Häufig gestellte Fragen zu SSL

Grundlegende Fragen

HTTPS-Zugriff auf die GUI schlägt auf einer VPX-Instanz fehl. Wie erhalte ich Zugang?

Für den HTTPS-Zugriff auf die GUI ist ein Zertifikatschlüsselpaar erforderlich. Auf einem Citrix ADC wird ein Zertifikatschlüsselpaar automatisch an die internen Dienste gebunden. Auf einer MPX- oder SDX-Appliance beträgt die Standardschlüsselgröße 1024 Byte und bei einer VPX-Instanz beträgt die Standardschlüsselgröße 512 Byte. Die meisten Browser akzeptieren heute jedoch keinen Schlüssel, der weniger als 1024 Bytes ist. Dadurch wird der HTTPS-Zugriff auf das VPX-Konfigurationsprogramm blockiert.

Citrix empfiehlt, ein Zertifikatschlüsselpaar von mindestens 1024 Byte zu installieren und es an den internen Dienst für HTTPS-Zugriff auf das Konfigurationsprogramm zu binden oder das ns-server-Zertifikat auf 1024 Byte zu aktualisieren. Sie können den HTTP-Zugriff auf das Konfigurationsprogramm oder die CLI verwenden, um das Zertifikat zu installieren.

Wenn ich einer MPX-Appliance eine Lizenz hinzufüge, geht die Zertifikatschlüsselpaarbindung verloren. Wie kann ich dieses Problem lösen?

Wenn beim Start keine Lizenz auf einer MPX-Appliance vorhanden ist und Sie später eine Lizenz hinzufügen und die Appliance neu starten, verlieren Sie möglicherweise die Zertifikatbindung. Sie müssen das Zertifikat neu installieren und es an den internen Dienst binden

Citrix empfiehlt, vor dem Starten der Appliance eine entsprechende Lizenz zu installieren.

Was sind die verschiedenen Schritte bei der Einrichtung eines sicheren Kanals für eine SSL-Transaktion?

Das Einrichten eines sicheren Kanals für eine SSL-Transaktion umfasst die folgenden Schritte:

  1. Der Client sendet eine HTTPS-Anforderung für einen sicheren Kanal an den Server.

  2. Nach Auswahl des Protokolls und der Verschlüsselung sendet der Server sein Zertifikat an den Client.

  3. Der Client überprüft die Authentizität des Serverzertifikats.

  4. Wenn eine der Prüfungen fehlschlägt, zeigt der Client das entsprechende Feedback an.

  5. Wenn die Prüfungen bestehen oder der Client beschließt, fortzufahren, selbst wenn eine Prüfung fehlschlägt, erstellt der Client einen temporären Einweg-Schlüssel namens Pre-Master-Geheimnis und verschlüsselt ihn mithilfe des öffentlichen Schlüssels des Serverzertifikats.

  6. Der Server entschlüsselt ihn nach Erhalt des Pre-Master-Geheimnisses mithilfe des privaten Schlüssels des Servers und generiert die Sitzungsschlüssel. Der Client generiert auch die Sitzungsschlüssel aus dem Pre-Master-Geheimnis. Somit haben sowohl Client als auch Server nun einen gemeinsamen Sitzungsschlüssel, der für die Verschlüsselung und Entschlüsselung von Anwendungsdaten verwendet wird.

Ich verstehe, dass SSL ein CPU-intensiver Prozess ist. Welche CPU-Kosten sind mit dem SSL-Prozess verbunden?

Die folgenden zwei Phasen sind mit dem SSL-Prozess verknüpft:

  • Die erste Handshake-Konfiguration und sichere Kanal-Setup mithilfe der Public und Private Key-Technologie.

  • Massendatenverschlüsselung mithilfe der asymmetrischen Schlüsseltechnologie.

Beide der vorherigen Phasen können sich auf die Serverleistung auswirken, und sie erfordern eine intensive CPU-Verarbeitung aus folgenden Gründen:

  1. Der erste Handshake beinhaltet die Kryptographie öffentlich-privater Schlüssel, die aufgrund großer Schlüsselgrößen (1024bit, 2048bit, 4096bit) sehr CPU-intensiv ist.

  2. Die Verschlüsselung/Entschlüsselung von Daten ist ebenfalls rechnerisch teuer, abhängig von der Datenmenge, die verschlüsselt oder entschlüsselt werden muss.

Was sind die verschiedenen Entitäten einer SSL-Konfiguration?

Eine SSL-Konfiguration verfügt über die folgenden Entitäten:

  • Serverzertifikat
  • Zertifikat der Zertifizierungsstelle (CA)
  • Verschlüsselungssuite, die die Protokolle für die folgenden Aufgaben angibt:
    • Initialer Schlüsselaustausch
    • Server- und Clientauthentifizierung
    • Massenverschlüsselungsalgorithmus
    • Nachrichtenauthentifizierung
  • Clientauthentifizierung
  • CRL
  • SSL-Zertifikatschlüsselgenerierungstool, mit dem Sie die folgenden Dateien erstellen können:
    • Zertifikatanforderung
    • Selbstsigniertes Zertifikat
    • RSA- und DSA-Schlüssel
    • DH-Parameter

Ich möchte die SSL-Abladungsfunktion der Citrix ADC Appliance verwenden. Was sind die verschiedenen Optionen für den Empfang eines SSL-Zertifikats?

Sie müssen ein SSL-Zertifikat erhalten, bevor Sie das SSL-Setup auf der Citrix ADC Appliance konfigurieren können. Sie können eine der folgenden Methoden verwenden, um ein SSL-Zertifikat zu erhalten:

  • Anfordern eines Zertifikats von einer autorisierten Zertifizierungsstelle.

  • Verwenden Sie das vorhandene Serverzertifikat.

  • Erstellen Sie ein Zertifikatschlüsselpaar auf der Citrix ADC Appliance.

Hinweis: Dies ist ein Testzertifikat, das von der von der Citrix ADC Appliance generierten Test-Root-CA signiert wurde. Von dieser Root-CA signierte Testzertifikate werden von Browsern nicht akzeptiert. Der Browser gibt eine Warnmeldung aus, die besagt, dass das Zertifikat des Servers nicht authentifiziert werden kann.

  • Für andere Zwecke als Testzwecke müssen Sie ein gültiges Zertifizierungsstellenzertifikat und einen Zertifizierungsstellenschlüssel angeben, um das Serverzertifikat zu signieren.

Was sind die Mindestanforderungen für ein SSL-Setup?

Die Mindestanforderungen für die Konfiguration eines SSL-Setups sind wie folgt:

  • Beschaffen Sie sich die Zertifikate und Schlüssel.
  • Erstellen Sie einen virtuellen SSL-Server mit Lastenausgleich.
  • Binden Sie HTTP- oder SSL-Dienste an den virtuellen SSL-Server.
  • Binden Sie das Zertifikatschlüsselpaar an den virtuellen SSL-Server.

Was sind die Grenzen für die verschiedenen Komponenten von SSL?

SSL-Komponenten haben folgende Grenzwerte:

  • Bitgröße von SSL-Zertifikaten: 4096.
  • Anzahl der SSL-Zertifikate: Abhängig vom verfügbaren Speicher auf der Appliance.
  • Maximal verknüpfte zwischengeschaltete CA-SSL-Zertifikate: 9 pro Kette.
  • Sperrsperrsperrsperrsperrsperrsperrliste: Abhängig vom verfügbaren Speicher auf der Appliance.

Was sind die verschiedenen Schritte bei der End-to-End-Datenverschlüsselung auf einer Citrix ADC Appliance?

Die Schritte, die an der serverseitigen Verschlüsselung auf einer Citrix ADC Appliance beteiligt sind, sind wie folgt:

  1. Der Client stellt eine Verbindung mit der SSL-VIP her, die auf der Citrix ADC Appliance am sicheren Standort konfiguriert ist.

  2. Nach Erhalt der sicheren Anforderung entschlüsselt die Appliance die Anforderung, wendet Layer 4-7 Content-Switching-Techniken und Load Balancing-Richtlinien an und wählt den besten verfügbaren Backend-Webserver für die Anforderung aus.

  3. Die Citrix ADC Appliance erstellt eine SSL-Sitzung mit dem ausgewählten Server.

  4. Nach dem Einrichten der SSL-Sitzung verschlüsselt die Appliance die Clientanforderung und sendet sie mithilfe der sicheren SSL-Sitzung an den Webserver.

  5. Wenn die Appliance die verschlüsselte Antwort vom Server empfängt, entschlüsselt und verschlüsselt sie die Daten erneut und sendet die Daten mit der clientseitigen SSL-Sitzung an den Client.

Die Multiplexing-Technik der Citrix ADC Appliance ermöglicht es der Appliance, SSL-Sitzungen wiederzuverwenden, die mit den Webservern eingerichtet wurden. Daher vermeidet die Appliance den CPU-intensiven Schlüsselaustausch, der als vollständiger Handshakebezeichnet wird. Durch diesen Prozess wird die Gesamtzahl der SSL-Sitzungen auf dem Server reduziert und die End-to-End-Sicherheit aufrechterhalten.

Zertifikate und Schlüssel

Kann ich das Zertifikat und die Schlüsseldateien an einem beliebigen Ort ablegen? Gibt es einen empfohlenen Speicherort zum Speichern dieser Dateien?

Sie können das Zertifikat und die Schlüsseldateien auf der Citrix ADC Appliance oder einem lokalen Computer speichern. Citrix empfiehlt jedoch, das Zertifikat und die Schlüsseldateien im Verzeichnis /nsconfig/ssl der Citrix ADC Appliance zu speichern. Das Verzeichnis /etc befindet sich im Flash-Speicher der Citrix ADC Appliance. Dies bietet Portabilität und erleichtert die Sicherung und Wiederherstellung der Zertifikatdateien auf der Appliance.

Hinweis: Stellen Sie sicher, dass das Zertifikat und die Schlüsseldateien im selben Verzeichnis gespeichert sind.

Wie groß ist die maximale Größe des Zertifikatsschlüssels, der von der Citrix ADC Appliance unterstützt wird?

Eine Citrix ADC Appliance, auf der eine Softwareversion vor Version 9.0 ausgeführt wird, unterstützt eine maximale Zertifikatschlüsselgröße von 2048 Bit. Version 9.0 und höher unterstützen eine maximale Zertifikatsschlüsselgröße von 4096 Bit. Dieser Grenzwert gilt sowohl für RSA- als auch für DSA-Zertifikate.

Eine MPX-Appliance unterstützt Zertifikate von 512 Bit bis zu den folgenden Größen:

  • 4096-Bit-Serverzertifikat auf dem virtuellen Server

  • 4096-Bit-Clientzertifikat für den Dienst

  • 4096-Bit-CA-Zertifikat (einschließlich Zwischen- und Stammzertifikate)

  • 4096-Bit-Zertifikat auf dem Back-End-Server

  • 4096-Bit-Clientzertifikat (wenn die Clientauthentifizierung auf dem virtuellen Server aktiviert ist)

Eine virtuelle Appliance unterstützt Zertifikate von 512 Bit bis zu den folgenden Größen:

  • 4096-Bit-Serverzertifikat auf dem virtuellen Server

  • 4096-Bit-Clientzertifikat für den Dienst

  • 4096-Bit-CA-Zertifikat (einschließlich Zwischen- und Stammzertifikate)

  • 4096-Bit-Zertifikat auf dem Back-End-Server ab Release 12.0-56.x. Ältere Versionen unterstützen 2048-Bit-Zertifikate.

  • 2048-Bit-Clientzertifikat (wenn die Clientauthentifizierung auf dem virtuellen Server aktiviert ist) ab Release 12.0-56.x.

Wie groß ist die maximale Größe des auf der Citrix ADC Appliance unterstützten DH-Parameters?

Die Citrix ADC Appliance unterstützt einen DH-Parameter von maximal 2048 Bit.

Wie hoch ist die maximale Zertifikatkettenlänge, d. h. die maximale Anzahl von Zertifikaten in einer Kette, die von einer Citrix ADC Appliance unterstützt wird?

Eine Citrix ADC Appliance kann maximal 10 Zertifikate in einer Kette senden, wenn eine Serverzertifikatmeldung gesendet wird. Eine Kette mit der maximalen Länge umfasst das Serverzertifikat und neun zwischengeschaltete Zertifizierungsstellenzertifikate.

Welche Zertifikat- und Schlüsselformate werden von der Citrix ADC Appliance unterstützt?

Die Citrix ADC Appliance unterstützt die folgenden Zertifikat- und Schlüsselformate:

  • Datenschutzerweiterter E-Mail (PEM)
  • Distinguished Coding Regel (DER)

Gibt es eine Begrenzung für die Anzahl der Zertifikate und Schlüssel, die ich auf der Citrix ADC Appliance installieren kann?

Nein. Die Anzahl der Zertifikate und Schlüssel, die installiert werden können, ist nur durch den verfügbaren Speicher auf der Citrix ADC Appliance begrenzt.

Ich habe das Zertifikat und die Schlüsseldateien auf dem lokalen Computer gespeichert. Ich möchte diese Dateien mithilfe des FTP-Protokolls auf die Citrix ADC Appliance übertragen. Gibt es einen bevorzugten Modus für die Übertragung dieser Dateien auf die Citrix ADC Appliance?

Ja. Wenn Sie das FTP-Protokoll verwenden, sollten Sie den Binärmodus verwenden, um das Zertifikat und die Schlüsseldateien an die Citrix ADC Appliance zu übertragen.

Hinweis: FTP ist standardmäßig deaktiviert. Citrix empfiehlt die Verwendung des SCP-Protokolls für die Übertragung von Zertifikaten und Schlüsseldateien. Das Konfigurationsdienstprogramm verwendet implizit SCP, um eine Verbindung mit der Appliance herzustellen.

Was ist der Standardverzeichnispfad für das Zertifikat und den Schlüssel?

Der Standardverzeichnispfad für Zertifikat und Schlüssel lautet ‘/nsconfig/ssl’.

Was passiert beim Hinzufügen eines Zertifikats und eines Schlüsselpaars, wenn ich keinen absoluten Pfad zu den Zertifikaten und Schlüsseldateien angebe?

Wenn Sie beim Hinzufügen eines Zertifikats und eines Schlüsselpaars keinen absoluten Pfad zu den Zertifikats- und Schlüsseldateien angeben, durchsucht die Citrix ADC Appliance das Standardverzeichnis /nsconfig/ssl nach den angegebenen Dateien und versucht, sie in den Kernel zu laden. Wenn beispielsweise die Dateien cert1024.pem und rsa1024.pem im Verzeichnis /nsconfig/ssl der Appliance verfügbar sind, sind beide der folgenden Befehle erfolgreich:

add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem

Ich habe ein Hochverfügbarkeits-Setup konfiguriert. Ich möchte die SSL-Funktion auf dem Setup implementieren. Wie soll ich das Zertifikat und die Schlüsseldateien in einem Hochverfügbarkeits-Setup behandeln?

In einem Hochverfügbarkeits-Setup müssen Sie das Zertifikat und die Schlüsseldateien sowohl auf der primären als auch auf der sekundären Citrix ADC Appliance speichern. Der Verzeichnispfad für das Zertifikat und die Schlüsseldateien muss auf beiden Appliances identisch sein, bevor Sie ein SSL-Zertifikatschlüsselpaar auf der primären Appliance hinzufügen.

Thales NShield® HSM

Müssen wir bei der Integration mit Thales nShield® HSM eine spezifische Konfiguration beachten, wenn Sie die Citrix ADC Appliance zu HA hinzufügen?

Sie müssen die gleichen Thales-Geräte auf beiden Knoten in HA konfigurieren. Thales Konfigurationsbefehle werden in HA nicht synchronisiert. Hinweise zu den Voraussetzungen für Thales NShield® HSM finden Sie unterVoraussetzungen.

Müssen wir sowohl die Appliances mit Thales nShield® HSM als auch RFS individuell integrieren? Müssen wir dies vor oder nach dem HA-Setup tun?

Sie können die Integration vor oder nach dem HA-Setup abschließen. Wenn die Integration jedoch nach dem HA-Setup erfolgt, werden die Schlüssel, die vor der Konfiguration des sekundären Knotens auf dem primären Knoten importiert wurden, nicht mit dem sekundären Knoten synchronisiert. Daher empfiehlt Citrix Thales Integration vor dem HA-Setup.

Müssen wir den Schlüssel sowohl in die primäre als auch sekundäre Citrix ADC Appliances importieren, oder werden die Schlüssel vom primären Knoten zum sekundären Knoten synchronisiert?

Wenn Thales auf beiden Geräten vor der Bildung des HA integriert ist, werden die Schlüssel automatisch von RFS im Prozess der Integration synchronisiert.

Da sich der HSM nicht auf der Citrix ADC Appliance, sondern auf Thales befindet, was geschieht mit den Schlüsseln und Zertifikaten, wenn ein Knoten ausfällt und ersetzt wird?

Wenn ein Knoten fehlschlägt, ist es möglich, die Schlüssel und Zertifikate mit dem neuen Knoten zu synchronisieren, indem Sie zuerst Thales in den neuen Knoten integrieren und dann die folgenden Befehle ausführen:

sync ha files ssl
force ha sync

Die Zertifikate werden synchronisiert und hinzugefügt, wenn die Schlüssel bei der Integration von Thales synchronisiert werden.

Chiffre

Was ist eine Nullchiffre?

Chiffre ohne Verschlüsselung werden als NULL-Chiffre bezeichnet. NULL-MD5 ist beispielsweise eine NULL-Chiffre.

Sind die NULL-Chiffre standardmäßig für einen SSL-VIP oder einen SSL-Dienst aktiviert?

Nein. Null-Chiffre sind standardmäßig nicht für einen SSL-VIP oder einen SSL-Dienst aktiviert.

Was ist das Verfahren, um Null-Chiffre zu entfernen?

Führen Sie den folgenden Befehl aus, um die Null-Chiffre von einem SSL-VIP zu entfernen:

bind ssl cipher <SSL_VIP> REM NULL

Führen Sie den folgenden Befehl aus, um die Null-Chiffre aus einem SSL-Dienst zu entfernen:

bind ssl cipher <SSL_Service> REM NULL -service

Welche Chiffrier-Aliase werden von der Citrix ADC Appliance unterstützt?

Geben Sie an der Eingabeaufforderung Folgendes ein, um die von der Appliance unterstützten Chiffrier-Aliase aufzulisten:

sh cipher

Wie lautet der Befehl, um alle vordefinierten Chiffre der Citrix ADC Appliance anzuzeigen?

Um alle vordefinierten Chiffre der Citrix ADC Appliance anzuzeigen, geben Sie an der Befehlszeilenschnittstelle Folgendes ein:

show ssl cipher

Wie lautet der Befehl, um die Details einer einzelnen Chiffre der Citrix ADC Appliance anzuzeigen?

Um die Details einer einzelnen Chiffre der Citrix ADC Appliance anzuzeigen, geben Sie an der Befehlszeilenschnittstelle Folgendes ein:

show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>

Beispiel:

show cipher SSL3-RC4-SHA
     1) Cipher Name: SSL3-RC4-SHA
     Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
    Mac=SHA1
     Done

Welche Bedeutung hat das Hinzufügen der vordefinierten Chiffre der Citrix ADC Appliance?

Durch das Hinzufügen der vordefinierten Chiffre der Citrix ADC Appliance werden die Null-Chiffre zu einem SSL-VIP oder einem SSL-Dienst hinzugefügt.

Zertifikate

Ist der Distinguished Name in einem Clientzertifikat für die Dauer der Benutzersitzung verfügbar?

Ja. Sie können auf den definierten Namen des Clientzertifikats in nachfolgenden Anforderungen während der Dauer der Benutzersitzung zugreifen, d. h. auch nachdem der SSL-Handshake abgeschlossen ist und das Zertifikat nicht erneut vom Browser gesendet wird. Verwenden Sie dazu eine Variable und eine Zuweisung, wie in der folgenden Beispielkonfiguration beschrieben:

Beispiel:

add ns variable v2 -type "text(100)"

add ns assignment a1 -variable "$v2" -set       "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"

add rewrite action act1 insert_http_header subject "$v2"  // example: to insert the distinguished name in the header

add rewrite policy pol1 true a1

add rewrite policy pol2 true act1

bind rewrite global pol1 1 next -type RES_DEFAULT

bind rewrite global pol2 2 next -type RES_DEFAULT

set rewrite param -undefAction RESET

Warum muss ich das Serverzertifikat binden?

Die Bindung der Serverzertifikate ist die Grundvoraussetzung für die Aktivierung der SSL-Konfiguration zur Verarbeitung von SSL-Transaktionen.

Um das Serverzertifikat an einen SSL-VIP zu binden, geben Sie an der CLI Folgendes ein:

bind ssl vserver <vServerName> -certkeyName <cert_name>

Um das Serverzertifikat an einen SSL-Dienst zu binden, geben Sie an der CLI Folgendes ein:

bind ssl service <serviceName> -certkeyName <cert_name>

Wie viele Zertifikate kann ich an einen SSL-VIP oder einen SSL-Dienst binden?

Auf einer virtuellen Citrix ADC Appliance können Sie maximal drei Zertifikate an einen SSL-VIP- oder einen SSL-Dienst binden, je eines vom Typ RSA, ECDSA und DSA. Wenn SNI aktiviert ist, können Sie auf einer Citrix ADC MPX (N2) oder MPX-FIPS-Appliance mehrere Serverzertifikate vom Typ RSA binden. Wenn SNI deaktiviert ist, können Sie maximal ein Zertifikat vom Typ RSA binden. Auf einer Citrix ADC MPX (N3) und Citrix ADC MPX/SDX FIPS-Appliance können Sie maximal zwei Zertifikate an einen SSL-VIP- oder einen SSL-Dienst binden, jeweils einen vom Typ RSA und Typ ECDSA.

Hinweis: DSA-Zertifikate werden auf MPX- oder MPX-FIPS-Plattformen nicht unterstützt.

Unterstützt SNI Zertifikate (Subject Alternative Name, SAN)?

Nein. Auf einer Citrix ADC Appliance wird SNI nicht mit einem SAN-Erweiterungszertifikat unterstützt.

Was passiert, wenn ich ein Serverzertifikat aufheben oder überschreibe?

Wenn Sie ein Serverzertifikat aufheben oder überschreiben, werden alle Verbindungen und SSL-Sitzungen, die mithilfe des vorhandenen Zertifikats erstellt wurden, beendet. Wenn Sie ein vorhandenes Zertifikat überschreiben, wird die folgende Meldung angezeigt:

ERROR:

Warning: Current certificate replaces the previous binding.

Wie installiere ich ein Zwischenzertifikat auf Citrix ADC und verknüpfen Sie mit einem Serverzertifikat?

Weitere Informationen http://support.citrix.com/article/ctx114146 zum Installieren eines Zwischenzertifikats finden Sie im Artikel unter.

Warum erhalte ich einen Fehler Ressource ist bereits vorhanden, wenn ich versuche, ein Zertifikat auf dem Citrix ADC zu installieren?

Anweisungen http://support.citrix.com/article/CTX117284 zum Beheben des Fehlers Ressource ist bereits vorhanden finden Sie im Artikel unter.

Ich möchte ein Serverzertifikat auf einer Citrix ADC Appliance erstellen, um das Produkt zu testen und auszuwerten. Wie wird ein Serverzertifikat erstellt?

Führen Sie das folgende Verfahren aus, um ein Testzertifikat zu erstellen.

Hinweis: Ein mit diesem Verfahren erstelltes Zertifikat kann nicht zur Authentifizierung aller Benutzer und Browser verwendet werden. Nachdem Sie das Zertifikat zum Testen verwendet haben, sollten Sie ein Serverzertifikat erhalten, das von einer autorisierten Stammzertifizierungsstelle signiert wurde.

So erstellen Sie ein selbstsigniertes Serverzertifikat:

  1. Um ein Stammzertifikat zu erstellen, geben Sie an der CLI Folgendes ein:

    create ssl rsakey /nsconfig/ssl/test-ca.key 1024
    
    create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key
    
    Enter the required information when prompted, and then type the following command:
    
    create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key
    
  2. Führen Sie das folgende Verfahren aus, um ein Serverzertifikat zu erstellen und es mit dem soeben erstellten Stammzertifikat zu signieren.

    1. Um die Anforderung und den Schlüssel zu erstellen, geben Sie an der CLI Folgendes ein:

      create ssl rsakey /nsconfig/ssl/test-server.key 1024
      
          create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key
      
    2. Geben Sie die erforderlichen Informationen ein, wenn Sie dazu aufgefordert werden.

    3. Um eine Seriennummerndatei zu erstellen, geben Sie an der CLI Folgendes ein:

      shell
       # echo '01' >
      /nsconfig/ssl/serial.txt
       # exit
      
    4. Um ein Serverzertifikat zu erstellen, das von dem in Schritt 1 erstellten Stammzertifikat signiert wurde, geben Sie an der CLI Folgendes ein:

      create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt
      
    5. Geben Sie Folgendes ein, um einen Citrix ADC Certkey zu erstellen, bei dem es sich um das In-Memory-Objekt handelt, das die Serverzertifikatinformationen für SSL-Handshakes und Massenverschlüsselung enthält:

      add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key
      
    6. Um das certkey-Objekt an den virtuellen SSL-Server zu binden, geben Sie an der CLI Folgendes ein:

      bind ssl vserver <vServerName> -certkeyName <cert_name>
      

Ich habe eine Citrix ADC Appliance erhalten, auf der NetScaler -Softwareversion 9.0 installiert ist. Ich habe eine zusätzliche Lizenzdatei auf der Appliance bemerkt. Gibt es eine Änderung in der Lizenzierungsrichtlinie ab NetScaler Software Release 9.0?

Ja. Ab Citrix NetScaler -Softwareversion 9.0 verfügt die Appliance möglicherweise nicht über eine einzelne Lizenzdatei. Die Anzahl der Lizenzdateien hängt von der Citrix ADC -Software-Release-Edition ab. Wenn Sie beispielsweise die Advanced Edition installiert haben, benötigen Sie möglicherweise zusätzliche Lizenzdateien für die volle Funktionalität der verschiedenen Funktionen. Wenn Sie jedoch die Premium-Edition installiert haben, verfügt die Appliance nur über eine Lizenzdatei.

Wie exportiere ich das Zertifikat aus dem Internet Information Service (IIS)?

Es gibt viele Möglichkeiten, dies zu tun, aber mit der folgenden Methode werden das entsprechende Zertifikat und der private Schlüssel für die Website exportiert. Diese Prozedur muss auf dem tatsächlichen IIS-Server ausgeführt werden.

  1. Öffnen Sie das Verwaltungstool Internetinformationsdienste (IIS) Manager.

  2. Erweitern Sie den Knoten Websites, und suchen Sie die SSL-fähige Website, die Sie über die Citrix ADC Appliance bereitstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf diese Website, und klicken Sie auf Eigenschaften.

  4. Klicken Sie auf die Registerkarte Verzeichnissicherheit, und aktivieren Sie im Abschnitt Secure Communications des Fensters das Feld Zertifikat anzeigen.

  5. Klicken Sie auf die Registerkarte Details, und klicken Sie dann auf In Datei kopieren.

  6. Klicken Sie auf der Seite Willkommen beim Zertifikatexport-Assistenten auf Weiter.

  7. Wählen Sie Ja, den privaten Schlüssel exportieren und klicken Sie auf Weiter.

    Hinweis: Der private Schlüssel MUSS exportiert werden, damit SSL-Offload auf dem Citrix ADC funktioniert.

  8. Stellen Sie sicher, dass das Optionsfeld Personal Information Exchange -PKCS #12 aktiviert ist, und aktivieren Sie nur das Kontrollkästchen Alle Zertifikate in den Zertifizierungspfad einschließen, wenn möglich. Klicken Sie auf Weiter.

  9. Geben Sie ein Kennwort ein und klicken Sie auf Weiter.

  10. Geben Sie einen Dateinamen und einen Speicherort ein, und klicken Sie dann auf Weiter. Geben Sie der Datei die Erweiterung .PFX.

  11. Klicken Sie auf Fertig stellen.

Wie konvertiere ich das PKCS #12 Zertifikat und installiere es auf dem Citrix ADC?

  1. Verschieben Sie die exportierte PFX-Zertifikatsdatei an einen Speicherort, von dem aus sie in den Citrix ADC kopiert werden kann (d. h. auf einen Computer, der den SSH-Zugriff auf die Verwaltungsschnittstelle einer Citrix ADC-Appliance ermöglicht). Kopieren Sie das Zertifikat mithilfe eines sicheren Kopierdienstprogramms wie SCP auf die Appliance.

  2. Greifen Sie auf die BSD-Shell zu und konvertieren Sie das Zertifikat (z. B. Cert.pfx) in das PEM-Format:

    root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM
    
  3. Um sicherzustellen, dass das konvertierte Zertifikat im korrekten x509-Format ist, stellen Sie sicher, dass der folgende Befehl keinen Fehler erzeugt:

    root@ns# openssl x509 -in cert.PEM -text
    
  4. Stellen Sie sicher, dass die Zertifikatdatei einen privaten Schlüssel enthält. Beginnen Sie mit dem folgenden Befehl:

    root@ns# cat cert.PEM
    
    Verify that the output file includes an RSA PRIVATE KEY section.
    
    -----BEGIN RSA PRIVATE KEY-----
    Mkm^s9KMs9023pz/s...
    -----END RSA PRIVATE KEY-----
    

    Im Folgenden finden Sie ein weiteres Beispiel für einen RSA PRIVATE KEY-Abschnitt:

        Bag Attributes
        1.3.6.1.4.1.311.17.2: <No Values>
        localKeyID: 01 00 00 00
        Microsoft CSP Name: Microsoft RSA SChannel Cryptographic
        Provider
        friendlyName:
        4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f
    
        Key Attributes
        X509v3 Key Usage: 10
        -----BEGIN RSA PRIVATE KEY-----
        Proc-Type: 4,ENCRYPTED
        DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968
        pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg
    
        ... (more random characters)
        v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh
    
        5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg==
        -----END RSA PRIVATE KEY-----
    

    Der folgende Abschnitt ist ein Abschnitt SERVER CERTIFICATE

        Bag Attributes
        localKeyID: 01 00 00 00
        friendlyName: AG Certificate
        subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother
        Asiapacific/OU=Support/CN=davemother.food.lan
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK
    
        ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/
    
        MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog=
        -----END CERTIFICATE-----
    

    Der folgende Abschnitt ist ein Zwischenzertifizierungsstellenabschnitt:

        Bag Attributes: <Empty Attributes>
        subject=/DC=lan/DC=food/CN=hotdog
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8
    
        ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk=
    
        -----END CERTIFICATE-----
    

    Je nach Zertifizierungspfad des exportierten Zertifikats können weitere zwischengeschaltete CA-Zertifikate folgen.

  5. Öffnen der PEM-Datei in einem Texteditor

  6. Suchen Sie die erste Zeile der PEM-Datei und die erste Instanz der folgenden Zeile, und kopieren Sie diese beiden Zeilen und alle Zeilen zwischen ihnen:

    -----END CERTIFICATE-----
    
    Note: Make sure that last copied line is the first
    -----END CERTIFICATE----- line in the .PEM file.
    
    
  7. Fügen Sie die kopierten Zeilen in eine neue Datei ein. Rufen Sie die neue Datei etwas intuitives auf, z. B. cert-key.pem. Dies ist das Zertifikatschlüsselpaar für den Server, der den HTTPS-Dienst hostet. Diese Datei sollte sowohl den Abschnitt mit der Bezeichnung RSA PRIVATE KEY als auch den Abschnitt SERVER CERTIFICATE im obigen Beispiel enthalten.

    Hinweis: Die Zertifikatschlüsselpaardatei enthält den privaten Schlüssel und muss daher sicher aufbewahrt werden.

  8. Suchen Sie alle nachfolgenden Abschnitte, die mit -BEGIN CERTIFICATE- beginnen und mit -END CERTIFICATE- enden, und kopieren Sie jeden Abschnitt in eine separate neue Datei.

    Diese Abschnitte entsprechen Zertifikaten vertrauenswürdiger Zertifizierungsstellen, die im Zertifizierungspfad enthalten sind. Diese Abschnitte sollten für diese Zertifikate kopiert und in neue einzelne Dateien eingefügt werden. Beispielsweise sollte der Abschnitt INTERMEDIATE CA CERTIFICATE des obigen Beispiels kopiert und in eine neue Datei eingefügt werden).

    Erstellen Sie für mehrere Zwischenzertifikate in der Originaldatei neue Dateien für jedes zwischengeschaltete Zertifizierungsstellenzertifikat in der Reihenfolge, in der sie in der Datei angezeigt werden. Behalten Sie (unter Verwendung geeigneter Dateinamen) die Reihenfolge, in der die Zertifikate angezeigt werden, da sie in einem späteren Schritt in der richtigen Reihenfolge miteinander verknüpft werden müssen.

  9. Kopieren Sie die Zertifikatschlüsseldatei (cert-key.pem) und alle zusätzlichen Zertifikatdateien der Zertifizierungsstelle in das Verzeichnis /nsconfig/ssl der Citrix ADC Appliance.

  10. Beenden Sie die BSD-Shell und greifen Sie auf die Citrix ADC Eingabeaufforderung zu.

  11. Führen Sie die Schritte unter Installieren Sie die Zertifikatschlüsseldateien auf der Appliance aus, um den Schlüssel/das Zertifikat nach dem Hochladen auf das Gerät zu installieren.

Wie konvertiere ich das PKCS #7 Zertifikat und installiere es auf der Citrix ADC Appliance?

Mit OpenSSL können Sie ein PKCS #7 Zertifikat in ein von der Citrix ADC Appliance erkennbares Format konvertieren. Die Prozedur ist identisch mit der Prozedur für PKCS #12 Zertifikate, außer dass Sie OpenSSL mit unterschiedlichen Parametern aufrufen. Die Schritte zum Konvertieren von PKCS #7 Zertifikaten lauten wie folgt:

  1. Kopieren Sie das Zertifikat mithilfe eines Dienstprogramms für sichere Kopien (z. B. SCP) in die Appliance.

  2. Konvertieren Sie das Zertifikat (z. B. cert.p7b) in das PEM-Format:

    openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem
    
  3. Führen Sie die Schritte 3 bis 7 aus, wie in der Antwort für PKCS #12 -Zertifikate beschrieben. Hinweis: Stellen Sie vor dem Laden des konvertierten PKCS #7 -Zertifikats in die Appliance sicher, dass es einen privaten Schlüssel enthält, genau wie in Schritt 3 für die PKCS #12 -Prozedur beschrieben. PKCS #7 Zertifikate, insbesondere solche, die aus IIS exportiert werden, enthalten in der Regel keinen privaten Schlüssel.

Wenn ich eine Chiffre mit dem Befehl bind chiffre an einen virtuellen Server oder Dienst binde, wird die Fehlermeldung Command veraltet. ?

Der Befehl zum Binden einer Chiffre an einen virtuellen Server oder Dienst wurde geändert.

Verwenden Sie den <vsername> <ciphername> Befehl bind ssl vserver -ciphername, um eine SSL-Verschlüsselung an einen virtuellen SSL-Server zu binden.

Verwenden Sie den <serviceName> <ciphername> Befehl bind ssl service -ciphername, um eine SSL-Verschlüsselung an einen SSL-Dienst zu binden.

Hinweis: Neue Chiffre und Chiffre Gruppen werden der vorhandenen Liste hinzugefügt und nicht ersetzt.

Warum kann ich keine neue Verschlüsselungsgruppe erstellen und Chiffre mit dem Befehl add chiffre daran binden?

Die Funktion des Befehls Add Cipher wurde in Release 10 geändert. Mit dem Befehl wird nur eine Verschlüsselungsgruppe erstellt. Verwenden Sie den Befehl bind chiffre, um der Gruppe Chiffre hinzuzufügen.

OpenSSL

Wie verwende ich OpenSSL, um Zertifikate zwischen PEM und DER zu konvertieren?

Um OpenSSL zu verwenden, benötigen Sie eine funktionierende Installation der OpenSSL Software und können OpenSSL über die Befehlszeile ausführen.

x509-Zertifikate und RSA-Schlüssel können in verschiedenen Formaten gespeichert werden.

Zwei gängige Formate sind DER (ein binäres Format, das hauptsächlich von Java- und Macintosh-Plattformen verwendet wird) und PEM (eine base64-Darstellung von DER mit Kopf- und Fußzeileninformationen, die hauptsächlich von UNIX- und Linux-Plattformen verwendet wird). Es gibt auch ein veraltetes NET (Netscape Server) Format, das von früheren Versionen von IIS (bis einschließlich 4.0) und verschiedenen anderen weniger gebräuchlichen Formaten verwendet wurde, die in diesem Artikel nicht behandelt werden.

Ein Schlüssel und das entsprechende Zertifikat sowie das Stamm- und alle Zwischenzertifikate können ebenfalls in einer einzelnen PKCS #12 (.P12, .PFX) -Datei gespeichert werden.

Prozedur

Verwenden Sie den Befehl OpenSSL, um folgende Formate zu konvertieren:

  1. So konvertieren Sie ein Zertifikat von PEM in DER:

    x509 -in input.crt -inform PEM -out output.crt -outform DER
    
  2. So konvertieren Sie ein Zertifikat von DER in PEM:

    x509 -in input.crt -inform DER -out output.crt -outform PEM
    
  3. So konvertieren Sie einen Schlüssel von PEM in DER:

    rsa -in input.key -inform PEM -out output.key -outform DER
    
  4. So konvertieren Sie einen Schlüssel von DER in PEM:

    rsa -in input.key -inform DER -out output.key -outform PEM
    

    Hinweis: Wenn der Schlüssel, den Sie importieren, mit einer unterstützten symmetrischen Chiffre verschlüsselt ist, werden Sie aufgefordert, den Pass-Phrase einzugeben.

    Hinweis: Wenn Sie einen Schlüssel in oder aus dem veralteten NET (Netscape Server) Format konvertieren möchten, ersetzen Sie NET für PEM oder DER. Der gespeicherte Schlüssel wird in einer schwachen, ungesalzenen RC4-symmetrischen Chiffre verschlüsselt, so dass ein Pass-Phrase angefordert wird. Ein leerer Pass-Phrase ist akzeptabel.

Systemgrenzen

An welche wichtigen Zahlen müssen Sie sich erinnern?

  1. Zertifikatsanforderung erstellen:

    • Anforderungsdateiname: Maximal 63 Zeichen
    • Schlüsseldateiname: maximal 63 Zeichen
    • PEM-Passphrase (für verschlüsselten Schlüssel): Maximal 31 Zeichen
    • Allgemeiner Name: Maximal 63 Zeichen
    • Stadt: Maximal 127 Zeichen
    • Organisationsname: maximal 63 Zeichen
    • Bundesland/Provinz Name: Maximal 63 Zeichen
    • E-Mail-Adresse: maximal 39 Zeichen
    • Organisationseinheit: maximal 63 Zeichen
    • Challenge Kennwort: Maximal 20 Zeichen
    • Name des Unternehmens: Maximal 127 Zeichen
  2. Zertifikat erstellen:

    • Zertifikatsdateiname: maximal 63 Zeichen
    • Dateiname der Zertifikatanforderung: maximal 63 Zeichen
    • Schlüsseldateiname: maximal 63 Zeichen
    • PEM-Passphrase: Maximal 31 Zeichen
    • Gültigkeitsdauer: Maximal 3650 Tage
    • Dateiname des CA-Zertifikats: maximal 63 Zeichen
    • Dateiname des CA-Schlüssels: maximal 63 Zeichen
    • PEM-Passphrase: Maximal 31 Zeichen
    • CA-Seriennummerndatei: maximal 63 Zeichen
  3. Erstellen und Installieren eines Servertestzertifikats:

    • Zertifikatsdateiname: maximal 31 Zeichen
    • Vollqualifizierter Domänenname: maximal 63 Zeichen
  4. Diffie-Hellman (DH) Schlüssel erstellen:
    • DH Dateiname (mit Pfad): maximal 63 Zeichen
    • DH-Parametergröße: Maximal 2048 Bit
  5. PKCS12-Schlüssel importieren:

    • Ausgabedateiname: maximal 63 Zeichen
    • PKCS12 Dateiname: Maximal 63 Zeichen
    • Kennwort importieren: Maximal 31 Zeichen
    • PEM-Passphrase: Maximal 31 Zeichen
    • PEM-Passphrase überprüfen: Maximal 31 Zeichen
  6. PKCS12 exportieren
    • PKCS12 Dateiname: Maximal 63 Zeichen
    • Zertifikatsdateiname: maximal 63 Zeichen
    • Schlüsseldateiname: maximal 63 Zeichen
    • Kennwort exportieren: Maximal 31 Zeichen
    • PEM-Passphrase: Maximal 31 Zeichen
  7. CRL-Verwaltung:
    • Dateiname des CA-Zertifikats: maximal 63 Zeichen
    • Dateiname des CA-Schlüssels: maximal 63 Zeichen
    • CA-Schlüsseldatei-Kennwort: Maximal 31 Zeichen
    • Indexdateiname: maximal 63 Zeichen
    • Zertifikatsdateiname: maximal 63 Zeichen
  8. RSA-Schlüssel erstellen:
    • Schlüsseldateiname: Maximal 63 Zeichen
    • Schlüsselgröße: Maximal 4096 Bit
    • PEM-Passphrase: Maximal 31 Zeichen
    • Passphrase überprüfen: Maximal 31 Zeichen
  9. DSA-Schlüssel erstellen:
    • Schlüsseldateiname: Maximal 63 Zeichen
    • Schlüsselgröße: Maximal 4096 Bit
    • PEM-Passphrase: Maximal 31 Zeichen
    • Passphrase überprüfen: Maximal 31 Zeichen
  10. Erweiterte SSL-Einstellungen ändern:
    • Maximale CRL-Speichergröße: Maximal 1024 MByte
    • Timeout des Verschlüsselungsauslösers (10 mS ticks): Maximal 200
    • Anzahl der Verschlüsselungsauslöser-Pakete: Maximal 50
    • OCSP-Cachegröße: Maximal 512 MByte
  11. Installationszertifikat:
    • Name des Zertifikat-Schlüsselpaars: Maximal 31 Zeichen
    • Zertifikatsdateiname: maximal 63 Zeichen
    • Dateiname des privaten Schlüssels: maximal 63 Zeichen
    • Kennwort: Maximal 31 Zeichen
    • Benachrichtigungszeitraum: maximal 100
  12. Verschlüsselungsgruppe erstellen:
    • Name der Verschlüsselungsgruppe: Maximal 39 Zeichen
  13. CRL erstellen:
    • CRL-Name: maximal 31 Zeichen
    • CRL-Datei: maximal 63 Zeichen
    • URL: Maximal 127 Zeichen
    • Basis-DN: Maximal 127 Zeichen
    • Bind DN: Maximal 127 Zeichen
    • Kennwort: Maximal 31 Zeichen
    • Tag (e): Maximum 31
  14. SSL-Richtlinie erstellen:
    • Name: Maximal 127 Zeichen
  15. SSL-Aktion erstellen:
    • Name: Maximal 127 Zeichen
  16. OCSP-Responder erstellen:
    • Name: Maximal 32 Zeichen
    • URL: Maximal 128 Zeichen
    • Stapeltiefe: Maximal 8
    • Batching-Verzögerung: Maximal 10000
    • Produziert zur Zeit Skew: Maximal 86400
    • Anforderung Timeout: Maximum120000
  17. Virtuellen Server erstellen:
    • Name: Maximal 127 Zeichen
    • Umleitungs-URL: Maximal 127 Zeichen
    • Client-Timeout: Maximal 31536000 Sekunden
  18. Service erstellen:
    • Name: Maximal 127 Zeichen
    • Timeout im Leerlauf (Sekunden): Client: Maximum 31536000 Server: Maximum 31536000
  19. Servicegruppe erstellen:
    • Servicegruppenname: Maximal 127 Zeichen
    • Server-ID: Maximum 4294967295
    • Timeout im Leerlauf (Sekunden): Client: Maximaler Wert 31536000 Server: Maximum 31536000
  20. Monitor erstellen:
    • Name: Maximal 31 Zeichen
  21. Server erstellen:
    • Servername: Maximal 127 Zeichen
    • Domänenname: Maximal 255 Zeichen
    • Wiederholen beheben: Maximal 20939 Sekunden