Widerrufslisten für Zertifikate

Von Zeit zu Zeit stellen Zertifizierungsstellen (CAs) Zertifikatsperrlisten (CRLs) aus. CRLs enthalten Informationen über Zertifikate, denen nicht mehr vertraut werden kann. Angenommen, Ann verlässt die XYZ Corporation. Das Unternehmen kann Anns Zertifikat auf eine CRL legen, um zu verhindern, dass sie Nachrichten mit diesem Schlüssel signiert.

Ebenso können Sie ein Zertifikat widerrufen, wenn ein privater Schlüssel kompromittiert ist oder wenn dieses Zertifikat abgelaufen ist und ein neues verwendet wird. Bevor Sie einem öffentlichen Schlüssel vertrauen, stellen Sie sicher, dass das Zertifikat nicht in einer CRL angezeigt wird.

Citrix Gateway unterstützt die folgenden zwei CRL-Typen:

  • CRLs, die die Zertifikate auflisten, die widerrufen wurden oder nicht mehr gültig sind
  • Online Certificate Status Protocol (OSCP), ein Internetprotokoll, das zum Abrufen des Sperrstatus von X.509-Zertifikaten verwendet wird

So fügen Sie eine CRL hinzu:

Stellen Sie vor dem Konfigurieren der CRL auf dem Citrix Gateway-Gerät sicher, dass die CRL-Datei lokal auf dem Gerät gespeichert ist. Im Falle eines Hochverfügbarkeits-Setups muss die CRL-Datei auf beiden Citrix Gateway-Appliances vorhanden sein, und der Verzeichnispfad zur Datei muss auf beiden Appliances identisch sein.

Wenn Sie die CRL aktualisieren müssen, können Sie die folgenden Parameter verwenden:

  • CRL-Name: Der Name der CRL, die auf dem Citrix ADC hinzugefügt wird. Maximal 31 Zeichen.
  • CRL-Datei: Der Name der CRL-Datei, die auf dem Citrix ADC hinzugefügt wird. Der Citrix ADC sucht standardmäßig im Verzeichnis /var/netscaler/ssl nach der CRL-Datei. Maximal 63 Zeichen.
  • URL: Maximal 127 Zeichen
  • Basis-DN: Maximal 127 Zeichen
  • Bind DN: Maximal 127 Zeichen
  • Kennwort: Maximal 31 Zeichen
  • Tage: Maximal 31
  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration SSL und klicken Sie dann auf CRL.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld CRL hinzufügen die Werte für Folgendes an:
    • CRL-Name
    • CRL Datei
    • Format (optional)
    • CA-Zertifikat (optional)
  4. Klicken Sie auf Create und dann auf Close. Wählen Sie im Bereich CRL-Details die CRL aus, die Sie konfiguriert haben, und überprüfen Sie, ob die Einstellungen am unteren Bildschirmrand korrekt sind.

So konfigurieren Sie CRL Autorefresh mithilfe von LDAP oder HTTP in der GUI:

Eine CRL wird regelmäßig oder manchmal unmittelbar nach dem Widerruf eines bestimmten Zertifikats von einer CA generiert und veröffentlicht. Citrix empfiehlt, CRLs auf der Citrix Gateway-Appliance regelmäßig zu aktualisieren, um vor Clients zu schützen, die versuchen, eine Verbindung mit ungültigen Zertifikaten herzustellen.

Das Citrix Gateway-Gerät kann CRLs von einem Webspeicherort oder einem LDAP-Verzeichnis aus aktualisieren. Wenn Sie Aktualisierungsparameter und einen Webspeicherort oder einen LDAP-Server angeben, muss die CRL zum Zeitpunkt der Ausführung des Befehls nicht auf dem lokalen Festplattenlaufwerk vorhanden sein. Bei der ersten Aktualisierung wird eine Kopie auf dem lokalen Festplattenlaufwerk in dem durch den Parameter CRL File angegebenen Pfad gespeichert. Der Standardpfad zum Speichern der CRL lautet /var/netscaler/ssl.

CRL-Aktualisierungsparameter

  • CRL-Name

    Der Name der CRL, die auf dem Citrix Gateway aktualisiert wird.

  • Aktivieren Sie die automatische Aktualisierung von CRL

    Aktivieren oder deaktivieren Sie die automatische Aktualisierung von CRL.

  • CA-Zertifikat

    Das Zertifikat der CA, die die CRL ausgestellt hat. Dieses CA-Zertifikat muss auf der Appliance installiert sein. Der Citrix ADC kann CRLs nur von CAs aktualisieren, deren Zertifikate darauf installiert sind.

  • Methode

    Protokoll, in dem die CRL-Aktualisierung von einem Webserver (HTTP) oder einem LDAP-Server abgerufen werden soll. Mögliche Werte: HTTP, LDAP. Standard: HTTP.

  • Geltungsbereich

    Das Ausmaß des Suchvorgangs auf dem LDAP-Server. Wenn der angegebene Bereich Base ist, erfolgt die Suche auf derselben Ebene wie der Basis-DN. Wenn der angegebene Bereich Eins ist, erstreckt sich die Suche auf eine Ebene unter dem Basis-DN.

  • Server-IP

    Die IP-Adresse des LDAP-Servers, von dem die CRL abgerufen wird. Wählen Sie IPv6 aus, um eine IPv6-IP-Adresse zu verwenden.

  • Port

    Die Portnummer, auf der der LDAP oder der HTTP-Server kommuniziert.

  • URL

    Die URL für den Webstandort, von dem die CRL abgerufen wird.

  • Basis-DN

    Der Basis-DN, der vom LDAP-Server für die Suche nach dem CRL-Attribut verwendet wird. Hinweis: Citrix empfiehlt, das Basis-DN-Attribut anstelle des Ausstellernamens aus dem CA-Zertifikat zu verwenden, um im LDAP-Server nach der CRL zu suchen. Das Feld “Ausstellername” stimmt möglicherweise nicht genau mit dem DN der LDAP-Verzeichnisstruktur überein.

  • Bind DN

    Das bind-DN-Attribut wird verwendet, um auf das CRL-Objekt im LDAP-Repository zuzugreifen. Die Bind-DN-Attribute sind die Administratoranmeldeinformationen für den LDAP-Server. Konfigurieren Sie diesen Parameter, um den unbefugten Zugriff auf die LDAP-Server einzuschränken.

  • Kennwort

    Das Administratorkennwort, das für den Zugriff auf das CRL-Objekt im LDAP-Repository verwendet wurde. Ein Kennwort ist erforderlich, wenn der Zugriff auf das LDAP-Repository eingeschränkt ist, das heißt, anonymer Zugriff ist nicht zulässig.

  • Intervall

    Das Intervall, in dem die CRL-Aktualisierung durchgeführt werden muss. Geben Sie für eine sofortige CRL-Aktualisierung das Intervall als NOW an. Mögliche Werte: MONTHLY, DAILY, WEEKLY, NOW, NONE.

  • Tage

    Der Tag, an dem die CRL-Aktualisierung durchgeführt werden muss. Die Option ist nicht verfügbar, wenn das Intervall auf DAILY eingestellt ist.

  • Zeit

    Die genaue Uhrzeit im 24-Stunden-Format, zu der die CRL-Aktualisierung durchgeführt werden muss.

  • Binär

    Stellen Sie den LDAP-basierten CRL-Abrufmodus auf binär ein. Mögliche Werte: JA, NEIN. Standard: NEIN.

  1. Erweitern Sie im Navigationsbereich SSL und klicken Sie dann auf CRL.
  2. Wählen Sie die konfigurierte CRL aus, für die Sie Aktualisierungsparameter aktualisieren möchten, und klicken Sie dann auf Öffnen.
  3. Wählen Sie die Option “CRL Auto Refresh aktivieren”.
  4. Geben Sie in der Gruppe CRL Auto Refresh Parameters Werte für die folgenden Parameter an: Hinweis: Ein Sternchen (*) zeigt einen erforderlichen Parameter an.
    • Methode
    • Binär
    • Geltungsbereich
    • Server-IP
    • Port*
    • URL
    • Base DN*
    • Bind DN
    • Kennwort
    • Intervall
    • Tage
    • Zeit
  5. Klicken Sie auf Erstellen. Wählen Sie im CRL-Bereich die CRL aus, die Sie konfiguriert haben, und überprüfen Sie, ob die Einstellungen am unteren Bildschirmrand korrekt sind.

Überwachen des Zertifikatsstatus mit OCSP

Online Certificate Status Protocol (OCSP) ist ein Internetprotokoll, das verwendet wird, um den Status eines Client-SSL-Zertifikats zu ermitteln. Citrix Gateway unterstützt OCSP wie in RFC 2560 definiert. OCSP bietet erhebliche Vorteile gegenüber Zertifikatsperrlisten (CRLs) in Bezug auf zeitnahe Informationen. Der aktuelle Widerrufsstatus eines Kundenzertifikats ist besonders nützlich bei Transaktionen mit hohen Geldsummen und hochwertigen Aktiengeschäften. Es verbraucht auch weniger System- und Netzwerkressourcen. Die Citrix Gateway-Implementierung von OCSP umfasst Anforderungs-Batching und Antwort-Caching.

Citrix Gateway-Implementierung von OCSP

Die OCSP-Validierung auf einem Citrix Gateway-Gerät beginnt, wenn Citrix Gateway während eines SSL-Handshakes ein Clientzertifikat erhält. Um das Zertifikat zu validieren, erstellt Citrix Gateway eine OCSP-Anforderung und leitet sie an den OCSP-Responder weiter. Dazu extrahiert Citrix Gateway entweder die URL für den OCSP-Responder aus dem Clientzertifikat oder verwendet eine lokal konfigurierte URL. Die Transaktion befindet sich in einem angehaltenen Zustand, bis Citrix Gateway die Antwort des Servers auswertet und feststellt, ob die Transaktion zugelassen oder abgelehnt werden soll. Wenn sich die Antwort des Servers über die konfigurierte Zeit hinaus verzögert und keine anderen Responder konfiguriert sind, lässt Citrix Gateway die Transaktion zu oder zeigt einen Fehler an, je nachdem, ob Sie die OCSP-Prüfung auf optional oder obligatorisch festlegen. Citrix Gateway unterstützt das Stapeln von OCSP-Anfragen und das Zwischenspeichern von OCSP-Antworten, um die Belastung des OCSP-Responders zu reduzieren und schnellere Antworten zu ermöglichen.

OCSP-Anforderungs-Batching

Jedes Mal, wenn Citrix Gateway ein Clientzertifikat erhält, sendet es eine Anfrage an den OCSP-Responder. Um eine Überlastung des OCSP-Responders zu vermeiden, kann Citrix Gateway den Status von mehr als einem Clientzertifikat in derselben Anforderung abfragen. Damit das Anforderungsbatching effizient funktioniert, müssen Sie ein Timeout definieren, damit die Verarbeitung eines einzelnen Zertifikats nicht verzögert wird, während Sie auf die Bildung eines Stapels warten.

OCSP-Antwort-Caching

Das Zwischenspeichern der vom OCSP-Responder empfangenen Antworten ermöglicht schnellere Antworten auf den Benutzer und reduziert die Belastung des OCSP-Responders. Nach Erhalt des Sperrstatus eines Clientzertifikats vom OCSP-Responder speichert Citrix Gateway die Antwort lokal für eine vordefinierte Zeitspanne. Wenn ein Clientzertifikat während eines SSL-Handshakes empfangen wird, überprüft Citrix Gateway zunächst seinen lokalen Cache auf einen Eintrag für dieses Zertifikat. Wenn ein Eintrag gefunden wird, der noch gültig ist (innerhalb des Cache-Timeout-Limits), wird der Eintrag ausgewertet und das Clientzertifikat wird akzeptiert oder abgelehnt. Wenn ein Zertifikat nicht gefunden wird, sendet Citrix Gateway eine Anforderung an den OCSP-Responder und speichert die Antwort für eine konfigurierte Zeitspanne in seinem lokalen Cache.

Konfigurieren des OCSP-Zertifikats

Das Konfigurieren eines Online Certificate Status Protocol (OCSP) umfasst das Hinzufügen eines OCSP-Responders, das Binden des OCSP-Responders an ein signiertes Zertifikat von einer Certificate Authority (CA) und das Binden des Zertifikats und des privaten Schlüssels an einen virtuellen Secure Sockets Layer (SSL) -Server. Wenn Sie ein anderes Zertifikat und einen anderen privaten Schlüssel an einen bereits konfigurierten OCSP-Responder binden müssen, müssen Sie zuerst den Responder lösen und dann den Responder an ein anderes Zertifikat binden.

So konfigurieren Sie OCSP

  1. Erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf OCSP-Responder.

  2. Klicken Sie im Detailbereich auf “Hinzufügen”.

  3. Geben Sie unter Name einen Namen für das Profil ein.

  4. Geben Sie unter URL die Webadresse des OCSP-Responders ein.

    Dieses Feld ist obligatorisch. Die Webadresse darf 32 Zeichen nicht überschreiten.

  5. Um die OCSP-Antworten zwischenzuspeichern, klicken Sie auf Cache und geben Sie unter Timeout die Anzahl der Minuten ein, die Citrix Gateway die Antwort enthält.

  6. Klicken Sie unter Batching anfordern auf Aktivieren.

  7. Geben Sie in Batching Delay die Zeit in Millisekunden an, die für das Stapeln einer Gruppe von OCSP-Anfragen zulässig ist.

    Die Werte können zwischen 0 und 10000 liegen. Der Standardwert ist 1.

  8. Geben Sie unter Produziert zur Zeitverzerrung ein, wie viel Zeit Citrix Gateway verwenden kann, wenn das Gerät die Antwort prüfen oder akzeptieren muss.

  9. Wählen Sie unter Reaktionsüberprüfung Vertrauensantworten aus, wenn Sie Signaturprüfungen durch den OCSP-Responder deaktivieren möchten.

    Wenn Sie Trust Responses aktivieren, überspringen Sie Schritt 8 und Schritt 9.

  10. Wählen Sie unter Certificate das Zertifikat aus, das zum Signieren der OCSP-Antworten verwendet wird.

    Wenn kein Zertifikat ausgewählt ist, wird die CA, an die der OCSP-Responder gebunden ist, zur Überprüfung der Antworten verwendet.

  11. Geben Sie unter Request Timeout die Anzahl der Millisekunden ein, um auf eine OCSP-Antwort zu warten.

    Diese Zeit beinhaltet die Batching Delay-Zeit. Die Werte können zwischen 0 und 120000 liegen. Die Standardeinstellung ist 2000.

  12. Wählen Sie unter Signaturzertifikat das Zertifikat und den privaten Schlüssel aus, mit denen OCSP-Anfragen signiert werden. Wenn Sie kein Zertifikat und keinen privaten Schlüssel angeben, werden die Anfragen nicht signiert.

  13. Um die einmal verwendete Nummer zu aktivieren (nonce) extension, wählen Sie Nonce aus.

  14. Um ein Clientzertifikat zu verwenden, klicken Sie auf Clientzertifikat einfügen

  15. Klicken Sie auf Create und dann auf Close.

Widerrufslisten für Zertifikate