Globale Standortzertifikate

Ein globales Standortzertifikat ist ein Spezialserverzertifikat, dessen Schlüssellänge größer als 128 Bit ist. Ein globales Standortzertifikat besteht aus einem Serverzertifikat und einem dazugehörigen zwischengeschalteten CA-Zertifikat. Sie müssen das globale Standortzertifikat und dessen Schlüssel vom Server in die Citrix ADC Appliance importieren.

Funktionsweise globaler Standortzertifikate

Exportversionen von Browsern verwenden 40-Bit-Verschlüsselung, um Verbindungen zu SSL-Web-Servern zu initiieren. Der Server reagiert auf Verbindungsanforderungen, indem er sein Zertifikat sendet. Der Client und der Server entscheiden dann für eine Verschlüsselungsstärke basierend auf dem Serverzertifikattyp:

  • Wenn es sich bei dem Serverzertifikat um ein normales Zertifikat handelt und kein globales Standortzertifikat, führen der Exportclient und der Server den SSL-Handshake durch und verwendet die 40-Bit-Verschlüsselung für die Datenübertragung.
  • Wenn das Serverzertifikat ein globales Standortzertifikat ist (und wenn das Exportclient-Feature vom Browser unterstützt wird), wird der Exportclient für die Datenübertragung automatisch auf 128-Bit-Verschlüsselung aktualisiert.

Wenn es sich bei dem Serverzertifikat um ein globales Standortzertifikat handelt, sendet der Server sein Zertifikat zusammen mit dem dazugehörigen CA-Zertifikat. Der Browser überprüft zuerst das zwischengeschaltete CA-Zertifikat mithilfe eines der Root-CA-Zertifikate, die normalerweise in Webbrowsern enthalten sind. Nach erfolgreicher Validierung des zwischengeschalteten CA-Zertifikats verwendet der Browser das Zertifikat zwischengeschaltete CA, um das Serverzertifikat zu validieren. Sobald der Server erfolgreich validiert wurde, verhandelt der Browser neu (aktualisiert) die SSL-Verbindung auf 128-Bit-Verschlüsselung.

Wenn der Microsoft IIS-Server mit einem SGC-Zertifikat konfiguriert ist, exportieren Sie Clients, die das Zertifikat erhalten, neu verhandeln, um 128-Bit-Verschlüsselung zu verwenden, wenn Microsoft Server Gated Cryptography (SGC) von Microsoft Server mit einem SGC-Zertifikat konfiguriert ist.

Importieren eines globalen Standortzertifikats

Um ein globales Standortzertifikat zu importieren, exportieren Sie zuerst das Zertifikat und den Serverschlüssel vom Webserver. Globale Standortzertifikate werden in der Regel in einem binären Format exportiert. Konvertieren Sie daher vor dem Importieren des globalen Standortzertifikats das Zertifikat und den Schlüssel in das PEM-Format.

So importieren Sie ein globales Standortzertifikat

  1. Kopieren Sie mithilfe eines Texteditors das Serverzertifikat und das dazugehörige zwischengeschaltete CA-Zertifikat in zwei separate Dateien.

    Das individuelle PEM-codierte Zertifikat beginnt mit dem Header----- BEGIN CERTIFICATE----- und endet mit dem Trailer-----END CERTIFICATE----- .

  2. Verwenden Sie einen SFTP-Client, um das Serverzertifikat, das zwischengeschaltete CA-Zertifikat und den Serverschlüssel an die Citrix ADC Appliance zu übertragen.

  3. Verwenden Sie den folgenden OpenSSL-Befehl, um das Serverzertifikat und das zwischengeschaltete CA-Zertifikat aus den beiden separaten Dateien zu identifizieren.

    Hinweis: Sie können die OpenSSL-Schnittstelle über das Konfigurationsprogramm starten. Klicken Sie im Navigationsbereich auf SSL. Klicken Sie im Detailbereich unter Extras auf SSL-Schnittstelle öffnen.

    openssl x509 -in >path of the CA cert file< text X509v3 Basic Constraints: CA:TRUE
                X509v3 Key Usage:
                    Certificate Sign, CRL Sign
                Netscape Cert Type:
                    SSL CA, S/MIME CA
    
    openssl x509 -in >path of the server certificate file< -text
    
    X509v3 Basic Constraints:
                    CA:FALSE
                Netscape Cert Type:
                    SSL Server
    
    
  4. Geben Sie an der FreeBSD Shell Eingabeaufforderung den folgenden Befehl ein:

    openssl x509 -in cert.pem -text | more
    

    Dabei ist cert.pem eine der beiden Zertifikatdateien.

    Lesen Sie das Feld Betreff in der Befehlsausgabe. Beispiel:

    Subject: C=US, ST=Oregon, L=Portland, O=mycompany, Inc., OU=IT, CN=www.mycompany.com
    

    Wenn das Feld CN im Betreff mit dem Domänennamen Ihrer Website übereinstimmt, handelt es sich um das Serverzertifikat, und das andere Zertifikat ist das dazugehörige zwischengeschaltete CA-Zertifikat.

  5. Verwenden Sie das Serverzertifikat und den privaten Schlüssel), um ein Zertifikatschlüsselpaar auf der Citrix ADC Appliance zu erstellen. Weitere Informationen zum Erstellen eines Zertifikatschlüsselpaars im Citrix ADC finden Sie unterHinzufügen eines Zertifikatsschlüsselpaars.

  6. Fügen Sie das zwischengeschaltete CA-Zertifikat auf der Citrix ADC Appliance hinzu. Verwenden Sie das Serverzertifikat, das Sie in Schritt 4 erstellt haben, um dieses Zwischenzertifikat zu signieren. Weitere Informationen zum Erstellen eines zwischengeschalteten CA-Zertifikats im Citrix ADC finden Sie unterErstellen eines Testzertifikats.