Erstellen und Verwenden von SSL-Zertifikaten auf einer Citrix ADC Appliance
Führen Sie die folgenden Schritte aus, um ein Zertifikat zu erstellen und es an einen virtuellen SSL-Server zu binden.
- Erstellen Sie einen privaten Schlüssel.
- Erstellen Sie eine Zertifikatsignieranforderung (CSR).
- Senden Sie den CSR an eine Zertifizierungsstelle.
- Erstellen Sie ein Zertifikatschlüsselpaar.
- Binden Sie das Zertifikatschlüsselpaar an einen virtuellen SSL-Server
Das folgende Diagramm veranschaulicht den End-zu-End-Fluss.
Erstellen eines privaten Schlüssels
Der private Schlüssel ist der wichtigste Teil eines digitalen Zertifikats. Dieser Schlüssel ist definitionsgemäß für niemanden freigegeben und sollte sicher auf der Citrix ADC Appliance aufbewahrt werden. Alle mit dem öffentlichen Schlüssel verschlüsselten Daten können nur mit dem privaten Schlüssel entschlüsselt werden.
Das Zertifikat, das Sie von der Zertifizierungsstelle erhalten, ist nur mit dem privaten Schlüssel gültig, der zum Erstellen der CSR verwendet wurde. Der Schlüssel ist erforderlich, um das Zertifikat zur Citrix ADC Appliance hinzuzufügen.
Wichtig:
Stellen Sie sicher, dass Sie den Zugriff auf Ihren privaten Schlüssel einschränken. Jeder, der Zugriff auf Ihren privaten Schlüssel hat, kann Ihre SSL-Daten entschlüsseln. Hinweis:
Die Länge des zulässigen SSL-Schlüsselnamens enthält die Länge des absoluten Pfadnamens, wenn der Pfad im Schlüsselnamen enthalten ist.
Erstellen eines privaten RSA-Schlüssels mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
create ssl rsakey <keyFile> <bits> [-exponent ( 3 | F4 )] [-keyform (DER | PEM )] [-des | -des3 | -aes256] {-password } [-pkcs8]
Beispiel:
create rsakey RSA_Key 2048 -aes256 -password 123456 -pkcs8
Erstellen eines privaten RSA-Schlüssels mit der GUI
-
Navigieren Sie zu Traffic Management > SSL.
-
Wählen Sie in der Gruppe SSL-Schlüssel die Option RSA-Schlüssel erstellen aus.
-
Geben Sie Werte für die folgenden Parameter ein, und klicken Sie auf Erstellen.
- Schlüsseldateiname - Name und optional Pfad zur RSA-Schlüsseldatei. /nsconfig/ssl/ ist der Standardpfad.
- Schlüsselgröße - Größe des RSA-Schlüssels in Bits. Kann von 512 Bit bis 4096 Bit reichen.
- Öffentlicher Exponent Value - Öffentlicher Exponent für den RSA-Schlüssel. Der Exponent ist Teil des Verschlüsselungsalgorithmus und wird für die Erstellung des RSA-Schlüssels benötigt.
- Schlüsselformat - Format, in dem die RSA-Schlüsseldatei auf der Appliance gespeichert ist.
- PEM Encoding Algorithm - Verschlüsseln Sie den generierten RSA-Schlüssel mithilfe des Algorithmus AES 256, DES oder Triple-DES (DES3).
- PEM-Passphrase - Geben Sie optional einen Passphrase für den Schlüssel ein.
Erstellen einer Zertifikatsignieranforderung
Verwenden Sie den privaten Schlüssel, um eine Zertifikatsignaturanforderung zu erstellen und an eine Zertifizierungsstelle zu senden.
Erstellen einer Zertifikatsignaturanforderung mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
create ssl certreq <reqFile> -keyFile <input_filename> | -fipsKeyName <string>) [-keyForm (DER | PEM) {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName <string> -organizationUnitName <string> -localityName <string> -commonName <string> -emailAddress <string> {-challengePassword } -companyName <string> -digestMethod ( SHA1 | SHA256 )
Beispiel:
create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256
Erstellen einer Zertifikatsignaturanforderung mit der GUI
- Navigieren Sie zu Traffic Management > SSL.
-
Klicken Sie in SSL-Zertifikat auf Create Certificate Signing Request (CSR).
-
Geben Sie Werte für die folgenden Parameter ein, und klicken Sie auf Erstellen.
-
Request Filename - Name und optional Pfad zur Certificate Signing Request (CSR). /nsconfig/ssl/ ist der Standardpfad.
-
Schlüsseldateiname - Name und optional Pfad zu dem privaten Schlüssel, der zum Erstellen der Zertifikatsignaturanforderung verwendet wird, der dann Teil des Zertifikatschlüsselpaares wird. Der private Schlüssel kann entweder ein RSA- oder ein DSA-Schlüssel sein. Der Schlüssel muss im lokalen Speicher der Appliance vorhanden sein. /nsconfig/ssl ist der Standardpfad.
-
Allgemeiner Name
-
Organisationsname
-
Status
-
Land
-
Übermitteln der CSR an die Zertifizierungsstelle
Die meisten Zertifizierungsstellen akzeptieren Zertifikatübermittlungen per E-Mail. Die Zertifizierungsstelle gibt ein gültiges Zertifikat an die E-Mail-Adresse zurück, von der Sie die CSR übermitteln.
Hinzufügen eines Zertifikatschlüsselpaars
Installieren Sie das signierte Zertifikat, das von der Zertifizierungsstelle empfangen wurde.
Hinweis: Zertifikate und Schlüssel werden standardmäßig im Verzeichnis /nsconfig/ssl gespeichert. Wenn Ihre Zertifikate oder Schlüssel an einem anderen Speicherort gespeichert sind, müssen Sie den absoluten Pfad zu den Dateien auf der Citrix ADC Appliance angeben.
Hinzufügen eines Zertifikatschlüsselpaars mit der CLI
add ssl certKey <certkeyName> -cert <string>[(-key <string> [-password]) | -fipsKey <string>] [-inform ( DER | PEM )] [<passplain>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]]
show ssl certKey [<certkeyName>]
Beispiel:
add ssl certKey rsa_certkeypair -cert server_cert.pem -key RSA_Key.pem -password ssl -expiryMonitor ENABLED -notificationPeriod 30
Done
Hinzufügen eines Zertifikatschlüsselpaars mit der GUI
-
Navigieren Sie zu Traffic Management > SSL > Zertifikate > Server.
-
Geben Sie Werte für die folgenden Parameter ein, und klicken Sie auf Installieren.
-
Name des Zertifikatschlüsselpaars - Name des Zertifikats und des Privatschlüsselpaars.
-
Zertifikatsdateiname - Signiertes Zertifikat, das von der Zertifizierungsstelle empfangen wurde.
-
Schlüsseldateiname - Name und optional Pfad zur Privatschlüsseldatei, die zur Bildung des Zertifikatschlüsselpaares verwendet wird.
-
Binden Sie das Zertifikatschlüsselpaar an einen virtuellen SSL-Server
Wichtig: Verknüpfen Sie alle Zwischenzertifikate mit diesem Zertifikat, bevor Sie das Zertifikat an einen virtuellen SSL-Server binden. Hinweise zum Verknüpfen von Zertifikaten finden Sie unterErstellen einer Kette von Zertifikaten.
Das Zertifikat, das für die Verarbeitung von SSL-Transaktionen verwendet wird, muss an den virtuellen Server gebunden sein, der die SSL-Daten empfängt. Wenn mehrere virtuelle Server SSL-Daten empfangen, muss ein gültiges Zertifikatschlüsselpaar an jeden dieser Server gebunden sein.
Binden Sie ein SSL-Zertifikatschlüsselpaar an einen virtuellen Server mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein SSL-Zertifikatschlüsselpaar an einen virtuellen Server zu binden und die Konfiguration zu überprüfen:
bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName> -CA -skipCAName
show ssl vserver <vServerName>
Beispiel:
bind ssl vs vs1 -certkeyName cert2 -CA -skipCAName
Done
sh ssl vs vs1
Advanced SSL configuration for VServer vs1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: DISABLED TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: cert1 CA Certificate OCSPCheck: Optional CA_Name Sent
2) CertKey Name: cert2 CA Certificate OCSPCheck: Optional CA_Name Skipped
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Done
Binden Sie ein SSL-Zertifikatschlüsselpaar an einen virtuellen Server mit der GUI
-
Navigieren Sie zu Verkehrsverwaltung > Lastenausgleich > Virtuelle Server, und öffnen Sie einen virtuellen SSL-Server. Klicken Sie in den Abschnitt Zertifikat.
-
Klicken Sie auf den Pfeil, um das Zertifikatschlüsselpaar auszuwählen.
-
Wählen Sie das Zertifikatschlüsselpaar aus der Liste aus.
-
Binden Sie das Zertifikatschlüsselpaar an den virtuellen Server.
