Autenticación con certificados de cliente

Los sitios web que contienen contenido confidencial, como sitios web de banca en línea o sitios web con información personal de los empleados, a veces requieren certificados de cliente para la autenticación. Para configurar la autenticación, la autorización y la auditoría para autenticar a los usuarios sobre la base de atributos de certificado del lado del cliente, primero debe habilitar la autenticación del cliente en el servidor virtual de administración de tráfico y enlazar el certificado raíz al servidor virtual de autenticación. A continuación, implementa una de las dos opciones. Puede configurar el tipo de autenticación predeterminado en el servidor virtual de autenticación como CERT, o puede crear una acción de certificado que defina lo que debe hacer Citrix ADC para autenticar a los usuarios sobre la base de un certificado de cliente. En cualquier caso, el servidor de autenticación debe admitir CRL. Configurar el ADC para extraer el nombre de usuario del campo SubjectCN u otro campo especificado en el certificado de cliente.

Cuando el usuario intenta iniciar sesión en un servidor virtual de autenticación para el que no está configurada una directiva de autenticación y no se configura una cascada global, la información de nombre de usuario se extrae del campo especificado del certificado. Si se extrae el campo requerido, la autenticación se realiza correctamente. Si el usuario no proporciona un certificado válido durante el protocolo de enlace SSL, o si se produce un error en la extracción del nombre de usuario, se produce un error en la autenticación. Después de validar el certificado de cliente, el ADC presenta una página de inicio de sesión al usuario.

En los procedimientos siguientes se supone que ya ha creado una configuración de autenticación, autorización y auditoría en funcionamiento y, por lo tanto, solo se explica cómo habilitar la autenticación mediante certificados de cliente. Estos procedimientos también suponen que ha obtenido el certificado raíz y los certificados de cliente y los ha colocado en el ADC en el directorio /nsconfig/ssl.

Para configurar los parámetros de autenticación, autorización y auditoría del certificado de cliente mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos, en el orden mostrado, para configurar el certificado y verificar la configuración:

  • add ssl certKey <certkeyName> -cert <certFile> -key <keyFile> -password -inform <inform> -expiryMonitor <expiryMonitor> -notificationPeriod <notificationPeriod>

  • bind ssl certKey <certkeyName> -vServer <certkeyName> -CA -crlCheck Mandatory

  • show ssl certKey [<certkeyName>]

  • set aaa parameter -defaultAuthType CERT

  • show aaa parameter

  • set aaa certParams -userNameField "Subject:CN"

  • show aaa certParams

Para configurar los parámetros de autenticación, autorización y auditoría del certificado de cliente mediante la utilidad de configuración

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.
  2. En el panel de detalles, seleccione el servidor virtual que quiere configurar para gestionar la autenticación de certificados de cliente y, a continuación, haga clic en Modificar.
  3. En la página Configuración, en Certificados, haga clic en la flecha derecha (>) para abrir el cuadro de diálogo de instalación de la clave de certificado de CA.
  4. En el cuadro de diálogo Clave de certificado de CA, haga clic en Insertar.
  5. En el cuadro de diálogo Clave de certificado de CA - Certificados SSL, haga clic en Instalar.
  6. En el cuadro de diálogo Instalar certificado, establezca los siguientes parámetros, cuyos nombres corresponden a los nombres de los parámetros CLI como se muestra:
    • Nombre del par de clave-certificado*—CertKeyName
    • Certificate File Name—certFile
    • Key File Name—keyFile
    • Certificate Format—inform
    • Password—password
    • Certificate Bundle—bundle
    • Notify When Expires—expiryMonitor
    • Notification Period—notificationPeriod
  7. Haga clic en Instalar y, a continuación, haga clic en Cerrar.
  8. En el cuadro de diálogo Clave de certificado de CA, en la lista Certificado, seleccione el certificado raíz.
  9. Haga clic en Save.
  10. Haga clic en Atrás para volver a la pantalla de configuración principal.
  11. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > CERT.
  12. En el panel de detalles, seleccione la directiva que quiere configurar para gestionar la autenticación de certificados de cliente y, a continuación, haga clic en Modificar.
  13. En el cuadro de diálogo Configurar directiva de CERT de autenticación, en la lista desplegable Servidor, seleccione el servidor virtual que acaba de configurar para gestionar la autenticación de certificados de cliente.
  14. Haga clic en Aceptar. Aparece un mensaje en la barra de estado que indica que la configuración se completó correctamente.

Soporte para notificar el número de intentos de inicio de sesión fallidos

El dispositivo Citrix ADC ahora puede registrar el número de intentos de inicio de sesión incorrectos realizados desde el último inicio de sesión correcto. La función solo funciona si la opción PersistentLoginAttempts está habilitada en el dispositivo. De forma predeterminada, la opción está inhabilitada en el dispositivo Citrix ADC.

Un administrador de Citrix ADC puede utilizar esta información para verificar si se han producido intentos no autorizados en una cuenta de usuario externo segura.

Para utilizar esta función, en el símbolo del sistema de Citrix ADC, escriba:

set aaa parameter [–maxloginAttempts <value> [-failedLoginTimeout <value>]] -persistentLoginAttempts (ENABLED | DISABLED)

Ejemplo:

set aaa parameter –maxLoginAttempts 4 –failedLoginTimeout 3 –persistentLoginAttempts ENABLED