Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Globale Standortzertifikate

October 5, 2021
Beitrag von: 
C

Ein globales Standortzertifikat ist ein Spezialserverzertifikat, dessen Schlüssellänge größer als 128 Bit ist. Ein globales Standortzertifikat besteht aus einem Serverzertifikat und einem dazugehörigen zwischengeschalteten CA-Zertifikat. Importieren Sie das globale Site-Zertifikat und seinen Schlüssel vom Server in die Citrix ADC Appliance.

Funktionsweise globaler Standortzertifikate

Exportversionen von Browsern verwenden 40-Bit-Verschlüsselung, um Verbindungen zu SSL-Webservern zu initiieren. Der Server reagiert auf Verbindungsanforderungen, indem er sein Zertifikat sendet. Der Client und der Server entscheiden dann für eine Verschlüsselungsstärke basierend auf dem Serverzertifikattyp:

  • Wenn das Serverzertifikat ein normales Zertifikat und kein globales Site-Zertifikat ist, schließen der Export-Client und der Server den SSL-Handshake ab und verwenden eine 40-Bit-Verschlüsselung für die Datenübertragung.
  • Wenn das Serverzertifikat ein globales Site-Zertifikat ist und der Browser die Exportclientfunktion unterstützt, wird der Export-Client automatisch auf die 128-Bit-Verschlüsselung für die Datenübertragung aktualisiert.

Wenn es sich bei dem Serverzertifikat um ein globales Standortzertifikat handelt, sendet der Server sein Zertifikat zusammen mit dem dazugehörigen CA-Zertifikat. Der Browser überprüft zuerst das zwischengeschaltete CA-Zertifikat mithilfe eines der Root-CA-Zertifikate, die normalerweise in Webbrowsern enthalten sind. Nach erfolgreicher Validierung des zwischengeschalteten CA-Zertifikats verwendet der Browser das Zertifikat zwischengeschaltete CA, um das Serverzertifikat zu validieren. Sobald der Server erfolgreich validiert wurde, verhandelt der Browser neu (aktualisiert) die SSL-Verbindung auf 128-Bit-Verschlüsselung.

Wenn der Microsoft IIS-Server mit einem SGC-Zertifikat konfiguriert ist, exportieren Sie Clients, die das Zertifikat erhalten, neu verhandeln, um 128-Bit-Verschlüsselung zu verwenden, wenn Microsoft Server Gated Cryptography (SGC) von Microsoft Server mit einem SGC-Zertifikat konfiguriert ist.

Importieren eines globalen Standortzertifikats

Um ein globales Site-Zertifikat zu importieren, exportieren Sie zuerst das Zertifikat und den Serverschlüssel vom Webserver. Globale Site-Zertifikate werden in einem Binärformat exportiert. Konvertieren Sie daher vor dem Import des globalen Standortzertifikats das Zertifikat und den Schlüssel in das PEM-Format.

So importieren Sie ein globales Standortzertifikat

  1. Kopieren Sie mithilfe eines Texteditors das Serverzertifikat und das dazugehörige zwischengeschaltete CA-Zertifikat in zwei separate Dateien.

    Das individuelle PEM-codierte Zertifikat beginnt mit dem Header ----- BEGIN CERTIFICATE----- und endet mit dem Trailer -----END CERTIFICATE-----.

  2. Verwenden Sie einen SFTP-Client, um das Serverzertifikat, das zwischengeschaltete CA-Zertifikat und den Serverschlüssel an die Citrix ADC Appliance zu übertragen.

  3. Verwenden Sie den folgenden OpenSSL-Befehl, um das Serverzertifikat und das zwischengeschaltete CA-Zertifikat aus den beiden separaten Dateien zu identifizieren.

    Hinweis: Sie können die OpenSSL-Schnittstelle über das Konfigurationsprogramm starten. Klicken Sie im Navigationsbereich auf SSL. Klicken Sie im Detailbereich unter Tools auf SSL-Schnittstelle öffnen.

    openssl x509 -in >path of the CA cert file< text X509v3 Basic Constraints: CA:TRUE
            X509v3 Key Usage:
                Certificate Sign, CRL Sign
            Netscape Cert Type:
                SSL CA, S/MIME CA

openssl x509 -in >path of the server certificate file< -text

X509v3 Basic Constraints:
                CA:FALSE
            Netscape Cert Type:
                SSL Server

<!--NeedCopy-->

  4. Geben Sie an der FreeBSD Shell Eingabeaufforderung den folgenden Befehl ein:

    openssl x509 -in cert.pem -text | more
<!--NeedCopy-->

    Wo cert.pem ist eine der beiden Zertifikatsdateien

    Lesen Sie das Feld Betreff in der Befehlsausgabe. Zum Beispiel:

    Subject: C=US, ST=Oregon, L=Portland, O=mycompany, Inc., OU=IT, CN=www.mycompany.com
<!--NeedCopy-->

    Wenn das CN-Feld im Betreff mit dem Domainnamen Ihrer Website übereinstimmt, ist dieses Zertifikat das Serverzertifikat und das andere Zertifikat das zugehörige Intermediate-CA-Zertifikat.

  5. Verwenden Sie das Serverzertifikat und den privaten Schlüssel), um ein Zertifikatschlüsselpaar auf der Citrix ADC Appliance zu erstellen. Weitere Informationen zum Erstellen eines Zertifikatschlüsselpaars auf dem Citrix ADC finden Sie unter Hinzufügen eines Zertifikatschlüsselpaars.

  6. Fügen Sie das zwischengeschaltete CA-Zertifikat auf der Citrix ADC Appliance hinzu. Verwenden Sie das Serverzertifikat, das Sie in Schritt 4 erstellt haben, um dieses Zwischenzertifikat zu signieren. Weitere Informationen zum Erstellen eines Zwischenzertifikats auf dem Citrix ADC finden Sie unter Generieren eines Testzertifikats.

Globale Standortzertifikate
October 5, 2021
Beitrag von: 
C
October 5, 2021
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.