-
Bereitstellen einer Citrix ADC VPX-Instanz
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke
-
Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Automatisieren der Bereitstellung und Konfiguration von Citrix ADC
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen von Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Verwenden der Quell-IP-Adresse des Clients für die Verbindung zum Server
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 6: Konfigurieren des Lastausgleichs im DSR-Modus für IPv6-Netzwerke über das TOS-Feld
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mit IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mit Listening-Richtlinien
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
-
Installieren, Verknüpfen und Aktualisieren von Zertifikaten
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
Vielen Dank für Ihr Feedback.
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Installieren, Verknüpfen und Aktualisieren von Zertifikaten
Informationen zum Installieren eines Zertifikats finden Sie unterHinzufügen oder Aktualisieren eines Zertifikatschlüsselpaars.
Verknüpfen von Zertifikaten
Viele Serverzertifikate werden von mehreren hierarchischen Zertifizierungsstellen (CA) signiert, was bedeutet, dass die Zertifikate eine Kette wie die folgende bilden:
Manchmal wird die Intermediate-CA in ein primäres und sekundäres Zwischenzertifizierungsstellenzertifikat Dann bilden die Zertifikate eine Kette wie folgt:
Clientcomputer enthalten normalerweise das Stammzertifizierungsstellenzertifikat im lokalen Zertifikatspeicher, jedoch kein oder mehrere Zwischenzertifizierungsstellenzertifikate. Die ADC-Appliance muss ein oder mehrere zwischengeschaltete Zertifizierungsstellenzertifikate an die Clients senden.
Hinweis: Die Appliance darf das Stammzertifikat der Zertifizierungsstelle nicht an den Client senden. Das PKI-Vertrauensstellungsmodell (Public Key Infrastructure) erfordert die Installation von Stammzertifizierungsstellenzertifikaten auf Clients über eine Out-of-Band-Methode. Beispielsweise sind die Zertifikate im Betriebssystem oder Webbrowser enthalten. Der Client ignoriert ein von der Appliance gesendeter Stammzertifizierungsstellenzertifikat.
Manchmal gibt eine Zwischenzertifizierungsstelle, die Standard-Webbrowser nicht als vertrauenswürdige Zertifizierungsstelle erkennen, das Serverzertifikat aus. In diesem Fall müssen ein oder mehrere CA-Zertifikate mit dem eigenen Zertifikat des Servers an den Client gesendet werden. Andernfalls beendet der Browser die SSL-Sitzung, da das Serverzertifikat nicht authentifiziert werden kann.
Videolink zu Wie verbinde ich ein zwischengeschaltetes Autoritätszerti.
In den folgenden Abschnitten finden Sie Informationen zum Hinzufügen von Server- und Zwischenzertifikaten:
- Manuelle Zertifikatverknüpfung
- Automatisierte Zertifikatverknüpfung
- Erstellen einer Kette von Zertifikaten
Manuelle Zertifikatverknüpfung
Hinweis: Diese Funktion wird auf der Citrix ADC FIPS-Plattform und in einem Cluster-Setup nicht unterstützt.
Anstatt einzelne Zertifikate hinzuzufügen und zu verknüpfen, können Sie nun ein Serverzertifikat und bis zu neun Zwischenzertifikate in einer einzigen Datei gruppieren. Sie können den Dateinamen angeben, wenn Sie ein Zertifikatschlüsselpaar hinzufügen. Bevor Sie dies tun, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind.
- Die Zertifikate in der Datei sind in der folgenden Reihenfolge:
- Serverzertifikat (muss das erste Zertifikat in der Datei sein)
- Optional kann ein Serverschlüssel
- Zwischenbescheinigung 1 (ic1)
- Zwischenzertifikat 2 (ic2)
- Zwischenzertifikat 3 (ic3) usw. Hinweis: Zwischenzertifikatdateien werden für jedes Zwischenzertifikat mit dem Namen “<certificatebundlename>.pem_ic< n>” erstellt, wobei n zwischen 1 und 9 liegt. Beispiel: bundle.pem_ic1, wobei bundle der Name des Zertifikatssatzes ist und ic1 das erste Zwischenzertifikat in der Menge ist.
- Die Option Bundle ist aktiviert.
- Es sind nicht mehr als neun Zwischenzertifikate in der Datei vorhanden.
Die Datei wird analysiert und das Serverzertifikat, Zwischenzertifikate und Serverschlüssel (falls vorhanden) identifiziert. Zuerst werden das Serverzertifikat und der Schlüssel hinzugefügt. Dann werden die Zwischenzertifikate in der Reihenfolge hinzugefügt, in der sie der Datei hinzugefügt wurden, und entsprechend verknüpft.
Ein Fehler wird gemeldet, wenn eine der folgenden Bedingungen vorliegt:
- Auf der Appliance ist eine Zertifikatdatei für eines der Zwischenzertifikate vorhanden.
- Der Schlüssel wird vor dem Serverzertifikat in der Datei platziert.
- Ein Zwischenzertifikat wird vor dem Serverzertifikat platziert.
- Zwischenzertifikate werden nicht in der gleichen Reihenfolge in der Datei gespeichert, in der sie erstellt wurden.
- In der Datei sind keine Zertifikate vorhanden.
- Ein Zertifikat hat nicht das richtige PEM-Format.
- Die Anzahl der Zwischenzertifikate in der Datei überschreitet neun.
Hinzufügen eines Zertifikatssatzes mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen Zertifikatsatz zu erstellen und die Konfiguration zu überprüfen:
add ssl certKey <certkeyName> -cert <string> -key <string> -bundle (YES | NO)
show ssl
show ssl certlink
Im folgenden Beispiel enthält der Zertifikatssatz (bundle.pem) die folgenden Dateien:
Serverzertifikat (Bundle), das mit bundle_ic1 verknüpft ist
Erstes Zwischenzertifikat (bundle_ic1), das mit bundle_ic2 verknüpft ist
Zweites Zwischenzertifikat (bundle_ic2), das mit bundle_ic3 verknüpft ist
Drittes Zwischenzertifikat (bundle_ic3)
add ssl certKey bundletest -cert bundle9.pem -key bundle9.pem -bundle yes
sh ssl certkey
1) Name: ns-server-certificate
Cert Path: ns-server.cert
Key Path: ns-server.key
Format: PEM
Status: Valid, Days to expiration:5733
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Server Certificate
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=default OULLFT
Validity
Not Before: Apr 21 15:56:16 2016 GMT
Not After : Mar 3 06:30:56 2032 GMT
Subject: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=default OULLFT
Public Key Algorithm: rsaEncryption
Public Key size: 2048
2) Name: servercert
Cert Path: complete/server/server_rsa_1024.pem
Key Path: complete/server/server_rsa_1024.ky
Format: PEM
Status: Valid, Days to expiration:7150
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Server Certificate
Version: 3
Serial Number: 1F
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix
Validity
Not Before: Sep 2 09:54:07 2008 GMT
Not After : Jan 19 09:54:07 2036 GMT
Subject: C=IN,ST=KAR,O=Citrix Pvt Ltd,CN=Citrix
Public Key Algorithm: rsaEncryption
Public Key size: 1024
3) Name: bundletest
Cert Path: bundle9.pem
Key Path: bundle9.pem
Format: PEM
Status: Valid, Days to expiration:3078
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Server Certificate
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IN,ST=ka,O=sslteam,CN=ICA9
Validity
Not Before: Nov 28 06:43:11 2014 GMT
Not After : Nov 25 06:43:11 2024 GMT
Subject: C=IN,ST=ka,O=sslteam,CN=Server9
Public Key Algorithm: rsaEncryption
Public Key size: 2048
4) Name: bundletest_ic1
Cert Path: bundle9.pem_ic1
Format: PEM
Status: Valid, Days to expiration:3078
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Intermediate CA
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IN,ST=ka,O=sslteam,CN=ICA8
Validity
Not Before: Nov 28 06:42:56 2014 GMT
Not After : Nov 25 06:42:56 2024 GMT
Subject: C=IN,ST=ka,O=sslteam,CN=ICA9
Public Key Algorithm: rsaEncryption
Public Key size: 2048
5) Name: bundletest_ic2
Cert Path: bundle9.pem_ic2
Format: PEM
Status: Valid, Days to expiration:3078
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Intermediate CA
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IN,ST=ka,O=sslteam,CN=ICA7
Validity
Not Before: Nov 28 06:42:55 2014 GMT
Not After : Nov 25 06:42:55 2024 GMT
Subject: C=IN,ST=ka,O=sslteam,CN=ICA8
Public Key Algorithm: rsaEncryption
Public Key size: 2048
6) Name: bundletest_ic3
Cert Path: bundle9.pem_ic3
Format: PEM
Status: Valid, Days to expiration:3078
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Intermediate CA
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IN,ST=ka,O=sslteam,CN=ICA6
Validity
Not Before: Nov 28 06:42:53 2014 GMT
Not After : Nov 25 06:42:53 2024 GMT
Subject: C=IN,ST=ka,O=sslteam,CN=ICA7
Public Key Algorithm: rsaEncryption
Public Key size: 2048
7) Name: bundletest_ic4
Cert Path: bundle9.pem_ic4
Format: PEM
Status: Valid, Days to expiration:3078
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Intermediate CA
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IN,ST=ka,O=sslteam,CN=ICA5
Validity
Not Before: Nov 28 06:42:51 2014 GMT
Not After : Nov 25 06:42:51 2024 GMT
Subject: C=IN,ST=ka,O=sslteam,CN=ICA6
Public Key Algorithm: rsaEncryption
Public Key size: 2048
8) Name: bundletest_ic5
Cert Path: bundle9.pem_ic5
Format: PEM
Status: Valid, Days to expiration:3078
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Intermediate CA
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IN,ST=ka,O=sslteam,CN=ICA4
Validity
Not Before: Nov 28 06:42:50 2014 GMT
Not After : Nov 25 06:42:50 2024 GMT
Subject: C=IN,ST=ka,O=sslteam,CN=ICA5
Public Key Algorithm: rsaEncryption
Public Key size: 2048
9) Name: bundletest_ic6
Cert Path: bundle9.pem_ic6
Format: PEM
Status: Valid, Days to expiration:3078
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Intermediate CA
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IN,ST=ka,O=sslteam,CN=ICA3
Validity
Not Before: Nov 28 06:42:48 2014 GMT
Not After : Nov 25 06:42:48 2024 GMT
Subject: C=IN,ST=ka,O=sslteam,CN=ICA4
Public Key Algorithm: rsaEncryption
Public Key size: 2048
10) Name: bundletest_ic7
Cert Path: bundle9.pem_ic7
Format: PEM
Status: Valid, Days to expiration:3078
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Intermediate CA
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IN,ST=ka,O=sslteam,CN=ICA2
Validity
Not Before: Nov 28 06:42:46 2014 GMT
Not After : Nov 25 06:42:46 2024 GMT
Subject: C=IN,ST=ka,O=sslteam,CN=ICA3
Public Key Algorithm: rsaEncryption
Public Key size: 2048
11) Name: bundletest_ic8
Cert Path: bundle9.pem_ic8
Format: PEM
Status: Valid, Days to expiration:3078
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Intermediate CA
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IN,ST=ka,O=sslteam,CN=ICA1
Validity
Not Before: Nov 28 06:42:45 2014 GMT
Not After : Nov 25 06:42:45 2024 GMT
Subject: C=IN,ST=ka,O=sslteam,CN=ICA2
Public Key Algorithm: rsaEncryption
Public Key size: 2048
12) Name: bundletest_ic9
Cert Path: bundle9.pem_ic9
Format: PEM
Status: Valid, Days to expiration:3078
Certificate Expiry Monitor: ENABLED
Expiry Notification period: 30 days
Certificate Type: Intermediate CA
Version: 3
Serial Number: 01
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=IN,ST=ka,O=sslteam,CN=RootCA4096
Validity
Not Before: Nov 28 06:42:43 2014 GMT
Not After : Nov 25 06:42:43 2024 GMT
Subject: C=IN,ST=ka,O=sslteam,CN=ICA1
Public Key Algorithm: rsaEncryption
Public Key size: 2048
Done
sh ssl certlink
1) Cert Name: bundletest CA Cert Name: bundletest_ic1
2) Cert Name: bundletest_ic1 CA Cert Name: bundletest_ic2
3) Cert Name: bundletest_ic2 CA Cert Name: bundletest_ic3
4) Cert Name: bundletest_ic3 CA Cert Name: bundletest_ic4
5) Cert Name: bundletest_ic4 CA Cert Name: bundletest_ic5
6) Cert Name: bundletest_ic5 CA Cert Name: bundletest_ic6
7) Cert Name: bundletest_ic6 CA Cert Name: bundletest_ic7
8) Cert Name: bundletest_ic7 CA Cert Name: bundletest_ic8
9) Cert Name: bundletest_ic8 CA Cert Name: bundletest_ic9
Done
Hinzufügen eines Zertifikatssatzes mit der GUI
- Navigieren Sie zu Verkehrsverwaltung > SSL > Zertifikate > Zertifizierungsstellenzertifikate.
- Klicken Sie im Detailbereich auf Installieren.
- Geben Sie im Dialogfeld Zertifikat installieren die Details ein, z. B. das Zertifikat und den Namen der Schlüsseldatei, und wählen Sie dann Zertifikatpaket aus.
- Klicken Sie auf Installierenund dann auf Schließen.
Automatisierte Zertifikatverknüpfung
Hinweis: Diese Funktion ist ab Release 13.0 Build 47.x verfügbar.
Sie müssen ein Zertifikat nicht mehr manuell mit seinem Aussteller bis zum Stammzertifikat verknüpfen. Wenn die zwischengeschalteten Zertifizierungsstellenzertifikate und das Stammzertifikat auf der Appliance vorhanden sind, können Sie im Endbenutzerzertifikat auf die Schaltfläche Verknüpfen klicken.
Die potenzielle Kette wird angezeigt.
Klicken Sie auf Zertifikat verknüpfen, um alle Zertifikate zu verknüpfen.
Erstellen einer Kette von Zertifikaten
Anstatt einen Satz von Zertifikaten (eine einzelne Datei) zu verwenden, können Sie eine Kette von Zertifikaten erstellen. Die Kette verknüpft das Serverzertifikat mit seinem Aussteller (der Zwischenzertifizierungsstelle). Dieser Ansatz erfordert, dass die Zwischenzertifizierungsstellenzertifikatdatei auf der ADC-Appliance installiert ist und die Clientanwendung einem der Zertifikate in der Kette vertrauen muss. Verknüpfen Sie beispielsweise Cert-Intermediate-A mit Cert-Intermediate-B, wobei Cert-Intermediate-B mit Cert-Intermediate-C verknüpft ist, einem Zertifikat, dem die Clientanwendung vertraut.
Hinweis: Die Appliance unterstützt das Senden von maximal 10 Zertifikaten in der Kette von Zertifikaten, die an den Client gesendet werden (ein Serverzertifikat und neun Zertifizierungsstellenzertifikate).
Erstellen einer Zertifikatkette mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Zertifikatkette zu erstellen und die Konfiguration zu überprüfen. (Wiederholen Sie den ersten Befehl für jedes neue Glied in der Kette.)
link ssl certkey <certKeyName> <linkCertKeyName>
show ssl certlink
Beispiel:
link ssl certkey siteAcertkey CAcertkey
Done
show ssl certlink
linked certificate:
1) Cert Name: siteAcertkey CA Cert Name: CAcertkey
Done
Erstellen einer Zertifikatkette mit der GUI
- Navigieren Sie zu Traffic Management > SSL > Zertifikate.
- Wählen Sie ein Serverzertifikat aus, und wählen Sie in der Liste Aktion die Option Verknüpfung aus, und geben Sie den Namen des Zertifizierungsstellenzertifikats an.
Aktualisieren eines vorhandenen Serverzertifikats
Um ein vorhandenes Serverzertifikat manuell zu ändern, müssen Sie die folgenden Schritte ausführen:
- Lösen Sie das alte Zertifikat vom virtuellen Server.
- Entfernen Sie das Zertifikat von der Appliance.
- Fügen Sie das neue Zertifikat der Appliance hinzu.
- Binden Sie das neue Zertifikat an den virtuellen Server.
Um Ausfallzeiten beim Austausch eines Zertifikatschlüsselpaars zu reduzieren, können Sie ein vorhandenes Zertifikat aktualisieren. Wenn Sie ein Zertifikat durch ein Zertifikat ersetzen möchten, das für eine andere Domäne ausgestellt wurde, müssen Sie Domänenüberprüfungen deaktivieren, bevor Sie das Zertifikat aktualisieren.
Um Benachrichtigungen über Zertifikate zu erhalten, die abgelaufen sind, können Sie den Ablaufmonitor aktivieren.
Wenn Sie ein Zertifikat von einem konfigurierten virtuellen SSL-Server oder -Dienst entfernen oder die Bindung aufheben, wird der virtuelle Server oder Dienst inaktiv. Sie sind aktiv, nachdem ein neues gültiges Zertifikat an sie gebunden ist. Um Ausfallzeiten zu reduzieren, können Sie die Update-Funktion verwenden, um ein Zertifikatschlüsselpaar zu ersetzen, das an einen virtuellen SSL-Server oder einen SSL-Dienst gebunden ist.
Übersichtsdiagramm zum Aktualisieren eines SSL-Zertifikats auf der Citrix ADC Appliance.
Videolink zu Wie aktualisiere ich ein bestehendes Zertifikat.
Aktualisieren eines vorhandenen Zertifikatschlüsselpaars mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein vorhandenes Zertifikatschlüsselpaar zu aktualisieren und die Konfiguration zu überprüfen:
update ssl certkey <certkeyName> -cert <string> -key <string>
show ssl certKey <certkeyName>
Beispiel:
update ssl certkey siteAcertkey -cert /nsconfig/ssl/cert.pem -key /nsconfig/ssl/pkey.pem
Done
show ssl certkey siteAcertkey
Name: siteAcertkey Status: Valid
Version: 3
Serial Number: 02
Signature Algorithm: md5WithRSAEncryption
Issuer: /C=US/ST=CA/L=Santa Clara/O=siteA/OU=Tech
Validity
Not Before: Nov 11 14:58:18 2001 GMT
Not After: Aug 7 14:58:18 2004 GMT
Subject: /C=US/ST-CA/L=San Jose/O=CA/OU=Security
Public Key Algorithm: rsaEncryption
Public Key size: 2048
Done
Aktualisieren eines vorhandenen Zertifikatschlüsselpaars mit der GUI
-
Navigieren Sie zu Traffic Management > SSL > Zertifikate > Serverzertifikate .
-
Wählen Sie das Zertifikat aus, das Sie aktualisieren möchten, und klicken Sie auf Aktualisieren.
-
Wählen Sie Zertifikat und Schlüssel aktualisierenaus.
-
Klicken Sie unter Zertifikatdateinameauf Datei auswählen> Lokal, und navigieren Sie zur aktualisierten PFX- oder Zertifikat-PEM-Datei.
-
Wenn Sie eine PFX-Datei hochladen, werden Sie aufgefordert, das PFX-Dateikennwort anzugeben.
-
Wenn Sie eine Zertifikat-PEM-Datei hochladen, müssen Sie auch eine Zertifikatschlüsseldatei hochladen. Wenn der Schlüssel verschlüsselt ist, müssen Sie das Verschlüsselungskennwort angeben.
-
-
Wenn der allgemeine Name des neuen Zertifikats nicht mit dem alten Zertifikat übereinstimmt, wählen Sie Keine Domänenüberprüfungaus.
-
Klicken Sie auf OK. Alle virtuellen SSL-Server, an die dieses Zertifikat gebunden ist, werden automatisch aktualisiert.
-
Nach dem Ersetzen des Zertifikats müssen Sie möglicherweise die Zertifikatverknüpfung auf ein neues Zwischenzertifikat aktualisieren. Weitere Hinweise zum Aktualisieren eines Zwischenzertifikats ohne Unterbrechung der Verknüpfungen finden Sie unterAktualisieren eines Zwischenzertifikats ohne Unterbrechung der Links.
-
Klicken Sie mit der rechten Maustaste auf das aktualisierte Zertifikat, und klicken Sie auf Zertifikatverknüpfungen, um festzustellen, ob es mit einem Zwischenzertifikat verknüpft ist.
-
Wenn das Zertifikat nicht verknüpft ist, klicken Sie mit der rechten Maustaste auf das aktualisierte Zertifikat, und klicken Sie auf Verknüpfen, um es mit einem Zwischenzertifikat zu verknüpfen. Wenn keine Option zum Verknüpfen angezeigt wird, müssen Sie zunächst ein neues Zwischenzertifikat auf der Appliance unter dem Knoten Zertifizierungsstellenzertifikate installieren.
-
Aktualisieren eines vorhandenen Zertifizierungsstellenzertifikats
Die Schritte zum Aktualisieren eines vorhandenen Zertifizierungsstellenzertifikats entsprechen dem Aktualisieren eines vorhandenen Serverzertifikats. Der einzige Unterschied besteht darin, dass Sie bei CA-Zertifikaten keinen Schlüssel benötigen.
Domänenüberprüfungen deaktivieren
Wenn ein SSL-Zertifikat auf der Appliance ersetzt wird, muss der im neuen Zertifikat erwähnte Domänenname mit dem Domänennamen des zu ersetzenden Zertifikats übereinstimmen. Wenn Sie beispielsweise ein Zertifikat an abc.com ausgestellt haben und es mit einem Zertifikat aktualisieren, das an def.com ausgestellt wurde, schlägt die Zertifikataktualisierung fehl.
Wenn Sie jedoch möchten, dass der Server, der eine bestimmte Domain hostet, eine neue Domäne hosten soll, deaktivieren Sie die Domänenprüfung, bevor Sie sein Zertifikat aktualisieren.
Deaktivieren der Domänenüberprüfung für ein Zertifikat mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Domänenprüfung zu deaktivieren und die Konfiguration zu überprüfen:
update ssl certKey <certkeyName> -noDomainCheck
show ssl certKey <certkeyName>
Beispiel:
update ssl certKey sv -noDomainCheck
Done
show ssl certkey sv
Name: sv
Cert Path: /nsconfig/ssl/complete/server/server_rsa_512.pem
Key Path: /nsconfig/ssl/complete/server/server_rsa_512.ky
Format: PEM
Status: Valid, Days to expiration:9349
Certificate Expiry Monitor: DISABLED
Done
Deaktivieren der Domänenüberprüfung für ein Zertifikat mit der GUI
- Navigieren Sie zu Traffic Management > SSL > Zertifikate, wählen Sie ein Zertifikat aus, und klicken Sie auf Aktualisieren.
- Wählen Sie Keine Domänenüberprüfungaus.
Ersetzen Sie das Standardzertifikat einer ADC-Appliance durch ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle, das dem Hostnamen der Appliance entspricht
Im folgenden Verfahren wird davon ausgegangen, dass das Standardzertifikat (ns-server-certificate) an die internen Dienste gebunden ist.
- Navigieren Sie zu Traffic Management > SSL > SSL-Zertifikate > Zertifikatsanforderung erstellen.
- Geben Sie unter gemeinsamer Bezeichnung ein
test.citrixadc.com. - Reichen Sie den CSR an eine vertrauenswürdige Zertifizierungsstelle ein.
- Nachdem Sie das Zertifikat von der vertrauenswürdigen Zertifizierungsstelle erhalten haben, kopieren Sie die Datei in das
/nsconfig/sslVerzeichnis. - Navigieren Sie zu Traffic Management > SSL > Zertifikate > Serverzertifikate.
- Wählen Sie das Standardserverzertifikat (
ns-server-certificate) aus und klicken Sie auf Update. - Navigieren Sie im Dialogfeld Update Certificate in Certificate File Namezu dem Zertifikat, das Sie nach der Unterzeichnung von der Zertifizierungsstelle erhalten haben.
- Geben Sie im Feld Schlüsseldateiname den standardmäßigen Namen der privaten Schlüsseldatei an (
ns-server.key). - Wählen Sie Keine Domänenüberprüfungaus.
- Klicken Sie auf OK.
Aktivieren Sie den Ablaufmonitor
Ein SSL-Zertifikat ist für einen bestimmten Zeitraum gültig. Eine typische Bereitstellung umfasst mehrere virtuelle Server, die SSL-Transaktionen verarbeiten, und die an sie gebundenen Zertifikate können zu unterschiedlichen Zeiten ablaufen. Ein auf der Appliance konfigurierter Ablaufmonitor erstellt Einträge in den Syslog- und NS-Überwachungsprotokollen der Appliance, wenn ein konfiguriertes Zertifikat abläuft.
Wenn Sie SNMP-Warnungen für den Zertifikatablauf erstellen möchten, müssen Sie sie separat konfigurieren.
Aktivieren eines Ablaufmonitors für ein Zertifikat mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen Ablaufmonitor für ein Zertifikat zu aktivieren und die Konfiguration zu überprüfen:
set ssl certKey <certkeyName> [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]]
show ssl certKey <certkeyName>
Beispiel:
set ssl certKey sv -expiryMonitor ENABLED –notificationPeriod 60
Done
Aktivieren eines Ablaufmonitors für ein Zertifikat mit der GUI
- Navigieren Sie zu Traffic Management > SSL > Zertifikate, wählen Sie ein Zertifikat aus, und klicken Sie auf Aktualisieren.
- Wählen Sie Bei Ablauf benachrichtigen aus, und geben Sie optional einen Benachrichtigungszeitraum an.
Aktualisieren eines Zwischenzertifikats ohne Unterbrechung der Links
Sie können jetzt ein Zwischenzertifikat aktualisieren, ohne vorhandene Links zu unterbrechen. Die Erweiterung “AuthorityKeyIdentifier” in dem verknüpften Zertifikat, das von dem zu ersetzenden Zertifikat ausgestellt wird, darf kein Feld für die Seriennummer des Autoritätszertifikats (‘AuthorityCertSerialNumber’) enthalten. Wenn die Erweiterung ‘AuthorityKeyIdentifier’ ein Seriennummernfeld enthält, müssen die Seriennummern des Zertifikats des alten und neuen Zertifikats identisch sein. Sie können eine beliebige Anzahl von Zertifikaten in der Verknüpfung nacheinander aktualisieren, wenn die vorhergehende Bedingung erfüllt ist. Zuvor brachen die Links, wenn ein Zwischenzertifikat aktualisiert wurde.
Zum Beispiel gibt es vier Zertifikate: CertACertB, CertC, und CertD. Zertifikat CertA ist der Aussteller für CertB, CertB ist der Aussteller und so weiter. CertC Wenn Sie ein Zwischenzertifikat CertB durch ersetzen möchten CertB_new, ohne den Link zu unterbrechen, muss die folgende Bedingung erfüllt sein:
Die Seriennummer des Zertifikats von CertB muss mit der Seriennummer des Zertifikats übereinstimmen, CertB_new wenn die beiden folgenden Bedingungen erfüllt sind:
- Die Erweiterung
AuthorityKeyIdentifierist inCertCvorhanden. - Diese Erweiterung enthält ein Seriennummernfeld.
Wenn sich der allgemeine Name in einem Zertifikat ändert, während das Zertifikat aktualisiert wird, geben Sie nodomaincheck an.
Wenn Sie im vorangegangenen Beispiel “www.example.com” in CertD “*.example.com” ändern möchten, wählen Sie den Parameter “No Domain Check”.
Aktualisieren des Zertifikats mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
update ssl certKey <certkeyName> -cert <string> [-password] -key <string> [-noDomainCheck]
Beispiel:
update ssl certkey siteAcertkey -cert /nsconfig/ssl/cert.pem -key /nsconfig/ssl/pkey.pem -noDomainCheck
Anzeigen einer Zertifikatkette
Ein Zertifikat enthält den Namen der ausstellenden Behörde und des Antragstellers, an den das Zertifikat ausgestellt wird. Um ein Zertifikat zu validieren, müssen Sie sich den Aussteller dieses Zertifikats ansehen und bestätigen, ob Sie dem Aussteller vertrauen. Wenn Sie dem Aussteller nicht vertrauen, müssen Sie sehen, wer das Ausstellerzertifikat ausgestellt hat. Gehen Sie in die Kette, bis Sie das Zertifikat der Stammzertifizierungsstelle oder einen Aussteller, dem Sie vertrauen, erreichen.
Als Teil des SSL-Handshakes präsentiert die Appliance, wenn ein Client ein Zertifikat anfordert, ein Zertifikat und die Kette der auf der Appliance vorhandenen Zertifikate für Aussteller. Ein Administrator kann die Zertifikatkette für die auf der Appliance vorhandenen Zertifikate anzeigen und fehlende Zertifikate installieren.
Anzeigen der Zertifikatkette für die auf der Appliance vorhandenen Zertifikate mit der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
show ssl certchain <cert_name>
Beispiele
Es gibt 3 Zertifikate: c1, c2 und c3. Das Zertifikat c3 ist das Stamm-CA-Zertifikat und unterzeichnet c2 und c2-Zeichen c1. Die folgenden Beispiele veranschaulichen die Ausgabe des
show ssl certchain c1 Befehls in verschiedenen Szenarien.
Szenario 1:
Zertifikat c2 ist mit c1 verknüpft und c3 ist mit c2 verknüpft.
Zertifikat c3 ist ein Stammzertifikat der Zertifizierungsstelle.
Wenn Sie den folgenden Befehl ausführen, werden die Zertifikatverknüpfungen bis zum Stammzertifikat der Zertifizierungsstelle angezeigt.
show ssl certchain c1
Certificate chain details of certificate name c1 are:
1) Certificate name: c2 linked; not a root certificate
2) Certificate name: c3 linked; root certificate
Done
Szenario 2:
Zertifikat c2 ist mit c1 verknüpft.
Zertifikat c2 ist kein Stammzertifikat der Zertifizierungsstelle.
Wenn Sie den folgenden Befehl ausführen, werden die Informationen angezeigt, dass das Zertifikat c3 ein Root-CA-Zertifikat ist, aber nicht mit c2 verknüpft ist.
show ssl certchain c1
Certificate chain details of certificate name c1 are:
1) Certificate Name: c2 linked; not a root certificate
2) Certificate Name: c3 not linked; root certificate
Done
Szenario 3:
Zertifikate c1, c2 und c3 sind nicht verknüpft, sind aber auf der Appliance vorhanden.
Wenn Sie den folgenden Befehl ausführen, werden Informationen über alle Zertifikate angezeigt, die mit dem Aussteller des Zertifikats c1 beginnen. Es wird auch angegeben, dass die Zertifikate nicht verknüpft sind.
show ssl certchain c1
Certificate chain details of certificate name c1 are:
1) Certificate Name: c2 not linked; not a root certificate
2) Certificate Name: c3 not linked; root certificate
Done
Szenario 4:
Zertifikat c2 ist mit c1 verknüpft.
Zertifikat c3 ist auf der Appliance nicht vorhanden.
Wenn Sie den folgenden Befehl ausführen, werden Informationen über das mit c1 verknüpfte Zertifikat angezeigt. Sie werden aufgefordert, ein Zertifikat mit dem in c2 angegebenen Antragstellernamen hinzuzufügen. In diesem Fall wird der Benutzer aufgefordert, das Stammzertifikat c3 hinzuzufügen.
show ssl certchain c1
Certificate chain details of certificate name c1 are:
1) Certificate Name: c2 linked; not a root certificate
2) Certificate Name: /C=IN/ST=ka/O=netscaler/CN=test
Action: Add a certificate with this subject name.
Done
Szenario 5:
Ein Zertifikat ist nicht mit dem Zertifikat c1 verknüpft, und das Ausstellerzertifikat von c1 ist nicht auf der Appliance vorhanden.
Wenn Sie den folgenden Befehl ausführen, werden Sie aufgefordert, ein Zertifikat mit dem Antragstellernamen in Zertifikat c1 hinzuzufügen.
sh ssl certchain c1
Certificate chain details of certificate name c1 are:
1) Certificate Name: /ST=KA/C=IN
Action: Add a certificate with this subject name.
Teilen
Teilen
In diesem Artikel
- Verknüpfen von Zertifikaten
- Manuelle Zertifikatverknüpfung
- Automatisierte Zertifikatverknüpfung
- Erstellen einer Kette von Zertifikaten
- Aktualisieren eines vorhandenen Serverzertifikats
- Aktualisieren eines vorhandenen Zertifizierungsstellenzertifikats
- Domänenüberprüfungen deaktivieren
- Ersetzen Sie das Standardzertifikat einer ADC-Appliance durch ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle, das dem Hostnamen der Appliance entspricht
- Aktivieren Sie den Ablaufmonitor
- Aktualisieren eines Zwischenzertifikats ohne Unterbrechung der Links
- Anzeigen einer Zertifikatkette
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.