren Speicher auf der Appliance.
  • Maximal verknüpfte zwischengeschaltete CA-SSL-Zertifikate: 9 pro Kette.
  • Sperrsperrsperrsperrsperrsperrsperrliste: Abhängig vom verfügbaren Speicher auf der Appliance.

Was sind die verschiedenen Schritte bei der End-to-End-Datenverschlüsselung auf einer Citrix ADC Appliance?

Die Schritte, die an der serverseitigen Verschlüsselung auf einer Citrix ADC Appliance beteiligt sind, sind wie folgt:

  1. Der Client stellt eine Verbindung mit der SSL-VIP her, die auf der Citrix ADC Appliance am sicheren Standort konfiguriert ist.

  2. Nach Erhalt der sicheren Anforderung entschlüsselt die Appliance die Anforderung und wendet Layer-4-7-Inhalts-Switching-Techniken und Lastenausgleichsrichtlinien an. Dann wählt es den besten verfügbaren Back-End-Webserver für die Anfrage aus.

  3. Die Citrix ADC Appliance erstellt eine SSL-Sitzung mit dem ausgewählten Server.

  4. Nach dem Einrichten der SSL-Sitzung verschlüsselt die Appliance die Clientanforderung und sendet sie mithilfe der sicheren SSL-Sitzung an den Webserver.

  5. Wenn die Appliance die verschlüsselte Antwort vom Server empfängt, entschlüsselt und verschlüsselt sie die Daten erneut und sendet die Daten mit der clientseitigen SSL-Sitzung an den Client.

Die Multiplexing-Technik der Citrix ADC Appliance ermöglicht es der Appliance, SSL-Sitzungen wiederzuverwenden, die mit den Webservern eingerichtet wurden. Daher vermeidet die Appliance den CPU-intensiven Schlüsselaustausch, der als vollständiger Handshakebezeichnet wird. Durch diesen Prozess wird die Gesamtzahl der SSL-Sitzungen auf dem Server reduziert und die End-to-End-Sicherheit aufrechterhalten.

Zertifikate und Schlüssel

Kann ich das Zertifikat und die Schlüsseldateien an einem beliebigen Ort ablegen? Gibt es einen empfohlenen Speicherort zum Speichern dieser Dateien?

Sie können das Zertifikat und die Schlüsseldateien auf der Citrix ADC Appliance oder einem lokalen Computer speichern. Citrix empfiehlt jedoch, das Zertifikat und die Schlüsseldateien im/nsconfig/ssl Verzeichnis der Citrix ADC Appliance zu speichern. Das/etc Verzeichnis befindet sich im Flash-Speicher der Citrix ADC Appliance. Diese Aktion bietet Portabilität und erleichtert Backup und Wiederherstellung der Zertifikatdateien auf der Appliance.

Hinweis: Stellen Sie sicher, dass das Zertifikat und die Schlüsseldateien im selben Verzeichnis gespeichert sind.

Wie groß ist die maximale Größe des Zertifikatsschlüssels, der von der Citrix ADC Appliance unterstützt wird?

Eine Citrix ADC Appliance, auf der eine Softwareversion vor Version 9.0 ausgeführt wird, unterstützt eine maximale Zertifikatschlüsselgröße von 2048 Bit. Version 9.0 und höher unterstützen eine maximale Zertifikatsschlüsselgröße von 4096 Bit. Dieser Grenzwert gilt sowohl für RSA- als auch für DSA-Zertifikate.

Eine MPX-Appliance unterstützt Zertifikate von 512 Bit bis zu den folgenden Größen:

  • 4096-Bit-Serverzertifikat auf dem virtuellen Server

  • 4096-Bit-Clientzertifikat für den Dienst

  • 4096-Bit-CA-Zertifikat (einschließlich Zwischen- und Stammzertifikate)

  • 4096-Bit-Zertifikat auf dem Back-End-Server

  • 4096-Bit-Clientzertifikat (wenn die Clientauthentifizierung auf dem virtuellen Server aktiviert ist)

Eine virtuelle Appliance unterstützt Zertifikate von 512 Bit bis zu den folgenden Größen:

  • 4096-Bit-Serverzertifikat auf dem virtuellen Server

  • 4096-Bit-Clientzertifikat für den Dienst

  • 4096-Bit-CA-Zertifikat (einschließlich Zwischen- und Stammzertifikate)

  • 4096-Bit-Zertifikat auf dem Back-End-Server ab Release 12.0-56.x. Ältere Versionen unterstützen 2048-Bit-Zertifikate.

  • 2048-Bit-Clientzertifikat (wenn die Clientauthentifizierung auf dem virtuellen Server aktiviert ist) ab Release 12.0-56.x.

Wie groß ist die maximale Größe des auf der Citrix ADC Appliance unterstützten DH-Parameters?

Die Citrix ADC Appliance unterstützt einen DH-Parameter von maximal 2048 Bit.

Wie hoch ist die maximale Zertifikatkettenlänge, d. h. die maximale Anzahl von Zertifikaten in einer Kette, die von einer Citrix ADC Appliance unterstützt wird?

Eine Citrix ADC Appliance kann maximal 10 Zertifikate in einer Kette senden, wenn eine Serverzertifikatmeldung gesendet wird. Eine Kette mit der maximalen Länge umfasst das Serverzertifikat und neun zwischengeschaltete Zertifizierungsstellenzertifikate.

Welche Zertifikat- und Schlüsselformate werden von der Citrix ADC Appliance unterstützt?

Die Citrix ADC Appliance unterstützt die folgenden Zertifikat- und Schlüsselformate:

  • Datenschutzerweiterter E-Mail (PEM)
  • Distinguished Coding Regel (DER)

Gibt es eine Begrenzung für die Anzahl der Zertifikate und Schlüssel, die ich auf der Citrix ADC Appliance installieren kann?

Nein. Die Anzahl der Zertifikate und Schlüssel, die installiert werden können, ist nur durch den verfügbaren Speicher auf der Citrix ADC Appliance begrenzt.

Ich habe das Zertifikat und die Schlüsseldateien auf dem lokalen Computer gespeichert. Ich möchte diese Dateien mithilfe des FTP-Protokolls auf die Citrix ADC Appliance übertragen. Gibt es einen bevorzugten Modus für die Übertragung dieser Dateien auf die Citrix ADC Appliance?

Ja. Wenn Sie das FTP-Protokoll verwenden, müssen Sie den Binärmodus verwenden, um die Zertifikat- und Schlüsseldateien auf die Citrix ADC Appliance zu übertragen.

Hinweis: FTP ist standardmäßig deaktiviert. Citrix empfiehlt die Verwendung des SCP-Protokolls für die Übertragung von Zertifikaten und Schlüsseldateien. Das Konfigurationsdienstprogramm verwendet implizit SCP, um eine Verbindung mit der Appliance herzustellen.

Was ist der Standardverzeichnispfad für das Zertifikat und den Schlüssel?

Der Standardverzeichnispfad für Zertifikat und Schlüssel lautet ‘/nsconfig/ssl’.

Was passiert beim Hinzufügen eines Zertifikats und eines Schlüsselpaars, wenn ich keinen absoluten Pfad zu den Zertifikaten und Schlüsseldateien angebe?

Wenn Sie beim Hinzufügen eines Zertifikatschlüsselpaars keinen absoluten Pfad zu den Zertifikat- und Schlüsseldateien angeben, durchsucht die ADC-Appliance das Standardverzeichnis nach diesen Dateien und versucht, sie in den Kernel zu laden. Das Standardverzeichnis ist/nsconfig/ssl. Wenn beispielsweise die Dateien cert1024.pem und rsa1024.pem im/nsconfig/ssl Verzeichnis der Appliance verfügbar sind, sind beide der folgenden Befehle erfolgreich:

add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem

Ich habe ein Hochverfügbarkeits-Setup konfiguriert. Ich möchte die SSL-Funktion auf dem Setup implementieren. Wie muss ich die Zertifikat- und Schlüsseldateien in einem Hochverfügbarkeits-Setup behandeln?

In einem Hochverfügbarkeits-Setup müssen Sie das Zertifikat und die Schlüsseldateien sowohl auf der primären als auch auf der sekundären Citrix ADC Appliance speichern. Der Verzeichnispfad für das Zertifikat und die Schlüsseldateien muss auf beiden Appliances identisch sein, bevor Sie ein SSL-Zertifikatschlüsselpaar auf der primären Appliance hinzufügen.

nCipher nShield® HSM

Müssen wir bei der Integration mit nCipher nShield® HSM beim Hinzufügen der Citrix ADC Appliance zu HA eine bestimmte Konfiguration beachten?

Sie müssen die gleichen nCipher-Geräte auf beiden Knoten in HA konfigurieren. nCipher-Konfigurationsbefehle werden nicht in HA synchronisiert. Hinweise zu den Voraussetzungen für nCipher nShield® HSM finden Sie unterVoraussetzungen.

Müssen wir beide Appliances individuell mit nCipher nShield® HSM und RFS integrieren? Müssen wir diese Aktion vor oder nach der HA-Setup durchführen?

Sie können die Integration vor oder nach dem HA-Setup abschließen. Wenn die Integration jedoch nach der HA-Setup durchgeführt wird, werden die Schlüssel, die vor der Konfiguration des sekundären Knotens auf dem primären Knoten importiert wurden, nicht mit dem sekundären Knoten synchronisiert. Daher empfiehlt Citrix die nCipher-Integration vor dem Hochverfügbarkeits-Setup.

Soll der Schlüssel sowohl in die primäre als auch in die sekundäre Citrix ADC Appliance importiert werden, oder werden die Schlüssel vom primären Knoten mit dem sekundären Knoten synchronisiert?

Wenn nCipher auf beiden Geräten vor der Bildung der HA integriert ist, werden die Schlüssel automatisch von RFS im Prozess der Integration synchronisiert.

Da sich der HSM nicht auf der Citrix ADC Appliance, sondern auf nCipher befindet, was passiert mit den Schlüsseln und Zertifikaten, wenn ein Knoten ausfällt und ersetzt wird?

Wenn ein Knoten fehlschlägt, können Sie die Schlüssel und Zertifikate mit dem neuen Knoten synchronisieren, indem Sie zuerst nCipher auf dem neuen Knoten integrieren und dann die folgenden Befehle ausführen:

sync ha files ssl
force ha sync

Die Zertifikate werden synchronisiert und hinzugefügt, wenn die Schlüssel bei der Integration von nCipher synchronisiert werden.

Chiffre

Was ist eine Nullchiffre?

Chiffre ohne Verschlüsselung werden als NULL-Chiffre bezeichnet. NULL-MD5 ist beispielsweise eine NULL-Chiffre.

Sind die NULL-Chiffre standardmäßig für einen SSL-VIP oder einen SSL-Dienst aktiviert?

Nein. Null-Chiffre sind standardmäßig nicht für einen SSL-VIP oder einen SSL-Dienst aktiviert.

Was ist das Verfahren, um Null-Chiffre zu entfernen?

Führen Sie den folgenden Befehl aus, um die Null-Chiffre von einem SSL-VIP zu entfernen:

bind ssl cipher <SSL_VIP> REM NULL

Führen Sie den folgenden Befehl aus, um die Null-Chiffre aus einem SSL-Dienst zu entfernen:

bind ssl cipher <SSL_Service> REM NULL -service

Welche Chiffrier-Aliase werden von der Citrix ADC Appliance unterstützt?

Geben Sie an der Eingabeaufforderung Folgendes ein, um die von der Appliance unterstützten Chiffrier-Aliase aufzulisten:

sh cipher

Wie lautet der Befehl, um alle vordefinierten Chiffre der Citrix ADC Appliance anzuzeigen?

Um alle vordefinierten Chiffre der Citrix ADC Appliance anzuzeigen, geben Sie an der Befehlszeilenschnittstelle Folgendes ein:

show ssl cipher

Wie lautet der Befehl, um die Details einer einzelnen Chiffre der Citrix ADC Appliance anzuzeigen?

Um die Details einer einzelnen Chiffre der Citrix ADC Appliance anzuzeigen, geben Sie an der Befehlszeilenschnittstelle Folgendes ein:

show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>

Beispiel:

show cipher SSL3-RC4-SHA
     1) Cipher Name: SSL3-RC4-SHA
     Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
    Mac=SHA1
     Done

Welche Bedeutung hat das Hinzufügen der vordefinierten Chiffre der Citrix ADC Appliance?

Durch das Hinzufügen der vordefinierten Chiffre der Citrix ADC Appliance werden die Null-Chiffre zu einem SSL-VIP oder einem SSL-Dienst hinzugefügt.

Ist es möglich, die Reihenfolge der Chiffre zu ändern, ohne sie aus einer Verschlüsselungsgruppe auf einer Citrix ADC Appliance zu entfernen?

Ja. Es ist möglich, die Reihenfolge der Chiffre zu ändern, ohne die Verschlüsselung von einer benutzerdefinierten Chiffre Gruppe zu entbinden. Sie können die Priorität in integrierten Verschlüsselungsgruppen jedoch nicht ändern. Um die Priorität einer Chiffre zu ändern, die an eine SSL-Entität gebunden ist, müssen Sie zuerst die Bindung der Chiffre vom virtuellen Server, Dienst oder Dienstgruppe aufheben.

Hinweis: Wenn die an eine SSL-Entität gebundene Chiffre leer ist, schlägt der SSL-Handshake fehl, da keine ausgehandelte Chiffre vorhanden ist. Die Chiffre Gruppe muss mindestens eine Chiffre enthalten.

Wird ECDSA auf der Citrix ADC Appliance unterstützt?

ECDSA wird auf den folgenden Citrix ADC Plattformen unterstützt. Einzelheiten zu unterstützten Builds finden Sie inCiphers available on the Citrix ADC appliancesTabelle 1 und Tabelle 2.

  • Citrix ADC MPX- und SDX-Appliances mit N3-Chips
  • Citrix ADC MPX 5900/8900/15000/26000
  • Citrix ADC SDX 8900/15000
  • Citrix ADC VPX Appliances

Unterstützt die Citrix ADC VPX Appliance AES-GCM/SHA2-Verschlüsselungen auf dem Front-End?

Ja, AES-GCM/SHA2-Verschlüsselungen werden auf der Citrix ADC VPX Appliance unterstützt. Weitere Informationen zu den unterstützten Builds finden Sie unterCiphers available on the Citrix ADC appliances.

Zertifikate

Ist der Distinguished Name in einem Clientzertifikat für die Dauer der Benutzersitzung verfügbar?

Ja. Sie können während der Dauer der Benutzersitzung in nachfolgenden Anforderungen auf den Distinguished Name des Clientzertifikats zugreifen. Das heißt, auch nachdem der SSL-Handshake abgeschlossen ist und das Zertifikat vom Browser nicht erneut gesendet wird. Verwenden Sie eine Variable und eine Zuweisung, wie in der folgenden Beispielkonfiguration beschrieben:

Beispiel:

add ns variable v2 -type "text(100)"

add ns assignment a1 -variable "$v2" -set       "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"

add rewrite action act1 insert_http_header subject "$v2"  // example: to insert the distinguished name in the header

add rewrite policy pol1 true a1

add rewrite policy pol2 true act1

bind rewrite global pol1 1 next -type RES_DEFAULT

bind rewrite global pol2 2 next -type RES_DEFAULT

set rewrite param -undefAction RESET

Warum muss ich das Serverzertifikat binden?

Die Bindung der Serverzertifikate ist die Grundvoraussetzung für die Aktivierung der SSL-Konfiguration zur Verarbeitung von SSL-Transaktionen.

Um das Serverzertifikat an einen SSL-VIP zu binden, geben Sie an der CLI Folgendes ein:

bind ssl vserver <vServerName> -certkeyName <cert_name>

Um das Serverzertifikat an einen SSL-Dienst zu binden, geben Sie an der CLI Folgendes ein:

bind ssl service <serviceName> -certkeyName <cert_name>

Wie viele Zertifikate kann ich an einen SSL-VIP oder einen SSL-Dienst binden?

Auf einer virtuellen Citrix ADC Appliance können Sie maximal drei Zertifikate an eine SSL-VIP oder einen SSL-Dienst binden. Die Zertifikate müssen jeweils ein Zertifikat vom Typ RSA, ECDSA und DSA sein. Wenn SNI aktiviert ist, können Sie auf einer Citrix ADC MPX (N2) oder MPX-FIPS-Appliance mehrere Serverzertifikate vom Typ RSA binden. Wenn SNI deaktiviert ist, können Sie maximal ein Zertifikat vom Typ RSA binden. Auf einem Citrix ADC MPX (N3) und Citrix ADC MPX/SDX FIPS-Gerät können Sie maximal zwei Zertifikate an eine SSL-VIP oder einen SSL-Dienst binden. Die Zertifikate müssen jeweils ein Zertifikat vom Typ RSA und ECDSA sein.

Hinweis: DSA-Zertifikate werden auf MPX- oder MPX-FIPS-Plattformen nicht unterstützt.

Unterstützt SNI Zertifikate (Subject Alternative Name, SAN)?

Nein. Auf einer Citrix ADC Appliance wird SNI nicht mit einem SAN-Erweiterungszertifikat unterstützt.

Was passiert, wenn ich ein Serverzertifikat aufheben oder überschreibe?

Wenn Sie ein Serverzertifikat aufheben oder überschreiben, werden alle Verbindungen und SSL-Sitzungen, die mithilfe des vorhandenen Zertifikats erstellt wurden, beendet. Wenn Sie ein vorhandenes Zertifikat überschreiben, wird die folgende Meldung angezeigt:

ERROR:

Warning: Current certificate replaces the previous binding.

Wie installiere ich ein Zwischenzertifikat auf einer Citrix ADC Appliance und stelle eine Verknüpfung zu einem Serverzertifikat her?

Weitere Informationenhttp://support.citrix.com/article/ctx114146 zum Installieren eines Zwischenzertifikats finden Sie im Artikel unter.

Warum erhalte ich einen Fehler “Ressource ist bereits vorhanden”, wenn ich versuche, ein Zertifikat auf dem Citrix ADC zu installieren?

Anweisungenhttp://support.citrix.com/article/CTX117284 zum Beheben des Fehlers “Ressource ist bereits vorhanden” finden Sie im Artikel unter.

Ich möchte ein Serverzertifikat auf einer Citrix ADC Appliance erstellen, um das Produkt zu testen und auszuwerten. Wie wird ein Serverzertifikat erstellt?

Führen Sie das folgende Verfahren aus, um ein Testzertifikat zu erstellen.

Hinweis: Ein mit diesem Verfahren erstelltes Zertifikat kann nicht zur Authentifizierung aller Benutzer und Browser verwendet werden. Nachdem Sie das Zertifikat zum Testen verwendet haben, müssen Sie ein Serverzertifikat erhalten, das von einer autorisierten Stammzertifizierungsstelle signiert wurde.

So erstellen Sie ein selbstsigniertes Serverzertifikat:

  1. Um ein Stammzertifikat zu erstellen, geben Sie an der CLI Folgendes ein:

    create ssl rsakey /nsconfig/ssl/test-ca.key 1024
    
    create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key
    
    Enter the required information when prompted, and then type the following command:
    
    create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key
    
  2. Führen Sie das folgende Verfahren aus, um ein Serverzertifikat zu erstellen und es mit dem soeben erstellten Stammzertifikat zu signieren.

    1. Um die Anforderung und den Schlüssel zu erstellen, geben Sie an der CLI Folgendes ein:

      create ssl rsakey /nsconfig/ssl/test-server.key 1024
      
          create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key
      
    2. Geben Sie die erforderlichen Informationen ein, wenn Sie dazu aufgefordert werden.

    3. Um eine Seriennummerndatei zu erstellen, geben Sie an der CLI Folgendes ein:

      shell
       # echo '01' >
      /nsconfig/ssl/serial.txt
       # exit
      
    4. Um ein Serverzertifikat zu erstellen, das von dem in Schritt 1 erstellten Stammzertifikat signiert wurde, geben Sie an der CLI Folgendes ein:

      create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt
      
    5. Um ein Citrix ADC Cert-Key-Paar zu erstellen, bei dem es sich um das In-Memory-Objekt handelt, das die Serverzertifikatinformationen für SSL-Handshakes und die Massenverschlüsselung enthält, geben Sie an der CLI Folgendes ein:

      add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key
      
    6. Um das cert-key-Paar an den virtuellen SSL-Server zu binden, geben Sie an der CLI Folgendes ein:

      bind ssl vserver <vServerName> -certkeyName <cert_name>
      

Ich habe eine Citrix ADC Appliance erhalten, auf der NetScaler -Softwareversion 9.0 installiert ist. Ich habe eine zusätzliche Lizenzdatei auf der Appliance bemerkt. Gibt es eine Änderung in der Lizenzierungsrichtlinie ab NetScaler Software Release 9.0?

Ja. Ab Citrix NetScaler -Softwareversion 9.0 verfügt die Appliance möglicherweise nicht über eine einzelne Lizenzdatei. Die Anzahl der Lizenzdateien hängt von der Citrix ADC -Software-Release-Edition ab. Wenn Sie beispielsweise die Advanced Edition installiert haben, benötigen Sie möglicherweise zusätzliche Lizenzdateien für die volle Funktionalität der verschiedenen Funktionen. Wenn Sie jedoch die Premium-Edition installiert haben, verfügt die Appliance nur über eine Lizenzdatei.

Wie exportiere ich das Zertifikat aus dem Internet Information Service (IIS)?

Es gibt viele Möglichkeiten, aber mit der folgenden Methode werden das entsprechende Zertifikat und der private Schlüssel für die Website exportiert. Diese Prozedur muss auf dem tatsächlichen IIS-Server ausgeführt werden.

  1. Öffnen Sie das Verwaltungstool Internetinformationsdienste (IIS) Manager.

  2. Erweitern Sie den Knoten Websites, und suchen Sie die SSL-fähige Website, die Sie über die Citrix ADC Appliance bereitstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf diese Website und wählen Sie

  4. Klicken Sie auf die Registerkarte Verzeichnissicherheit, und aktivieren Sie im Abschnitt Secure Communications des Fensters das Feld Zertifikat anzeigen.

  5. Klicken Sie auf die Registerkarte Details, und klicken Sie dann auf In Datei kopieren.

  6. Klicken Sie auf der Seite Willkommen beim Zertifikatexport-Assistenten auf Weiter.

  7. Wählen Sie Ja, exportieren Sie den privaten Schlüssel, und klicken Sie auf Weiter.

    Hinweis: Der private Schlüssel MUSS exportiert werden, damit SSL-Offload auf dem Citrix ADC funktioniert.

  8. Stellen Sie sicher, dass das Optionsfeld Personal Information Exchange -PKCS #12 aktiviert ist, und aktivieren Sie nur das Kontrollkästchen Alle Zertifikate in den Zertifizierungspfad einschließen, wenn möglich. Klicken Sie auf Weiter.

  9. Geben Sie ein Kennwort ein und klicken Sie auf Weiter.

  10. Geben Sie einen Dateinamen und einen Speicherort ein, und klicken Sie dann auf Weiter. Geben Sie der Datei die Erweiterung .PFX.

  11. Klicken Sie auf Fertig stellen.

Wie konvertiere ich das PKCS #12 Zertifikat und installiere es auf dem Citrix ADC?

  1. Verschieben Sie die exportierte PFX-Zertifikatdatei an einen Speicherort, von dem sie auf die Citrix ADC Appliance kopiert werden kann. Das heißt, auf einen Computer, der SSH-Zugriff auf die Verwaltungsschnittstelle einer Citrix ADC Appliance ermöglicht. Kopieren Sie das Zertifikat mithilfe eines sicheren Kopierdienstprogramms wie SCP auf die Appliance.

  2. Greifen Sie auf die BSD-Shell zu und konvertieren Sie das Zertifikat (z. B. Cert.pfx) in das PEM-Format:

    root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM
    
  3. Um sicherzustellen, dass das konvertierte Zertifikat im richtigen x509-Format ist, überprüfen Sie, ob der folgende Befehl keinen Fehler verursacht:

    root@ns# openssl x509 -in cert.PEM -text
    
  4. Stellen Sie sicher, dass die Zertifikatdatei einen privaten Schlüssel enthält. Beginnen Sie mit dem folgenden Befehl:

    root@ns# cat cert.PEM
    
    Verify that the output file includes an RSA PRIVATE KEY section.
    
    -----BEGIN RSA PRIVATE KEY-----
    Mkm^s9KMs9023pz/s...
    -----END RSA PRIVATE KEY-----
    

    Im Folgenden finden Sie ein weiteres Beispiel für einen RSA PRIVATE KEY-Abschnitt:

        Bag Attributes
        1.3.6.1.4.1.311.17.2: <No Values>
        localKeyID: 01 00 00 00
        Microsoft CSP Name: Microsoft RSA SChannel Cryptographic
        Provider
        friendlyName:
        4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f
    
        Key Attributes
        X509v3 Key Usage: 10
        -----BEGIN RSA PRIVATE KEY-----
        Proc-Type: 4,ENCRYPTED
        DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968
        pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg
    
        ... (more random characters)
        v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh
    
        5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg==
        -----END RSA PRIVATE KEY-----
    

    Der folgende Abschnitt ist ein Abschnitt SERVER CERTIFICATE

        Bag Attributes
        localKeyID: 01 00 00 00
        friendlyName: AG Certificate
        subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother
        Asiapacific/OU=Support/CN=davemother.food.lan
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK
    
        ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/
    
        MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog=
        -----END CERTIFICATE-----
    

    Der folgende Abschnitt ist ein Zwischenzertifizierungsstellenabschnitt:

        Bag Attributes: <Empty Attributes>
        subject=/DC=lan/DC=food/CN=hotdog
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8
    
        ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk=
    
        -----END CERTIFICATE-----
    

    Je nach Zertifizierungspfad des exportierten Zertifikats können weitere Zwischenzertifizierungsstellenzertifikate folgen.

  5. Öffnen der PEM-Datei in einem Texteditor

  6. Suchen Sie die erste Zeile der PEM-Datei und die erste Instanz der folgenden Zeile, und kopieren Sie diese beiden Zeilen und alle Zeilen zwischen ihnen:

    -----END CERTIFICATE-----
    
    Note: Make sure that last copied line is the first
    -----END CERTIFICATE----- line in the .PEM file.
    
    
  7. Fügen Sie die kopierten Zeilen in eine neue Datei ein. Rufen Sie die neue Datei etwas intuitives auf, z. B. cert-key.pem. Dieses Zertifikatschlüsselpaar ist für den Server, der den HTTPS-Dienst hostet. Diese Datei muss sowohl den Abschnitt RSA PRIVATE KEY als auch den Abschnitt SERVER CERTIFICATE im vorangegangenen Beispiel enthalten.

    Hinweis: Die Zertifikatschlüsselpaardatei enthält den privaten Schlüssel und muss daher sicher aufbewahrt werden.

  8. Suchen Sie alle nachfolgenden Abschnitte, die mit -BEGIN CERTIFICATE- beginnen und mit -END CERTIFICATE- enden, und kopieren Sie jeden Abschnitt in eine separate neue Datei.

    Diese Abschnitte entsprechen Zertifikaten vertrauenswürdiger Zertifizierungsstellen, die im Zertifizierungspfad enthalten sind. Diese Abschnitte müssen kopiert und in neue Einzeldateien für diese Zertifikate eingefügt werden. Beispielsweise muss der Abschnitt INTERMEDIATE CA CERTIFICATE des vorangegangenen Beispiels kopiert und in eine neue Datei eingefügt werden).

    Erstellen Sie für mehrere Zwischenzertifikate der Zertifizierungsstelle in der Originaldatei Dateien für jedes Zwischenzertifikat der Zertifizierungsstelle in der Reihenfolge, in der sie in der Datei angezeigt werden. Behalten Sie (unter Verwendung geeigneter Dateinamen) die Reihenfolge, in der die Zertifikate angezeigt werden, da sie in einem späteren Schritt in der richtigen Reihenfolge miteinander verknüpft werden müssen.

  9. Kopieren Sie die Zertifikatschlüsseldatei (cert-key.pem) und alle zusätzlichen Zertifikatdateien der Zertifizierungsstelle in das Verzeichnis /nsconfig/ssl der Citrix ADC Appliance.

  10. Beenden Sie die BSD-Shell und greifen Sie auf die Citrix ADC Eingabeaufforderung zu.

  11. Führen Sie die Schritte unter Installieren Sie die Zertifikatschlüsseldateien auf der Appliance aus, um den Schlüssel/das Zertifikat nach dem Hochladen auf das Gerät zu installieren.

Wie konvertiere ich das PKCS #7 Zertifikat und installiere es auf der Citrix ADC Appliance?

Mit OpenSSL können Sie ein PKCS #7 Zertifikat in ein von der Citrix ADC Appliance erkennbares Format konvertieren. Die Prozedur ist identisch mit der Prozedur für PKCS #12 Zertifikate, außer dass Sie OpenSSL mit unterschiedlichen Parametern aufrufen. Die Schritte zum Konvertieren von PKCS #7 Zertifikaten lauten wie folgt:

  1. Kopieren Sie das Zertifikat mithilfe eines Dienstprogramms für sichere Kopien (z. B. SCP) in die Appliance.

  2. Konvertieren Sie das Zertifikat (z. B. Cert.p7b) in das PEM-Format:

    openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem
    
  3. Führen Sie die Schritte 3 bis 7 aus, wie in der Antwort für PKCS #12 -Zertifikate beschrieben. Hinweis: Bevor Sie das konvertierte PKCS #7 -Zertifikat in die Appliance laden, überprüfen Sie, ob es einen privaten Schlüssel enthält, genau wie in Schritt 3 für die PKCS #12 -Prozedur beschrieben. PKCS #7 -Zertifikate, insbesondere die aus IIS exportierten Zertifikate, enthalten in der Regel keinen privaten Schlüssel.

Wenn ich eine Chiffre mit dem Befehl bind chiffre an einen virtuellen Server oder Dienst binde, wird die Fehlermeldung Command veraltet. ?

Der Befehl zum Binden einer Chiffre an einen virtuellen Server oder Dienst wurde geändert.

Verwenden Sie denbind ssl vserver <vsername> -ciphername <ciphername> Befehl, um eine SSL-Verschlüsselung an einen virtuellen SSL-Server zu binden.

Verwenden Sie denbind ssl service <serviceName> -ciphername <ciphername> Befehl, um eine SSL-Chiffre an einen SSL-Dienst zu binden.

Hinweis: Neue Chiffre und Chiffre Gruppen werden der vorhandenen Liste hinzugefügt und nicht ersetzt.

Warum kann ich keine Verschlüsselungsgruppe erstellen und Chiffre mit dem Befehl add cipher daran binden?

Die Funktion des Befehls Add Cipher wurde in Release 10 geändert. Mit dem Befehl wird nur eine Verschlüsselungsgruppe erstellt. Verwenden Sie den Befehl bind chiffre, um der Gruppe Chiffre hinzuzufügen.

OpenSSL

Wie verwende ich OpenSSL, um Zertifikate zwischen PEM und DER zu konvertieren?

Um OpenSSL verwenden zu können, müssen Sie über eine funktionierende Installation der OpenSSL-Software verfügen und OpenSSL über die Befehlszeile ausführen können.

x509-Zertifikate und RSA-Schlüssel können in verschiedenen Formaten gespeichert werden.

Zwei gängige Formate sind:

  • DER (ein Binärformat, das hauptsächlich von Java- und Macintosh-Plattformen verwendet wird)
  • PEM (eine Base64-Darstellung von DER mit Kopf- und Fußzeileninformationen, die hauptsächlich von UNIX- und Linux-Plattformen verwendet wird).

Ein Schlüssel und das entsprechende Zertifikat können neben dem Stamm- und Zwischenzertifikat auch in einer einzigen PKCS #12 -Datei (.P12, .PFX) gespeichert werden.

Prozedur

Verwenden Sie den OpenSSL-Befehl, um zwischen Formaten wie folgt zu konvertieren:

  1. So konvertieren Sie ein Zertifikat von PEM in DER:

    x509 -in input.crt -inform PEM -out output.crt -outform DER
    
  2. So konvertieren Sie ein Zertifikat von DER in PEM:

    x509 -in input.crt -inform DER -out output.crt -outform PEM
    
  3. So konvertieren Sie einen Schlüssel von PEM in DER:

    rsa -in input.key -inform PEM -out output.key -outform DER
    
  4. So konvertieren Sie einen Schlüssel von DER in PEM:

    rsa -in input.key -inform DER -out output.key -outform PEM
    

    Hinweis: Wenn der Schlüssel, den Sie importieren, mit einer unterstützten symmetrischen Chiffre verschlüsselt ist, werden Sie aufgefordert, den Pass-Phrase einzugeben.

    Hinweis: Wenn Sie einen Schlüssel in oder aus dem veralteten NET (Netscape Server) Format konvertieren möchten, ersetzen Sie NET für PEM oder DER. Der gespeicherte Schlüssel wird in einer schwachen, nicht gesalzenen symmetrischen RC4-Verschlüsselung verschlüsselt, so dass ein Pass-Phrase angefordert wird. Ein leerer Pass-Phrase ist akzeptabel.

Systemgrenzen

An welche wichtigen Zahlen müssen Sie sich erinnern?

  1. Zertifikatsanforderung erstellen:

    • Anforderungsdateiname: Maximal 63 Zeichen
    • Schlüsseldateiname: maximal 63 Zeichen
    • PEM-Passphrase (für verschlüsselten Schlüssel): Maximal 31 Zeichen
    • Allgemeiner Name: Maximal 63 Zeichen
    • Stadt: Maximal 127 Zeichen
    • Organisationsname: maximal 63 Zeichen
    • Bundesland/Provinz Name: Maximal 63 Zeichen
    • E-Mail-Adresse: maximal 39 Zeichen
    • Organisationseinheit: maximal 63 Zeichen
    • Challenge Kennwort: Maximal 20 Zeichen
    • Name des Unternehmens: Maximal 127 Zeichen
  2. Zertifikat erstellen:

    • Zertifikatsdateiname: maximal 63 Zeichen
    • Dateiname der Zertifikatanforderung: maximal 63 Zeichen
    • Schlüsseldateiname: maximal 63 Zeichen
    • PEM-Passphrase: Maximal 31 Zeichen
    • Gültigkeitsdauer: Maximal 3650 Tage
    • Dateiname des CA-Zertifikats: maximal 63 Zeichen
    • Dateiname des CA-Schlüssels: maximal 63 Zeichen
    • PEM-Passphrase: Maximal 31 Zeichen
    • CA-Seriennummerndatei: maximal 63 Zeichen
  3. Erstellen und Installieren eines Servertestzertifikats:

    • Zertifikatsdateiname: maximal 31 Zeichen
    • Vollqualifizierter Domänenname: maximal 63 Zeichen
  4. Diffie-Hellman (DH) Schlüssel erstellen:
    • DH-Dateiname (mit Pfad): Maximal 63 Zeichen
    • DH-Parametergröße: Maximal 2048 Bit
  5. PKCS12-Schlüssel importieren:

    • Ausgabedateiname: maximal 63 Zeichen
    • PKCS12 Dateiname: Maximal 63 Zeichen
    • Kennwort importieren: Maximal 31 Zeichen
    • PEM-Passphrase: Maximal 31 Zeichen
    • PEM-Passphrase überprüfen: Maximal 31 Zeichen
  6. PKCS12 exportieren
    • PKCS12 Dateiname: Maximal 63 Zeichen
    • Zertifikatsdateiname: maximal 63 Zeichen
    • Schlüsseldateiname: maximal 63 Zeichen
    • Kennwort exportieren: Maximal 31 Zeichen
    • PEM-Passphrase: Maximal 31 Zeichen
  7. CRL-Verwaltung:
    • Dateiname des CA-Zertifikats: maximal 63 Zeichen
    • Dateiname des CA-Schlüssels: maximal 63 Zeichen
    • CA-Schlüsseldatei-Kennwort: Maximal 31 Zeichen
    • Indexdateiname: maximal 63 Zeichen
    • Zertifikatsdateiname: maximal 63 Zeichen
  8. RSA-Schlüssel erstellen:
    • Schlüsseldateiname: maximal 63 Zeichen
    • Schlüsselgröße: Maximal 4096 Bit
    • PEM-Passphrase: Maximal 31 Zeichen
    • Passphrase überprüfen: Maximal 31 Zeichen
  9. DSA-Schlüssel erstellen:
    • Schlüsseldateiname: maximal 63 Zeichen
    • Schlüsselgröße: Maximal 4096 Bit
    • PEM-Passphrase: Maximal 31 Zeichen
    • Passphrase überprüfen: Maximal 31 Zeichen
  10. Erweiterte SSL-Einstellungen ändern:
    • Maximale CRL-Speichergröße: Maximal 1024 MByte
    • Timeout des Verschlüsselungsauslösers (10 mS ticks): Maximal 200
    • Anzahl der Verschlüsselungsauslöser-Pakete: Maximal 50
    • OCSP-Cachegröße: Maximal 512 MByte
  11. Installationszertifikat:
    • Name des Zertifikat-Schlüsselpaars: Maximal 31 Zeichen
    • Zertifikatsdateiname: maximal 63 Zeichen
    • Dateiname des privaten Schlüssels: maximal 63 Zeichen
    • Kennwort: Maximal 31 Zeichen
    • Benachrichtigungszeitraum: maximal 100
  12. Verschlüsselungsgruppe erstellen:
    • Name der Verschlüsselungsgruppe: Maximal 39 Zeichen
  13. CRL erstellen:
    • CRL-Name: maximal 31 Zeichen
    • CRL-Datei: maximal 63 Zeichen
    • URL: Maximal 127 Zeichen
    • Basis-DN: Maximal 127 Zeichen
    • Bind DN: Maximal 127 Zeichen
    • Kennwort: Maximal 31 Zeichen
    • Tage: Maximal 31
  14. SSL-Richtlinie erstellen:
    • Name: Maximal 127 Zeichen
  15. SSL-Aktion erstellen:
    • Name: Maximal 127 Zeichen
  16. OCSP-Responder erstellen:
    • Name: Maximal 32 Zeichen
    • URL: Maximal 128 Zeichen
    • Stapeltiefe: Maximal 8
    • Batching-Verzögerung: Maximal 10000
    • Produziert zur Zeit Skew: Maximal 86400
    • Anforderung Timeout: Maximum120000
  17. Virtuellen Server erstellen:
    • Name: Maximal 127 Zeichen
    • Umleitungs-URL: Maximal 127 Zeichen
    • Client-Timeout: Maximal 31536000 Sekunden
  18. Service erstellen:
    • Name: Maximal 127 Zeichen
    • Timeout im Leerlauf (Sekunden): Client: Maximum 31536000 Server: Maximum 31536000
  19. Servicegruppe erstellen:
    • Servicegruppenname: Maximal 127 Zeichen
    • Server-ID: Maximum 4294967295
    • Timeout im Leerlauf (Sekunden): Client: Maximaler Wert 31536000 Server: Maximum 31536000
  20. Monitor erstellen:
    • Name: Maximal 31 Zeichen
  21. Server erstellen:
    • Servername: Maximal 127 Zeichen
    • Domänenname: Maximal 255 Zeichen
    • Wiederholen beheben: Maximal 20939 Sekunden

Häufig gestellte Fragen zu SSL