Installation des Systems

Konfigurieren des OCSP-Zertifikatsstatus

Das Konfigurieren des OCSP (Online Certificate Status Protocol) umfasst das Hinzufügen eines OCSP-Responders, das Binden des OCSP-Responders an ein signiertes Zertifikat von einer Certificate Authority (CA) und das Binden des Zertifikats und des privaten Schlüssels an einen virtuellen SSL-Server (Secure Sockets Layer). Wenn Sie ein anderes Zertifikat und einen privaten Schlüssel an einen OCSP-Responder binden müssen, den Sie bereits konfiguriert haben, müssen Sie zuerst die Bindung des Responders aufheben und dann den Responder an ein anderes Zertifikat binden.

So konfigurieren Sie OCSP

  1. Erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf OCSP-Responder.

  2. Klicken Sie im Detailbereich auf “Hinzufügen”.

  3. Geben Sie unter Name einen Namen für das Profil ein.

  4. Geben Sie unter URL die Webadresse des OCSP-Responders ein.

    Dieses Feld ist obligatorisch. Die Webadresse darf 32 Zeichen nicht überschreiten.

  5. Um die OCSP-Antworten zwischenzuspeichern, klicken Sie auf Cache, und geben Sie unter Timeout die Anzahl der Minuten ein, in denen Citrix Gateway die Antwort enthält.

  6. Klicken Sie unter Batching anfordern auf Aktivieren.

  7. Geben Sie unter Stapelverzögerung die Zeit in Millisekunden an, die für das Stapeln einer Gruppe von OCSP-Anforderungen zulässig ist.

    Die Werte können zwischen 0 und 10000 liegen. Der Standardwert ist 1.

  8. Geben Sie unter Product At Time Skew (Product At Time Skew) die Zeit ein, die Citrix Gateway verwenden kann, wenn die Appliance die Antwort überprüfen oder annehmen muss.

  9. Wählen Sie unter Antwortüberprüfung die Option Antworten vertrauen aus, wenn Sie Signaturprüfungen durch den OCSP-Responder deaktivieren möchten.

    Wenn Sie Vertrauensantworten aktivieren, überspringen Sie Schritt 8 und Schritt 9.

  10. Wählen Sie unter Zertifikat das Zertifikat aus, das zum Signieren der OCSP-Antworten verwendet wird.

    Wenn kein Zertifikat ausgewählt ist, wird die Zertifizierungsstelle, an die der OCSP-Responder gebunden ist, verwendet, um Antworten zu überprüfen.

  11. Geben Sie unter Anforderungstimeout die Anzahl der Millisekunden ein, die auf eine OCSP-Antwort gewartet werden sollen.

    Diese Zeit beinhaltet die Batch-Verzögerungszeit. Die Werte können zwischen 0 und 120000 liegen. Der Standardwert ist 2000.

  12. Wählen Sie unter Signaturzertifikat das Zertifikat und den privaten Schlüssel aus, die zum Signieren von OCSP-Anforderungen verwendet werden. Wenn Sie kein Zertifikat und keinen privaten Schlüssel angeben, werden die Anforderungen nicht signiert.

  13. Um die Nummer einmalig (nonce) Erweiterung zu aktivieren, wählen Sie Nonce aus.

  14. Klicken Sie auf Clientzertifikateinfügung, um ein Clientzertifikat zu verwenden.

  15. Klicken Sie auf Create und dann auf Close.

Konfigurieren des OCSP-Zertifikatsstatus