Citrix Secure Web Gateway

Zertifikatspeicher für SSL-Interception

April 26, 2021

Beitrag von:

Ein SSL-Zertifikat, das integraler Bestandteil jeder SSL-Transaktion ist, ist ein digitales Eingabeformular (X509), das ein Unternehmen (Domain) oder eine Person identifiziert. Ein SSL-Zertifikat wird von einer Zertifizierungsstelle ausgestellt. Eine Zertifizierungsstelle kann privat oder öffentlich sein. Zertifikate, die von öffentlichen Zertifizierungsstellen ausgestellt werden, wie z. B. Verisign, werden von Anwendungen, die SSL-Transaktionen durchführen, vertrauenswürdig. Diese Anwendungen verwalten eine Liste der Zertifizierungsstellen, denen sie vertrauen.

Als Forward Proxy führt eine Citrix Secure Web Gateway (SWG) -Appliance Verschlüsselung und Entschlüsselung des Datenverkehrs zwischen einem Client und einem Server durch. Es fungiert als Server für den Client (Benutzer) und als Client für den Server. Bevor eine Appliance HTTPS-Datenverkehr verarbeiten kann, muss sie die Identität eines Servers überprüfen, um betrügerische Transaktionen zu verhindern. Daher muss die Appliance als Client für den Ursprungsserver das Ursprungsserverzertifikat überprüfen, bevor sie es akzeptiert. Um das Serverzertifikat zu überprüfen, müssen alle Zertifikate (z. B. Stamm- und Zwischenzertifikate), die zum Signieren und Ausstellen des Serverzertifikats verwendet werden, auf der Appliance vorhanden sein. Ein Standardsatz von Zertifizierungsstellenzertifikaten ist auf einer Appliance vorinstalliert. Citrix SWG kann diese Zertifikate verwenden, um fast alle gängigen Ursprungsserver-Zertifikate zu überprüfen. Dieser Standardsatz kann nicht geändert werden. Wenn Ihre Bereitstellung jedoch mehr Zertifizierungsstellenzertifikate erfordert, können Sie ein Bündel solcher Zertifikate erstellen und das Paket in die Appliance importieren. Ein Bundle kann auch ein einzelnes Zertifikat enthalten.

Wenn Sie ein Zertifikatpaket in die Appliance importieren, lädt die Appliance das Paket vom Remotestandort herunter und installiert es nach der Überprüfung, ob das Paket nur Zertifikate enthält, auf der Appliance. Sie müssen ein Zertifikatpaket anwenden, bevor Sie es zum Überprüfen eines Serverzertifikats verwenden können. Sie können ein Zertifikatpaket auch exportieren, um es zu bearbeiten oder als Backup an einem Offline-Speicherort zu speichern.

Importieren und Anwenden eines Zertifizierungsstellenzertifikatbündels mit der Citrix SWG CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import ssl certBundle <name> <src>
<!--NeedCopy-->

apply ssl certBundle <name>
<!--NeedCopy-->

show ssl certBundle
<!--NeedCopy-->

ARGUMENTS:

Nome:

Name, der dem importierten Zertifikatspaket zugewiesen werden soll. Muss mit einem alphanumerischen ASCII-Zeichen oder Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), equals (=) und Bindestrich (-) enthalten. Die folgende Anforderung gilt nur für die CLI:

Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Datei” oder ‘meine Datei’).

Maximale Länge: 31

src:

URL zur Angabe des Protokolls, des Hosts und des Pfads, einschließlich des Dateinamens, zum Zertifikatpaket, das importiert oder exportiert werden soll. Beispiel: http://www.example.com/cert\_bundle\_file.

HINWEIS: Der Import schlägt fehl, wenn sich das zu importierende Objekt auf einem HTTPS-Server befindet, der Clientzertifikatauthentifizierung für den Zugriff erfordert.

Maximale Länge: 2047

Beispiel:

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
<!--NeedCopy-->

apply ssl certBundle swg-certbundle
<!--NeedCopy-->

show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done
<!--NeedCopy-->

Importieren und Anwenden eines Zertifizierungsstellenzertifikatbündels mit der Citrix SWG-GUI auf die Appliance

Navigieren Sie zu Secure Web Gateway > Erste Schritte > Zertifikatpakete .
Führen Sie einen der folgenden Schritte aus:
- Wählen Sie ein Zertifikatspaket aus der Liste aus.
- Um ein neues Zertifikatpaket hinzuzufügen, klicken Sie auf + und geben Sie einen Namen und eine Quell-URL an. Klicken Sie auf OK.
Klicken Sie auf OK.

Entfernen eines Zertifizierungsstellenzertifikatpakets aus der Appliance mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

remove certBundle <cert bundle name>
<!--NeedCopy-->

Beispiel:

remove certBundle mytest-cacert
<!--NeedCopy-->

Exportieren eines Zertifizierungsstellenzertifikatpakets aus der Appliance mit der Citrix SWG CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

export certBundle <cert bundle name> <Path to export>
<!--NeedCopy-->

ARGUMENTS:

Nome:

Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Datei” oder ‘meine Datei’).

Maximale Länge: 31

src:

HINWEIS: Der Import schlägt fehl, wenn sich das zu importierende Objekt auf einem HTTPS-Server befindet, der Clientzertifikatauthentifizierung für den Zugriff erfordert.

Maximale Länge: 2047

Beispiel:

export certBundle mytest-cacert http://192.0.2.20/
<!--NeedCopy-->

Importieren, Anwenden und Überprüfen eines CA-Zertifikatpakets aus dem Mozilla CA-Zertifikatspeicher

Geben Sie an der Eingabeaufforderung Folgendes ein:

> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done
<!--NeedCopy-->

Geben Sie Folgendes ein, um das Bündel anzuwenden:

> apply certbundle mozilla_public_ca
Done
<!--NeedCopy-->

Geben Sie Folgendes ein, um das verwendete Zertifikatbündel zu überprüfen:

> sh certbundle | grep mozilla
    Name : mozilla_public_ca (Inuse)
<!--NeedCopy-->

Einschränkung

Zertifikatpakete werden in einem Cluster-Setup oder auf einer partitionierten Appliance nicht unterstützt.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Zertifikatspeicher für SSL-Interception

April 26, 2021

Beitrag von:

April 26, 2021

Beitrag von:

In diesem Artikel

Importieren und Anwenden eines Zertifizierungsstellenzertifikatbündels mit der Citrix SWG CLI
Importieren und Anwenden eines Zertifizierungsstellenzertifikatbündels mit der Citrix SWG-GUI auf die Appliance
Entfernen eines Zertifizierungsstellenzertifikatpakets aus der Appliance mit der Befehlszeilenschnittstelle
Exportieren eines Zertifizierungsstellenzertifikatpakets aus der Appliance mit der Citrix SWG CLI
Einschränkung

War dieser Artikel hilfreich?