Citrix ADC

Serverauthentifizierung

Da die Citrix ADC Appliance SSL-Offload und -Beschleunigung im Auftrag eines Webservers durchführt, authentifiziert die Appliance das Zertifikat des Webservers normalerweise nicht. Sie können den Server jedoch in Bereitstellungen authentifizieren, die eine End-to-End-SSL-Verschlüsselung erfordern.

In einer solchen Situation wird die Appliance zum SSL-Client und führt eine sichere Transaktion mit dem SSL-Server durch. Es wird überprüft, ob eine CA, deren Zertifikat an den SSL-Dienst gebunden ist, das Serverzertifikat signiert hat, und prüft die Gültigkeit des Serverzertifikats.

Um den Server zu authentifizieren, aktivieren Sie die Serverauthentifizierung und binden Sie das Zertifikat der CA, die das Zertifikat des Servers signiert hat, an den SSL-Dienst auf der ADC-Appliance. Beim Binden des Zertifikats müssen Sie die Option “Bindung als CA” angeben.

Aktivieren (oder Deaktivieren) der Serverzertifikatsauthentifizierung

Sie können die CLI und die GUI verwenden, um die Serverzertifikatsauthentifizierung zu aktivieren und zu deaktivieren.

Aktivieren (oder deaktivieren) der Serverzertifikatsauthentifizierung mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Serverzertifikatsauthentifizierung zu aktivieren und die Konfiguration zu überprüfen:

set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>

Beispiel:

set ssl service ssl-service-1 -serverAuth ENABLED
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done

Aktivieren (oder deaktivieren) der Serverzertifikatsauthentifizierung mit der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services, und öffnen Sie einen SSL-Dienst.
  2. Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivieren aus, und geben Sie einen allgemeinen Namen an.
  3. Wählen Sie unter Erweiterte Einstellungen Zertifikate aus, und binden Sie ein Zertifizierungsstellenzertifikat an den Dienst.

Binden des Zertifizierungsstellenzertifikats an den Dienst mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um das Zertifizierungsstellenzertifikat an den Dienst zu binden und die Konfiguration zu überprüfen:

bind ssl service <serviceName> -certkeyName <string> -CA

show ssl service <serviceName>

Beispiel:

bind ssl service ssl-service-1 -certkeyName samplecertkey -CA
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      CertKey Name: samplecertkey     CA Certificate          CRLCheck: Optional
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done

Konfigurieren eines allgemeinen Namens für die Serverzertifikatauthentifizierung

Bei der End-to-End-Verschlüsselung mit aktivierter Serverauthentifizierung können Sie einen gemeinsamen Namen in die Konfiguration eines SSL-Dienstes oder einer Dienstgruppe aufnehmen. Der angegebene Name wird während eines SSL-Handshakes mit dem allgemeinen Namen im Serverzertifikat verglichen. Wenn die beiden Namen übereinstimmen, ist der Handshake erfolgreich. Wenn die allgemeinen Namen nicht übereinstimmen, wird der für den Dienst oder die Dienstgruppe angegebene allgemeine Name mit den Werten im Feld Subject Alternative Name (SAN) im Zertifikat verglichen. Wenn er einem dieser Werte entspricht, ist der Handshake erfolgreich. Diese Konfiguration ist besonders nützlich, wenn sich beispielsweise zwei Server hinter einer Firewall befinden und einer der Server die Identität des anderen hinterlässt. Wenn der allgemeine Name nicht aktiviert ist, wird ein von beiden Servern vorgestelltes Zertifikat akzeptiert, wenn die IP-Adresse übereinstimmt.

Hinweis: Im SAN-Feld werden nur Domänenname, URL und E-Mail-ID DNS-Einträge verglichen.

Konfigurieren der Überprüfung gemeinsamem Namen für einen SSL-Dienst oder eine Dienstgruppe mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Serverauthentifizierung mit der Überprüfung des gemeinsamen Namens anzugeben und die Konfiguration zu überprüfen:

  1. Um einen allgemeinen Namen in einem Dienst zu konfigurieren, geben Sie Folgendes ein:

    set ssl service <serviceName> -commonName <string> -serverAuth ENABLED
    show ssl service <serviceName>
    
  2. Um einen allgemeinen Namen in einer Dienstgruppe zu konfigurieren, geben Sie Folgendes ein:

    set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED
    show ssl serviceGroup <serviceGroupName>
    

Beispiel:

> set ssl service svc1 -commonName xyz.com -serverAuth ENABLED
show ssl service svc

     Advanced SSL configuration for Back-end SSL Service svc1:
     DH: DISABLED
     Ephemeral RSA: DISABLED
     Session Reuse: ENABLED Timeout: 300 seconds
     Cipher Redirect: DISABLED
     SSLv2 Redirect: DISABLED
     Server Auth: ENABLED Common Name: www.xyz.com
     SSL Redirect: DISABLED
     Non FIPS Ciphers: DISABLED
     SNI: DISABLED
     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
    1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
    1) Cipher Name: ALL
     Description: Predefined Cipher Alias
Done

Konfigurieren der Überprüfung gemeinsamem Namen für einen SSL-Dienst oder eine Dienstgruppe mit der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services, oder navigieren Sie zu Traffic Management > Load Balancing > Dienstgruppen, und öffnen Sie einen Dienst oder eine Dienstgruppe.
  2. Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivieren aus, und geben Sie einen allgemeinen Namen an.
Serverauthentifizierung