Citrix ADC

Importieren und Konvertieren von SSL-Dateien

Sie können jetzt SSL-Ressourcen wie Zertifikate, private Schlüssel, CRLs und DH-Schlüssel von Remotehosts importieren, selbst wenn kein FTP-Zugriff auf diese Hosts verfügbar ist. Dies ist besonders in Umgebungen hilfreich, in denen der Shell-Zugriff auf den Remote-Host eingeschränkt ist. Standardordner werden in /nsconfig/ssl wie folgt erstellt:

  • Für Zertifikatdateien: /nsconfig/ssl/certfile
  • Für private Schlüssel: die Datei /nsconfig/ssl/keyfile
  • Für CRLs: /var/netscaler/ssl/crlfile
  • Für DH-Tasten: /nsconfig/ssl/dhfile

Importe von HTTP- und HTTPS-Servern werden unterstützt. Der Import schlägt jedoch fehl, wenn sich die Datei auf einem HTTPS-Server befindet, der Clientzertifikatauthentifizierung für den Zugriff erfordert.

Hinweis:

Der Befehl import wird nicht in der Konfigurationsdatei (ns.conf) gespeichert, da das erneute Importieren der Datei nach einem Neustart einen Fehler verursachen kann.

Importieren einer Zertifikatdatei

Sie können CLI und GUI verwenden, um eine Datei (Ressource) von einem Remote-Host zu importieren.

Importieren einer Zertifikatdatei von einem Remote-Host mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import ssl certFile [<name>] [<src>]

Beispiel:

import ssl certfile my-certfile http://www.example.com/file_1
show ssl certfile
     Name : my-certfile
     URL : http://www.example.com/file_1

Um eine Zertifikatdatei zu entfernen, verwenden Sie denrm ssl certFile Befehl, der nur das Argument ‘name’ akzeptiert.

Importieren einer Schlüsseldatei von einem Remote-Host mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import ssl keyFile [<name>] [<src>]

Beispiel:

import ssl keyfile my-keyfile http://www.example.com/key_file
show ssl keyfile
     Name : my-keyfile
     URL : http://www.example.com/key_file

Um eine Schlüsseldatei zu entfernen, verwenden Sie denrm ssl keyFile Befehl, der nur das Argument ‘name’ akzeptiert.

Importieren einer CRL-Datei von einem Remote-Host mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import ssl crlFile [<name>] [<src>]

Um eine CRL-Datei zu entfernen, verwenden Sie denrm ssl crlFile Befehl, der nur das <name> Argument akzeptiert.

Beispiel:

import ssl crlfile my-crlfile http://www.example.com/crl_file

show ssl crlfile

    Name : my-crlfile
    URL : http://www.example.com/crl_file

Importieren einer DH-Datei von einem Remote-Host mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import ssl dhFile [<name>] [<src>]

Beispiel:

import ssl dhfile my-dhfile http://www.example.com/dh_file
show ssl dhfile
     Name : my-dhfile
     URL : http://www.example.com/dh_file

Um eine DH-Datei zu entfernen, verwenden Sie denrm ssl dhFile Befehl, der nur das <name> Argument akzeptiert.

Importieren einer SSL-Ressource mit der GUI

Navigieren Sie zu Verkehrsverwaltung > SSL > Importe, und wählen Sie dann die entsprechende Registerkarte aus.

Importieren von PKCS #8 und PKCS #12 Zertifikaten

Wenn Sie Zertifikate und Schlüssel verwenden möchten, die bereits auf anderen sicheren Servern oder Anwendungen im Netzwerk vorhanden sind, können Sie diese exportieren und anschließend in die Citrix ADC Appliance importieren. Möglicherweise müssen Sie exportierte Zertifikate und Schlüssel konvertieren, bevor Sie sie in die Citrix ADC Appliance importieren können.

Weitere Informationen zum Exportieren von Zertifikaten von sicheren Servern oder Anwendungen in Ihrem Netzwerk finden Sie in der Dokumentation des Servers oder der Anwendung, von dem Sie exportieren möchten.

Hinweis:

Bei der Installation auf der Citrix ADC Appliance dürfen Schlüssel- und Zertifikatnamen keine anderen Leerzeichen oder Sonderzeichen als die vom UNIX-Dateisystem unterstützten Zeichen enthalten. Befolgen Sie die entsprechende Namenskonvention, wenn Sie den exportierten Schlüssel und das Zertifikat speichern.

Ein Zertifikat und ein privates Schlüsselpaar werden üblicherweise im PKCS #12 Format gesendet. Die Appliance unterstützt PEM- und DER-Formate für Zertifikate und Schlüssel. Informationen zum Konvertieren von PKCS #12 in PEM oder DER oder PEM oder DER in PKCS #12 finden Sie im Abschnitt Konvertieren von SSL-Zertifikaten für den Import oder Export weiter unten auf dieser Seite.

Die Citrix ADC Appliance unterstützt keine PEM-Schlüssel im PKCS #8 -Format. Sie können diese Schlüssel jedoch in ein unterstütztes Format konvertieren, indem Sie die OpenSSL-Schnittstelle verwenden, auf die Sie über die Befehlszeilenschnittstelle oder das Konfigurationsdienstprogramm zugreifen können. Bevor Sie den Schlüssel konvertieren, müssen Sie überprüfen, ob der private Schlüssel im PKCS #8 Format ist. Schlüssel im PKCS #8 Format beginnen in der Regel mit folgendem Text:

-----BEGIN ENCRYPTED PRIVATE KEY-----



leuSSZQZKgrgUQ==



-----END ENCRYPTED PRIVATE KEY-----

Öffnen Sie die OpenSSL-Schnittstelle über die CLI

  1. Öffnen Sie eine SSH-Verbindung zur Appliance mithilfe eines SSH-Clients, z. B. PuTTY.
  2. Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.
  3. Geben Sie an der Eingabeaufforderung shell ein.
  4. Geben Sie an deropensslShell-Eingabeaufforderung einen

Öffnen Sie die OpenSSL-Schnittstelle über die GUI

Navigieren Sie zu Traffic Management > SSL, und wählen Sie in der Gruppe Extras die OpenSSL-Schnittstelleaus.

Konvertieren Sie ein nicht unterstütztes PKCS #8 Schlüsselformat mithilfe der OpenSSL-Schnittstelle in ein verschlüsseltes unterstütztes Schlüsselformat

Geben Sie an der OpenSSL-Eingabeaufforderung einen der folgenden Befehle ein, je nachdem, ob das nicht unterstützte Schlüsselformat vom Typ RSA oder DSA ist:

OpenSSL>rsa- in <PKCS#8 Key Filename> -des3 -out <encrypted Key Filename>

OpenSSL>dsa -in <PKCS#8 Key Filename> -des3 -out <encrypted Key Filename>

Parameter zum Konvertieren eines nicht unterstützten Schlüsselformats in ein unterstütztes Schlüsselformat

  • PKCS #8 Schlüsseldateiname: Der Name der Eingabedatei des inkompatiblen PKCS #8 privaten Schlüssels.
  • verschlüsselter Schlüsseldateiname: Der Ausgabedateiname des kompatiblen verschlüsselten privaten Schlüssels im PEM-Format.
  • unverschlüsselter Schlüsseldateiname: Der Ausgabedateiname des kompatiblen unverschlüsselten privaten Schlüssels im PEM-Format.

Konvertieren von SSL-Zertifikaten für den Import oder Export

Eine Citrix ADC Appliance unterstützt die PEM- und DER-Formate für SSL-Zertifikate. Andere Anwendungen, wie Client-Browser und einige externe sichere Server, erfordern verschiedene PKCS-Formate (Public Key Cryptography Standard). Die Citrix ADC Appliance kann das PKCS #12 -Format (Syntaxstandard für den persönlichen Informationsaustausch) in das PEM- oder DER-Format zum Importieren eines Zertifikats in die Appliance konvertieren und PEM oder DER zum Exportieren eines Zertifikats in PKCS #12 konvertieren. Für mehr Sicherheit kann die Konvertierung einer Datei für den Import die Verschlüsselung des privaten Schlüssels mit dem DES- oder DES3-Algorithmus beinhalten.

Hinweis:

Wenn Sie die GUI zum Importieren eines PKCS #12 -Zertifikats verwenden und das Kennwort ein Dollarzeichen ($), Anführungszeichen (`) oder escape () enthält, schlägt der Import möglicherweise fehl. Wenn dies der Fall ist, wird die Meldung FEHLER: Ungültiges Kennwort angezeigt. Wenn Sie ein Sonderzeichen im Kennwort verwenden müssen, stellen Sie sicher, dass Sie ihm ein Escape-Zeichen () voranstellen, es sei denn, alle Importe werden mit der CLI ausgeführt.

Konvertieren des Formats eines Zertifikats mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

convert ssl pkcs12 <outfile> [-import [-pkcs12File <inputFilename>] [-des | -des3] [-export [-certFile <inputFilename>] [-keyFile <inputFilename>]]

Während des Vorgangs werden Sie aufgefordert, ein Importkennwort oder ein Exportkennwort einzugeben. Bei einer verschlüsselten Datei werden Sie außerdem aufgefordert, eine Passphrase einzugeben.

Beispiel:

convert ssl pkcs12 Cert-Import-1.pem -import -pkcs12File Cert-Import-1.pfx -des

convert ssl pkcs12 Cert-Client-1.pfx -export -certFile Cert-Client-1 -keyFile Key-Client-1

Konvertieren des Formats eines Zertifikats mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL und wählen Sie in der Gruppe ExtrasPKCS #12 importierenaus.

    PKCS importieren #12

  2. Geben Sie den Namen des PEM-Zertifikats im Feld Ausgabedateiname an.

  3. Navigieren Sie zum Speicherort des PFX-Zertifikats auf Ihrem lokalen Computer oder der Appliance.

    Zum PFX-Zertifikat navigieren

  4. Klicken Sie auf OK.

  5. Klicken Sie auf Zertifikat/Schlüssel/CSRs verwalten, um die konvertierte PEM-Datei anzuzeigen.

    Konvertierte PEM-Datei anzeigen

  6. Sie können die hochgeladene PFX-Datei und die konvertierte PEM-Datei anzeigen.

    Dateien anzeigen

  7. Navigieren Sie zu SSL > Zertifikate > Serverzertifikate, und klicken Sie auf Installieren .

    Zertifikat installieren

  8. Geben Sie den Namen eines Zertifikatschlüsselpaaresan.

  9. Navigieren Sie zum Speicherort der PEM-Datei.

  10. Geben Sie das Kennwort an, wenn Sie dazu aufgefordert werden.

  11. Klicken Sie auf Installieren.

    Serverzertifikat installieren

  12. Binden Sie das Zertifikatschlüsselpaar an einen virtuellen SSL-Server.

Importieren und Konvertieren von SSL-Dateien