Citrix ADC

Installieren, Verknüpfen und Aktualisieren von Zertifikaten

Informationen zum Installieren eines Zertifikats finden Sie unterHinzufügen oder Aktualisieren eines Zertifikatschlüsselpaars.

Verknüpfen von Zertifikaten

Viele Serverzertifikate werden von mehreren hierarchischen Zertifizierungsstellen (Certificate Authorities, CA) signiert, was bedeutet, dass die Zertifikate eine Kette wie die folgende bilden:

Zertifikatskette

Manchmal wird die Intermediate CA in eine primäre und sekundäre Zwischenzertifizierungsstelle aufgeteilt. Dann bilden die Zertifikate eine Kette wie folgt:

Zertifikatskette 2

Clientcomputer enthalten normalerweise das Stammzertifizierungsstellenzertifikat im lokalen Zertifikatspeicher, jedoch kein oder mehrere Zwischenzertifizierungsstellenzertifikate. Die ADC-Appliance muss ein oder mehrere zwischengeschaltete Zertifizierungsstellenzertifikate an die Clients senden.

Hinweis: Die Appliance darf das Stammzertifikat der Zertifizierungsstelle nicht an den Client senden. Das PKI-Vertrauensstellungsmodell (Public Key Infrastructure) erfordert die Installation von Stammzertifizierungsstellenzertifikaten auf Clients über eine Out-of-Band-Methode. Beispielsweise sind die Zertifikate im Betriebssystem oder Webbrowser enthalten. Der Client ignoriert ein von der Appliance gesendeter Stammzertifizierungsstellenzertifikat.

Manchmal stellt eine Zwischenzertifizierungsstelle, die Standard-Webbrowser nicht als vertrauenswürdige Zertifizierungsstelle erkennen, das Serverzertifikat aus. In diesem Fall müssen mindestens ein Zertifizierungsstellenzertifikat mit dem eigenen Zertifikat des Servers an den Client gesendet werden. Andernfalls beendet der Browser die SSL-Sitzung, da das Serverzertifikat nicht authentifiziert werden kann.

Zwischenzertifikate

In den folgenden Abschnitten finden Sie Informationen zum Hinzufügen von Server- und Zwischenzertifikaten:

  • Manuelle Zertifikatverknüpfung
  • Automatisierte Zertifikatverknüpfung
  • Erstellen einer Kette von Zertifikaten

Manuelle Zertifikatverknüpfung

Hinweis: Diese Funktion wird auf der Citrix ADC FIPS-Plattform und in einem Cluster-Setup nicht unterstützt.

Anstatt einzelne Zertifikate hinzuzufügen und zu verknüpfen, können Sie nun ein Serverzertifikat und bis zu neun Zwischenzertifikate in einer einzigen Datei gruppieren. Sie können den Dateinamen angeben, wenn Sie ein Zertifikatschlüsselpaar hinzufügen. Bevor Sie dies tun, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind.

  • Die Zertifikate in der Datei sind in der folgenden Reihenfolge:
    • Serverzertifikat (muss das erste Zertifikat in der Datei sein)
    • Optional kann ein Serverschlüssel
    • Zwischenbescheinigung 1 (ic1)
    • Zwischenzertifikat 2 (ic2)
    • Zwischenzertifikat 3 (ic3) usw. Hinweis: Zwischenzertifikatdateien werden für jedes Zwischenzertifikat mit dem Namen “<certificatebundlename>.pem_ic< n>” erstellt, wobei n zwischen 1 und 9 liegt. Beispiel: bundle.pem_ic1, wobei bundle der Name des Zertifikatssatzes ist und ic1 das erste Zwischenzertifikat in der Menge ist.
  • Die Option Bundle ist aktiviert.
  • Es sind nicht mehr als neun Zwischenzertifikate in der Datei vorhanden.

Die Datei wird analysiert und das Serverzertifikat, Zwischenzertifikate und Serverschlüssel (falls vorhanden) identifiziert. Zuerst werden das Serverzertifikat und der Schlüssel hinzugefügt. Dann werden die Zwischenzertifikate in der Reihenfolge hinzugefügt, in der sie der Datei hinzugefügt wurden, und entsprechend verknüpft.

Ein Fehler wird gemeldet, wenn eine der folgenden Bedingungen vorliegt:

  • Auf der Appliance ist eine Zertifikatdatei für eines der Zwischenzertifikate vorhanden.
  • Der Schlüssel wird vor dem Serverzertifikat in der Datei platziert.
  • Ein Zwischenzertifikat wird vor dem Serverzertifikat platziert.
  • Zwischenzertifikate werden nicht in der gleichen Reihenfolge in der Datei gespeichert, in der sie erstellt wurden.
  • In der Datei sind keine Zertifikate vorhanden.
  • Ein Zertifikat hat nicht das richtige PEM-Format.
  • Die Anzahl der Zwischenzertifikate in der Datei überschreitet neun.

Hinzufügen eines Zertifikatssatzes mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen Zertifikatsatz zu erstellen und die Konfiguration zu überprüfen:

add ssl certKey <certkeyName> -cert <string> -key <string> -bundle (YES | NO)

show ssl certKey

show ssl certlink

Im folgenden Beispiel enthält der Zertifikatssatz (bundle.pem) die folgenden Dateien:

Serverzertifikat (Bundle), das mit bundle_ic1 verknüpft ist

Erstes Zwischenzertifikat (bundle_ic1), das mit bundle_ic2 verknüpft ist

Zweites Zwischenzertifikat (bundle_ic2), das mit bundle_ic3 verknüpft ist

Drittes Zwischenzertifikat (bundle_ic3)

add ssl certKey bundletest -cert bundle9.pem -key bundle9.pem -bundle yes

sh ssl certkey

1)      Name: ns-server-certificate
        Cert Path: ns-server.cert
        Key Path: ns-server.key
        Format: PEM
        Status: Valid,   Days to expiration:5733
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Server Certificate
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=default OULLFT
        Validity
                Not Before: Apr 21 15:56:16 2016 GMT
                Not After : Mar  3 06:30:56 2032 GMT
        Subject:  C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=default OULLFT
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

2)      Name: servercert
        Cert Path: complete/server/server_rsa_1024.pem
        Key Path: complete/server/server_rsa_1024.ky
        Format: PEM
        Status: Valid,   Days to expiration:7150
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Server Certificate
        Version: 3
        Serial Number: 1F
        Signature Algorithm: sha1WithRSAEncryption
        Issuer:  C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix
        Validity
                Not Before: Sep  2 09:54:07 2008 GMT
                Not After : Jan 19 09:54:07 2036 GMT
        Subject:  C=IN,ST=KAR,O=Citrix Pvt Ltd,CN=Citrix
        Public Key Algorithm: rsaEncryption
        Public Key size: 1024

3)      Name: bundletest
        Cert Path: bundle9.pem
        Key Path: bundle9.pem
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Server Certificate
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA9
        Validity
                Not Before: Nov 28 06:43:11 2014 GMT
                Not After : Nov 25 06:43:11 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=Server9
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

4)      Name: bundletest_ic1
        Cert Path: bundle9.pem_ic1
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA8
        Validity
                Not Before: Nov 28 06:42:56 2014 GMT
                Not After : Nov 25 06:42:56 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA9
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

5)      Name: bundletest_ic2
        Cert Path: bundle9.pem_ic2
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA7
        Validity
                Not Before: Nov 28 06:42:55 2014 GMT
                Not After : Nov 25 06:42:55 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA8
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

6)      Name: bundletest_ic3
        Cert Path: bundle9.pem_ic3
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA6
        Validity
                Not Before: Nov 28 06:42:53 2014 GMT
                Not After : Nov 25 06:42:53 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA7
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

7)      Name: bundletest_ic4
        Cert Path: bundle9.pem_ic4
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA5
        Validity
                Not Before: Nov 28 06:42:51 2014 GMT
                Not After : Nov 25 06:42:51 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA6
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

8)      Name: bundletest_ic5
        Cert Path: bundle9.pem_ic5
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA4
        Validity
                Not Before: Nov 28 06:42:50 2014 GMT
                Not After : Nov 25 06:42:50 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA5
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

9)      Name: bundletest_ic6
        Cert Path: bundle9.pem_ic6
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA3
        Validity
                Not Before: Nov 28 06:42:48 2014 GMT
                Not After : Nov 25 06:42:48 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA4
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

10)     Name: bundletest_ic7
        Cert Path: bundle9.pem_ic7
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA2
        Validity
                Not Before: Nov 28 06:42:46 2014 GMT
                Not After : Nov 25 06:42:46 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA3
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

11)     Name: bundletest_ic8
        Cert Path: bundle9.pem_ic8
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA1
        Validity
                Not Before: Nov 28 06:42:45 2014 GMT
                Not After : Nov 25 06:42:45 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA2
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

12)     Name: bundletest_ic9
        Cert Path: bundle9.pem_ic9
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=RootCA4096
        Validity
                Not Before: Nov 28 06:42:43 2014 GMT
                Not After : Nov 25 06:42:43 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA1
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048
Done

sh ssl certlink

1)      Cert Name: bundletest    CA Cert Name: bundletest_ic1
2)      Cert Name: bundletest_ic1        CA Cert Name: bundletest_ic2
3)      Cert Name: bundletest_ic2        CA Cert Name: bundletest_ic3
4)      Cert Name: bundletest_ic3        CA Cert Name: bundletest_ic4
5)      Cert Name: bundletest_ic4        CA Cert Name: bundletest_ic5
6)      Cert Name: bundletest_ic5        CA Cert Name: bundletest_ic6
7)      Cert Name: bundletest_ic6        CA Cert Name: bundletest_ic7
8)      Cert Name: bundletest_ic7        CA Cert Name: bundletest_ic8
9)      Cert Name: bundletest_ic8        CA Cert Name: bundletest_ic9
Done

Hinzufügen eines Zertifikatssatzes mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > SSL > Zertifikate > Zertifizierungsstellenzertifikate.
  2. Klicken Sie im Detailbereich auf Installieren.
  3. Geben Sie im Dialogfeld Zertifikat installieren die Details ein, z. B. das Zertifikat und den Namen der Schlüsseldatei, und wählen Sie dann Zertifikatpaket aus.
  4. Klicken Sie auf Installierenund dann auf Schließen.

Automatisierte Zertifikatverknüpfung

Hinweis: Diese Funktion ist ab Release 13.0 Build 47.x verfügbar.

Sie müssen ein Zertifikat nicht mehr manuell mit seinem Aussteller bis zum Stammzertifikat verknüpfen. Wenn die zwischengeschalteten Zertifizierungsstellenzertifikate und das Stammzertifikat auf der Appliance vorhanden sind, können Sie im Endbenutzerzertifikat auf die Schaltfläche Verknüpfen klicken.

Schaltfläche Zertifikat verknüpfen

Die potenzielle Kette wird angezeigt.

Automatisierte Zertifikatverknüpfung potenzieller Kette

Klicken Sie auf Zertifikat verknüpfen, um alle Zertifikate zu verknüpfen.

Link Zertifikatskette

Erstellen einer Kette von Zertifikaten

Anstatt einen Satz von Zertifikaten (eine einzelne Datei) zu verwenden, können Sie eine Kette von Zertifikaten erstellen. Die Kette verknüpft das Serverzertifikat mit seinem Aussteller (der Zwischenzertifizierungsstelle). Dieser Ansatz erfordert, dass die Zwischenzertifizierungsstellenzertifikatdatei auf der ADC-Appliance installiert ist und die Clientanwendung einem der Zertifikate in der Kette vertrauen muss. Verknüpfen Sie beispielsweise Cert-Intermediate-A mit Cert-Intermediate-B, wobei Cert-Intermediate-B mit Cert-Intermediate-C verknüpft ist, einem Zertifikat, dem die Clientanwendung vertraut.

Hinweis: Die Appliance unterstützt das Senden von maximal 10 Zertifikaten in der Kette von Zertifikaten, die an den Client gesendet werden (ein Serverzertifikat und neun Zertifizierungsstellenzertifikate).

Erstellen einer Zertifikatkette mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Zertifikatkette zu erstellen und die Konfiguration zu überprüfen. (Wiederholen Sie den ersten Befehl für jedes neue Glied in der Kette.)

link ssl certkey <certKeyName> <linkCertKeyName>
show ssl certlink

Beispiel:

link ssl certkey siteAcertkey CAcertkey
Done

show ssl certlink

linked certificate:
       1) Cert Name: siteAcertkey CA Cert Name: CAcertkey
Done

Erstellen einer Zertifikatkette mit der GUI

  1. Navigieren Sie zu Verkehrsverwaltung > SSL > Zertifikate.
  2. Wählen Sie ein Serverzertifikat aus, und wählen Sie in der Liste Aktion die Option Verknüpfung aus, und geben Sie den Namen des Zertifizierungsstellenzertifikats an.

Aktualisieren eines vorhandenen Serverzertifikats

Um ein vorhandenes Serverzertifikat manuell zu ändern, müssen Sie die folgenden Schritte ausführen:

  1. Heben Sie die Bindung des alten Zertifikats vom virtuellen Server auf.
  2. Entfernen Sie das Zertifikat von der Appliance.
  3. Fügen Sie der Appliance das neue Zertifikat hinzu.
  4. Binden Sie das neue Zertifikat an den virtuellen Server.

Um Ausfallzeiten beim Ersetzen eines Zertifikatschlüsselpaars zu reduzieren, können Sie ein vorhandenes Zertifikat aktualisieren. Wenn Sie ein Zertifikat durch ein Zertifikat ersetzen möchten, das für eine andere Domäne ausgestellt wurde, müssen Sie Domänenüberprüfungen deaktivieren, bevor Sie das Zertifikat aktualisieren.

Um Benachrichtigungen über Zertifikate zu erhalten, die abgelaufen sind, können Sie den Ablaufmonitor aktivieren.

Wenn Sie ein Zertifikat von einem konfigurierten virtuellen SSL-Server oder -Dienst entfernen oder aufheben, wird der virtuelle Server oder Dienst inaktiv. Sie sind aktiv, nachdem ein neues gültiges Zertifikat an sie gebunden ist. Um Ausfallzeiten zu reduzieren, können Sie die Aktualisierungsfunktion verwenden, um ein Zertifikatschlüsselpaar zu ersetzen, das an einen virtuellen SSL-Server oder einen SSL-Dienst gebunden ist.

Übersichtsdiagramm zum Aktualisieren eines SSL-Zertifikats auf der Citrix ADC Appliance.

Übersicht

Aktualisieren eines vorhandenen Zertifikatschlüsselpaars mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein vorhandenes Zertifikatschlüsselpaar zu aktualisieren und die Konfiguration zu überprüfen:

update ssl certkey <certkeyName> -cert <string> -key <string>

show ssl certKey <certkeyName>

Beispiel:

update ssl certkey siteAcertkey -cert /nsconfig/ssl/cert.pem -key /nsconfig/ssl/pkey.pem

Done

show ssl certkey siteAcertkey

Name: siteAcertkey       Status: Valid
           Version: 3
           Serial Number: 02
           Signature Algorithm: md5WithRSAEncryption
           Issuer: /C=US/ST=CA/L=Santa Clara/O=siteA/OU=Tech
           Validity
                Not Before: Nov 11 14:58:18 2001 GMT
                Not After: Aug 7 14:58:18 2004 GMT
           Subject: /C=US/ST-CA/L=San Jose/O=CA/OU=Security
           Public Key Algorithm: rsaEncryption
           Public Key size: 2048
Done

Aktualisieren eines vorhandenen Zertifikatschlüsselpaars mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate > Serverzertifikate .

  2. Wählen Sie das Zertifikat aus, das Sie aktualisieren möchten, und klicken Sie auf Aktualisieren. Serverzertifikat aktualisieren

  3. Wählen Sie Zertifikat und Schlüssel aktualisierenaus. Serverzertifikat und -schlüssel aktualisieren

  4. Klicken Sie unter Zertifikatdateinameauf Datei auswählen> Lokal, und navigieren Sie zur aktualisierten PFX- oder Zertifikat-PEM-Datei. Zur Datei navigieren

    • Wenn Sie eine PFX-Datei hochladen, werden Sie aufgefordert, das PFX-Dateikennwort anzugeben.

    • Wenn Sie eine Zertifikat-PEM-Datei hochladen, müssen Sie auch eine Zertifikatschlüsseldatei hochladen. Wenn der Schlüssel verschlüsselt ist, müssen Sie das Verschlüsselungskennwort angeben.

  5. Wenn der allgemeine Name des neuen Zertifikats nicht mit dem alten Zertifikat übereinstimmt, wählen Sie Keine Domänenüberprüfungaus.

  6. Klicken Sie auf OK. Alle virtuellen SSL-Server, an die dieses Zertifikat gebunden ist, werden automatisch aktualisiert. Klicken Sie auf OK.

  7. Nach dem Ersetzen des Zertifikats müssen Sie möglicherweise die Zertifikatverknüpfung auf ein neues Zwischenzertifikat aktualisieren. Weitere Hinweise zum Aktualisieren eines Zwischenzertifikats ohne Unterbrechung der Verknüpfungen finden Sie unterAktualisieren eines Zwischenzertifikats ohne Unterbrechung der Links.

    • Klicken Sie mit der rechten Maustaste auf das aktualisierte Zertifikat, und klicken Sie auf Zertifikatverknüpfungen, um festzustellen, ob es mit einem Zwischenzertifikat verknüpft ist.

    • Wenn das Zertifikat nicht verknüpft ist, klicken Sie mit der rechten Maustaste auf das aktualisierte Zertifikat, und klicken Sie auf Verknüpfen, um es mit einem Zwischenzertifikat zu verknüpfen. Wenn keine Option zum Verknüpfen angezeigt wird, müssen Sie zunächst ein neues Zwischenzertifikat auf der Appliance unter dem Knoten Zertifizierungsstellenzertifikate installieren.

    Zwischenzertifikatverknüpfung aktualisieren

Aktualisieren eines vorhandenen Zertifizierungsstellenzertifikats

Die Schritte zum Aktualisieren eines vorhandenen Zertifizierungsstellenzertifikats entsprechen dem Aktualisieren eines vorhandenen Serverzertifikats. Der einzige Unterschied besteht darin, dass Sie bei CA-Zertifikaten keinen Schlüssel benötigen.

Zertifizierungsstellenzertifikat aktualisieren

Domänenüberprüfungen deaktivieren

Wenn ein SSL-Zertifikat auf der Appliance ersetzt wird, muss der im neuen Zertifikat erwähnte Domänenname mit dem Domänennamen des zu ersetzenden Zertifikats übereinstimmen. Wenn Sie beispielsweise ein Zertifikat an abc.com ausgestellt haben und es mit einem Zertifikat aktualisieren, das an def.com ausgestellt wurde, schlägt die Zertifikataktualisierung fehl.

Wenn Sie jedoch möchten, dass der Server, der eine bestimmte Domäne hostet, eine neue Domäne hosten, können Sie die Domänenüberprüfung deaktivieren, bevor Sie das Zertifikat aktualisieren.

Deaktivieren der Domänenüberprüfung für ein Zertifikat mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Domänenprüfung zu deaktivieren und die Konfiguration zu überprüfen:

update ssl certKey <certkeyName> -noDomainCheck

show ssl certKey <certkeyName>

Beispiel:

update ssl certKey sv -noDomainCheck

Done

show ssl certkey sv

Name: sv
Cert Path: /nsconfig/ssl/complete/server/server_rsa_512.pem
Key Path: /nsconfig/ssl/complete/server/server_rsa_512.ky
Format: PEM
Status: Valid,   Days to expiration:9349
Certificate Expiry Monitor: DISABLED
Done

Deaktivieren der Domänenüberprüfung für ein Zertifikat mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate, wählen Sie ein Zertifikat aus, und klicken Sie auf Aktualisieren.
  2. Wählen Sie Keine Domänenüberprüfungaus.

Aktivieren Sie den Ablaufmonitor

Ein SSL-Zertifikat ist für einen bestimmten Zeitraum gültig. Eine typische Bereitstellung umfasst mehrere virtuelle Server, die SSL-Transaktionen verarbeiten, und die an sie gebundenen Zertifikate können zu unterschiedlichen Zeiten ablaufen. Ein auf der Appliance konfigurierter Ablaufmonitor erstellt Einträge in den Syslog- und NS-Überwachungsprotokollen der Appliance, wenn ein konfiguriertes Zertifikat abläuft.

Wenn Sie SNMP-Warnungen für den Zertifikatablauf erstellen möchten, müssen Sie sie separat konfigurieren.

Aktivieren eines Ablaufmonitors für ein Zertifikat mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen Ablaufmonitor für ein Zertifikat zu aktivieren und die Konfiguration zu überprüfen:

set ssl certKey <certkeyName> [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]]

show ssl certKey <certkeyName>

Beispiel:

set ssl certKey sv -expiryMonitor ENABLED –notificationPeriod 60
Done

Aktivieren eines Ablaufmonitors für ein Zertifikat mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate, wählen Sie ein Zertifikat aus, und klicken Sie auf Aktualisieren.
  2. Wählen Sie Bei Ablauf benachrichtigen aus, und geben Sie optional einen Benachrichtigungszeitraum an.

Sie können jetzt ein Zwischenzertifikat aktualisieren, ohne vorhandene Links zu unterbrechen. Die Erweiterung “AuthorityKeyIdentifier” in dem verknüpften Zertifikat, das von dem zu ersetzenden Zertifikat ausgestellt wird, darf kein Feld für die Seriennummer des Autoritätszertifikats (‘AuthorityCertSerialNumber’) enthalten. Wenn die Erweiterung ‘AuthorityKeyIdentifier’ ein Seriennummernfeld enthält, müssen die Seriennummern des Zertifikats des alten und neuen Zertifikats identisch sein. Sie können eine beliebige Anzahl von Zertifikaten in der Verknüpfung nacheinander aktualisieren, wenn die vorhergehende Bedingung erfüllt ist. Zuvor brachen die Links, wenn ein Zwischenzertifikat aktualisiert wurde.

Beispielsweise gibt es vier Zertifikate: CertACertB,CertC, und CertD. CertA ist der Emittent für CertB, CertB ist der Emittent für CertC usw. Um ein Zwischenzertifikat durch zuCertB ersetzenCertB_new, ohne den Link zu unterbrechen, muss folgende Bedingung erfüllt sein:

Die Seriennummer des ZertifikatsCertB muss mit der Seriennummer des Zertifikats übereinstimmen,CertB_new wenn beide der folgenden Bedingungen erfüllt sind:

  • Die Erweiterung AuthorityKeyIdentifier ist in CertC vorhanden.
  • Diese Erweiterung enthält ein Seriennummernfeld.

Wenn sich der allgemeine Name in einem Zertifikat ändert, während das Zertifikat aktualisiert wird, geben Sie nodomaincheck an.

Wenn Sie im vorangegangenen Beispiel “www.example.com” in CertD “*.example.com” ändern möchten, wählen Sie den Parameter “No Domain Check”.

Aktualisieren des Zertifikats mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

update ssl certKey <certkeyName> -cert <string> [-password] -key <string>  [-noDomainCheck]

Beispiel:

update ssl certkey siteAcertkey -cert /nsconfig/ssl/cert.pem -key /nsconfig/ssl/pkey.pem -noDomainCheck

Anzeigen einer Zertifikatkette

Ein Zertifikat enthält den Namen der ausstellenden Behörde und des Antragstellers, an den das Zertifikat ausgestellt wird. Um ein Zertifikat zu validieren, müssen Sie sich den Aussteller dieses Zertifikats ansehen und bestätigen, ob Sie dem Aussteller vertrauen. Wenn Sie dem Aussteller nicht vertrauen, müssen Sie sehen, wer das Ausstellerzertifikat ausgestellt hat. Gehen Sie in die Kette, bis Sie das Zertifikat der Stammzertifizierungsstelle oder einen Aussteller, dem Sie vertrauen, erreichen.

Wenn ein Client ein Zertifikat anfordert, stellt die Appliance im Rahmen des SSL-Handshakes ein Zertifikat und die Kette der auf der Appliance vorhandenen Ausstellerzertifikate vor. Ein Administrator kann die Zertifikatkette für die auf der Appliance vorhandenen Zertifikate anzeigen und fehlende Zertifikate installieren.

Anzeigen der Zertifikatkette für die auf der Appliance vorhandenen Zertifikate mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

show ssl certchain <cert_name>

Beispiele

Es gibt 3 Zertifikate: c1, c2 und c3. Zertifikat c1 ist von c2 signiert, c2 von c3 signiert und c3 ist das Stammzertifikat der Zertifizierungsstelle. Die folgenden Beispiele veranschaulichen die Ausgabe des show ssl certchain c1 Befehls in verschiedenen Szenarien.

Szenario 1:

Zertifikat c2 ist mit c1 verknüpft und c3 ist mit c2 verknüpft.

Zertifikat c3 ist ein Stammzertifikat der Zertifizierungsstelle.

Wenn Sie den folgenden Befehl ausführen, werden die Zertifikatverknüpfungen bis zum Stammzertifikat der Zertifizierungsstelle angezeigt.

show ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate name: c2               linked; not a root certificate
    2) Certificate name: c3               linked; root certificate
Done

Szenario 2:

Zertifikat c2 ist mit c1 verknüpft.

Zertifikat c2 ist kein Stammzertifikat der Zertifizierungsstelle.

Wenn Sie den folgenden Befehl ausführen, werden die Informationen angezeigt, dass Zertifikat c3 ein Stammzertifizierungsstellenzertifikat ist, aber nicht mit c2 verknüpft ist.

show ssl certchain c1

Certificate chain  details of certificate name c1 are:
    1) Certificate Name: c2               linked; not a root certificate
    2) Certificate Name: c3               not linked; root certificate
    Done

Szenario 3:

Zertifikate c1, c2 und c3 sind nicht verknüpft, sind aber auf der Appliance vorhanden.

Wenn Sie den folgenden Befehl ausführen, werden Informationen zu allen Zertifikaten angezeigt, die mit dem Aussteller des Zertifikats c1 beginnen. Es wird auch angegeben, dass die Zertifikate nicht verknüpft sind.

show ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate Name: c2               not linked; not a root certificate
    2) Certificate Name: c3               not linked; root certificate
    Done

Szenario 4:

Zertifikat c2 ist mit c1 verknüpft.

Zertifikat c3 ist auf der Appliance nicht vorhanden.

Wenn Sie den folgenden Befehl ausführen, werden Informationen zum Zertifikat angezeigt, das mit c1 verknüpft ist. Sie werden aufgefordert, ein Zertifikat mit dem in c2 angegebenen Antragstellernamen hinzuzufügen. In diesem Fall wird der Benutzer aufgefordert, das Stammzertifikat c3 hinzuzufügen.

show ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate Name: c2               linked; not a root certificate
    2) Certificate Name: /C=IN/ST=ka/O=netscaler/CN=test
       Action: Add a certificate with this subject name.
Done

Szenario 5:

Ein Zertifikat ist nicht mit dem Zertifikat c1 verknüpft, und das Ausstellerzertifikat von c1 ist nicht auf der Appliance vorhanden.

Wenn Sie den folgenden Befehl ausführen, werden Sie aufgefordert, ein Zertifikat mit dem Antragstellernamen in Zertifikat c1 hinzuzufügen.

sh ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate Name: /ST=KA/C=IN
       Action: Add a certificate with this subject name.