Citrix ADC

Serverauthentifizierung

Da die Citrix ADC Appliance SSL-Offload und -Beschleunigung im Auftrag eines Webservers durchführt, authentifiziert die Appliance das Zertifikat des Webservers normalerweise nicht. Sie können den Server jedoch in Bereitstellungen authentifizieren, die eine End-to-End-SSL-Verschlüsselung erfordern.

In einem solchen Fall wird die Appliance zum SSL-Client, führt eine sichere Transaktion mit dem SSL-Server durch, überprüft, ob eine Zertifizierungsstelle, deren Zertifikat an den SSL-Dienst gebunden ist, das Serverzertifikat signiert hat, und überprüft die Gültigkeit des Serverzertifikats.

Um den Server zu authentifizieren, müssen Sie zuerst die Serverauthentifizierung aktivieren und dann das Zertifikat der Zertifizierungsstelle, die das Serverzertifikat signiert hat, an den SSL-Dienst auf der Citrix ADC Appliance binden. Beim Binden des Zertifikats müssen Sie die Option Bindung als Zertifizierungsstelle angeben.

Aktivieren (oder Deaktivieren) der Serverzertifikatsauthentifizierung

Sie können die CLI und die GUI verwenden, um die Serverzertifikatsauthentifizierung zu aktivieren und zu deaktivieren.

Aktivieren (oder deaktivieren) der Serverzertifikatsauthentifizierung mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Serverzertifikatsauthentifizierung zu aktivieren und die Konfiguration zu überprüfen:

set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>

Beispiel:

set ssl service ssl-service-1 -serverAuth ENABLED
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done

Aktivieren (oder deaktivieren) der Serverzertifikatsauthentifizierung mit der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services, und öffnen Sie einen SSL-Dienst.
  2. Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivieren aus, und geben Sie einen allgemeinen Namen an.
  3. Wählen Sie unter Erweiterte Einstellungen Zertifikate aus, und binden Sie ein Zertifizierungsstellenzertifikat an den Dienst.

Binden des Zertifizierungsstellenzertifikats an den Dienst mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um das Zertifizierungsstellenzertifikat an den Dienst zu binden und die Konfiguration zu überprüfen:

bind ssl service <serviceName> -certkeyName <string> -CA

show ssl service <serviceName>

Beispiel:

bind ssl service ssl-service-1 -certkeyName samplecertkey -CA
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      CertKey Name: samplecertkey     CA Certificate          CRLCheck: Optional
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done

Konfigurieren eines allgemeinen Namens für die Serverzertifikatauthentifizierung

Bei der End-to-End-Verschlüsselung mit aktivierter Serverauthentifizierung können Sie einen gemeinsamen Namen in die Konfiguration eines SSL-Dienstes oder einer Dienstgruppe aufnehmen. Der angegebene Name wird während eines SSL-Handshakes mit dem allgemeinen Namen im Serverzertifikat verglichen. Wenn die beiden Namen übereinstimmen, ist der Handshake erfolgreich. Wenn die allgemeinen Namen nicht übereinstimmen, wird der für den Dienst oder die Dienstgruppe angegebene allgemeine Name mit den Werten im Feld Subject Alternative Name (SAN) im Zertifikat verglichen. Wenn er einem dieser Werte entspricht, ist der Handshake erfolgreich. Diese Konfiguration ist besonders nützlich, wenn sich beispielsweise zwei Server hinter einer Firewall befinden und einer der Server die Identität des anderen hinterlässt. Wenn der allgemeine Name nicht aktiviert ist, wird ein von beiden Servern vorgestelltes Zertifikat akzeptiert, wenn die IP-Adresse übereinstimmt.

Hinweis: Im SAN-Feld werden nur Domänenname, URL und E-Mail-ID DNS-Einträge verglichen.

Konfigurieren der Überprüfung gemeinsamem Namen für einen SSL-Dienst oder eine Dienstgruppe mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Serverauthentifizierung mit der Überprüfung des gemeinsamen Namens anzugeben und die Konfiguration zu überprüfen:

  1. Geben Sie Folgendes ein, um den allgemeinen Namen in einem Dienst zu konfigurieren:

    set ssl service <serviceName> -commonName <string> -serverAuth ENABLED
    show ssl service <serviceName>
    
  2. Geben Sie Folgendes ein, um den allgemeinen Namen in einer Dienstgruppe zu konfigurieren:

    set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED
    show ssl serviceGroup <serviceGroupName>
    

Beispiel:

> set ssl service svc1 -commonName xyz.com -serverAuth ENABLED
show ssl service svc

     Advanced SSL configuration for Back-end SSL Service svc1:
     DH: DISABLED
     Ephemeral RSA: DISABLED
     Session Reuse: ENABLED Timeout: 300 seconds
     Cipher Redirect: DISABLED
     SSLv2 Redirect: DISABLED
     Server Auth: ENABLED Common Name: www.xyz.com
     SSL Redirect: DISABLED
     Non FIPS Ciphers: DISABLED
     SNI: DISABLED
     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
    1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
    1) Cipher Name: ALL
     Description: Predefined Cipher Alias
Done

Konfigurieren der Überprüfung gemeinsamem Namen für einen SSL-Dienst oder eine Dienstgruppe mit der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services oder Navigieren Sie zu Traffic Management > Load Balancing > Service Groups, und öffnen Sie einen Service oder eine Servicegruppe.
  2. Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivieren aus, und geben Sie einen allgemeinen Namen an.

Serverauthentifizierung