Citrix ADC

Erstellen und Verwenden von SSL-Zertifikaten auf einer Citrix ADC Appliance

Führen Sie die folgenden Schritte aus, um ein Zertifikat zu erstellen und es an einen virtuellen SSL-Server zu binden.

  • Erstellen Sie einen privaten Schlüssel.
  • Erstellen Sie eine Zertifikatsignieranforderung (CSR).
  • Senden Sie den CSR an eine Zertifizierungsstelle.
  • Erstellen Sie ein Zertifikatschlüsselpaar.
  • Binden Sie das Zertifikatschlüsselpaar an einen virtuellen SSL-Server

Das folgende Diagramm veranschaulicht den End-zu-End-Fluss.

End-to-End-Fluss

Erstellen eines privaten Schlüssels

Der private Schlüssel ist der wichtigste Teil eines digitalen Zertifikats. Dieser Schlüssel ist definitionsgemäß für niemanden freigegeben und sollte sicher auf der Citrix ADC Appliance aufbewahrt werden. Alle mit dem öffentlichen Schlüssel verschlüsselten Daten können nur mit dem privaten Schlüssel entschlüsselt werden.

Das Zertifikat, das Sie von der Zertifizierungsstelle erhalten, ist nur mit dem privaten Schlüssel gültig, der zum Erstellen der CSR verwendet wurde. Der Schlüssel ist erforderlich, um das Zertifikat zur Citrix ADC Appliance hinzuzufügen.

Wichtig:

Stellen Sie sicher, dass Sie den Zugriff auf Ihren privaten Schlüssel einschränken. Jeder, der Zugriff auf Ihren privaten Schlüssel hat, kann Ihre SSL-Daten entschlüsseln. Hinweis:

Die Länge des zulässigen SSL-Schlüsselnamens enthält die Länge des absoluten Pfadnamens, wenn der Pfad im Schlüsselnamen enthalten ist.

Erstellen eines privaten RSA-Schlüssels mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl rsakey <keyFile> <bits> [-exponent ( 3 | F4 )] [-keyform (DER | PEM )] [-des | -des3 | -aes256] {-password } [-pkcs8]

Beispiel:

create rsakey RSA_Key 2048 -aes256 -password 123456 -pkcs8

Erstellen eines privaten RSA-Schlüssels mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL.

  2. Wählen Sie in der Gruppe SSL-Schlüssel die Option RSA-Schlüssel erstellen aus.

    RSA-Schlüssel erstellen

  3. Geben Sie Werte für die folgenden Parameter ein, und klicken Sie auf Erstellen.

    • Schlüsseldateiname - Name und optional Pfad zur RSA-Schlüsseldatei. /nsconfig/ssl/ ist der Standardpfad.
    • Schlüsselgröße - Größe des RSA-Schlüssels in Bits. Kann von 512 Bit bis 4096 Bit reichen.
    • Öffentlicher Exponent Value - Öffentlicher Exponent für den RSA-Schlüssel. Der Exponent ist Teil des Verschlüsselungsalgorithmus und wird für die Erstellung des RSA-Schlüssels benötigt.
    • Schlüsselformat - Format, in dem die RSA-Schlüsseldatei auf der Appliance gespeichert ist.
    • PEM Encoding Algorithm - Verschlüsseln Sie den generierten RSA-Schlüssel mithilfe des Algorithmus AES 256, DES oder Triple-DES (DES3).
    • PEM-Passphrase - Geben Sie optional einen Passphrase für den Schlüssel ein.

    Werte eingeben

Erstellen einer Zertifikatsignieranforderung

Verwenden Sie den privaten Schlüssel, um eine Zertifikatsignaturanforderung zu erstellen und an eine Zertifizierungsstelle zu senden.

Erstellen einer Zertifikatsignaturanforderung mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

create ssl certreq <reqFile> -keyFile <input_filename> | -fipsKeyName <string>) [-keyForm (DER | PEM) {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName <string> -organizationUnitName <string> -localityName <string> -commonName <string> -emailAddress <string> {-challengePassword } -companyName <string> -digestMethod ( SHA1 | SHA256 )

Beispiel:

create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256

Erstellen einer Zertifikatsignaturanforderung mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL.
  2. Klicken Sie in SSL-Zertifikat auf Create Certificate Signing Request (CSR).

    Zertifikatsignaturanforderung erstellen

  3. Geben Sie Werte für die folgenden Parameter ein, und klicken Sie auf Erstellen.

    • Request Filename - Name und optional Pfad zur Certificate Signing Request (CSR). /nsconfig/ssl/ ist der Standardpfad.

    • Schlüsseldateiname - Name und optional Pfad zu dem privaten Schlüssel, der zum Erstellen der Zertifikatsignaturanforderung verwendet wird, der dann Teil des Zertifikatschlüsselpaares wird. Der private Schlüssel kann entweder ein RSA- oder ein DSA-Schlüssel sein. Der Schlüssel muss im lokalen Speicher der Appliance vorhanden sein. /nsconfig/ssl ist der Standardpfad.

    • Allgemeiner Name

    • Organisationsname

    • Status

    • Land

    Werte für CSR eingeben

Übermitteln der CSR an die Zertifizierungsstelle

Die meisten Zertifizierungsstellen akzeptieren Zertifikatübermittlungen per E-Mail. Die Zertifizierungsstelle gibt ein gültiges Zertifikat an die E-Mail-Adresse zurück, von der Sie die CSR übermitteln.

Hinzufügen eines Zertifikatschlüsselpaars

Installieren Sie das signierte Zertifikat, das von der Zertifizierungsstelle empfangen wurde.

Hinweis: Zertifikate und Schlüssel werden standardmäßig im Verzeichnis /nsconfig/ssl gespeichert. Wenn Ihre Zertifikate oder Schlüssel an einem anderen Speicherort gespeichert sind, müssen Sie den absoluten Pfad zu den Dateien auf der Citrix ADC Appliance angeben.

Hinzufügen eines Zertifikatschlüsselpaars mit der CLI

add ssl certKey <certkeyName> -cert <string>[(-key <string> [-password]) | -fipsKey <string>] [-inform ( DER | PEM )] [<passplain>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]]

show ssl certKey [<certkeyName>]

Beispiel:

add ssl certKey rsa_certkeypair -cert server_cert.pem -key RSA_Key.pem -password ssl -expiryMonitor ENABLED -notificationPeriod 30
 Done

Hinzufügen eines Zertifikatschlüsselpaars mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate > Server.

    Zertifikat installieren

  2. Geben Sie Werte für die folgenden Parameter ein, und klicken Sie auf Installieren.

    • Name des Zertifikatschlüsselpaars - Name des Zertifikats und des Privatschlüsselpaars.

    • Zertifikatsdateiname - Signiertes Zertifikat, das von der Zertifizierungsstelle empfangen wurde.

    • Schlüsseldateiname - Name und optional Pfad zur Privatschlüsseldatei, die zur Bildung des Zertifikatschlüsselpaares verwendet wird.

    Typenwerte

Binden Sie das Zertifikatschlüsselpaar an einen virtuellen SSL-Server

Wichtig: Verknüpfen Sie alle Zwischenzertifikate mit diesem Zertifikat, bevor Sie das Zertifikat an einen virtuellen SSL-Server binden. Hinweise zum Verknüpfen von Zertifikaten finden Sie unterErstellen einer Kette von Zertifikaten.

Das Zertifikat, das für die Verarbeitung von SSL-Transaktionen verwendet wird, muss an den virtuellen Server gebunden sein, der die SSL-Daten empfängt. Wenn mehrere virtuelle Server SSL-Daten empfangen, muss ein gültiges Zertifikatschlüsselpaar an jeden dieser Server gebunden sein.

Binden Sie ein SSL-Zertifikatschlüsselpaar an einen virtuellen Server mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein SSL-Zertifikatschlüsselpaar an einen virtuellen Server zu binden und die Konfiguration zu überprüfen:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName> -CA -skipCAName
show ssl vserver <vServerName>

Beispiel:

bind ssl vs vs1 -certkeyName cert2 -CA -skipCAName
 Done
sh ssl vs vs1

 Advanced SSL configuration for VServer vs1:

 DH: DISABLED

 Ephemeral RSA: ENABLED Refresh Count: 0

 Session Reuse: ENABLED Timeout: 120 seconds

 Cipher Redirect: DISABLED

 SSLv2 Redirect: DISABLED

 ClearText Port: 0

 Client Auth: DISABLED

 SSL Redirect: DISABLED

 Non FIPS Ciphers: DISABLED

 SNI: DISABLED

 OCSP Stapling: DISABLED

 HSTS: DISABLED

 IncludeSubDomains: NO

 HSTS Max-Age: 0

 SSLv2: DISABLED SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED

 Push Encryption Trigger: Always

 Send Close-Notify: YES

 Strict Sig-Digest Check: DISABLED

ECC Curve: P_256, P_384, P_224, P_521

 1) CertKey Name: cert1 CA Certificate OCSPCheck: Optional CA_Name Sent
 2) CertKey Name: cert2 CA Certificate OCSPCheck: Optional CA_Name Skipped
 1) Cipher Name: DEFAULT

Description: Default cipher list with encryption strength >= 128bit
Done

Binden Sie ein SSL-Zertifikatschlüsselpaar an einen virtuellen Server mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > Lastenausgleich > Virtuelle Server, und öffnen Sie einen virtuellen SSL-Server. Klicken Sie in den Abschnitt Zertifikat.

    Zertifikat an virtuellen Server binden

  2. Klicken Sie auf den Pfeil, um das Zertifikatschlüsselpaar auszuwählen.

    Klicken Sie auf den Pfeil, um das Zertifikatschlüsselpaar auszuwählen

  3. Wählen Sie das Zertifikatschlüsselpaar aus der Liste aus.

    Zertifikatschlüsselpaar auswählen

  4. Binden Sie das Zertifikatschlüsselpaar an den virtuellen Server.

    Binden des Zertifikats an den virtuellen Server

Erstellen und Verwenden von SSL-Zertifikaten auf einer Citrix ADC Appliance