Citrix ADC

Transferencia de certificados de cliente

El dispositivo Citrix ADC ahora se puede configurar para pasar certificados de cliente a aplicaciones protegidas que requieren certificados de cliente para la autenticación de usuario. El ADC autentica primero al usuario, luego inserta el certificado de cliente en la solicitud y lo envía a la aplicación. Esta función se configura mediante la adición de directivas SSL apropiadas.

El comportamiento exacto de esta función cuando un usuario presenta un certificado de cliente depende de la configuración del servidor virtual VPN.

  • Si el servidor virtual VPN está configurado para aceptar certificados de cliente pero no los requiere, el ADC inserta el certificado en la solicitud y, a continuación, reenvía la solicitud a la aplicación protegida.
  • Si el servidor virtual VPN tiene la autenticación de certificado de cliente inhabilitada, el ADC renegocia el protocolo de autenticación y vuelve a autenticar al usuario antes de insertar el certificado de cliente en el encabezado y reenvía la solicitud a la aplicación protegida.
  • Si el servidor virtual VPN está configurado para requerir autenticación de certificado de cliente, el ADC utiliza el certificado de cliente para autenticar al usuario, inserta el certificado en el encabezado y reenvía la solicitud a la aplicación protegida.

En todos estos casos, configure el paso a través de certificados de cliente de la siguiente manera.

Para crear y configurar la transferencia de certificados de cliente mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

  • add vpn vserver <name> SSL <IP> 443

    Para nombre, sustituya un nombre para el servidor virtual. El nombre debe contener entre uno y 127 caracteres ASCII, comenzando por una letra o un guión bajo (_), y que contenga solo letras, números y el guión bajo, hash (#), punto (.), espacio, dos puntos (:), at (@), igual (=) y guiones (-). Para <IP>, sustituya la dirección IP asignada al servidor virtual.```

  • set ssl vserver <name> -clientAuth ENABLED -clientCert <clientcert> Para <name>, sustituya el nombre del servidor virtual que acaba de crear. Para <clientCert>, sustitúyase uno de los valores siguientes:
    • inhabilitar: Inhabilita la autenticación de certificados de cliente en el servidor virtual VPN.
    • mandatario: Configura el servidor virtual VPN para que requiera certificados de cliente para autenticarse.
    • opcional: Configura el servidor virtual VPN para permitir la autenticación de certificados de cliente, pero no para que lo requiera.
  • bind vpn vserver \<name\> -policy local Para <name>, sustituya el nombre del servidor virtual VPN que ha creado.
  • bind vpn vserver \<name> -policy cert Para <name>, sustituya el nombre del servidor virtual VPN que ha creado.
  • bind ssl vserver \<name> -certkeyName \<certkeyname> Para <name>, sustituya el nombre del servidor virtual que ha creado. Para <certkeyName>, sustituya la clave de certificado de cliente.
  • bind ssl vserver \<name> -certkeyName \<cacertkeyname> -CA -ocspCheck Optional Para <name>, sustituya el nombre del servidor virtual que ha creado. Para <cacertkeyName>, sustituya la clave de certificado de CA.
  • add ssl action \<actname\> -clientCert ENABLED -certHeader CLIENT-CERT Para <actname>, sustituya un nombre para la acción SSL.
  • add ssl policy \<polname\> -rule true -action \<actname\> Para <polname>, sustituya un nombre para la nueva directiva SSL. Para <actname>, sustituya el nombre de la acción SSL que acaba de crear.
  • bind ssl vserver \<name\> -policyName \<polname\> -priority 10 Para <name>, sustituya el nombre del servidor virtual VPN.

Ejemplo

  • add vpn vserver vs-certpassthru SSL 10.121.250.75 443
  • set ssl vserver vs-certpassthru -clientAuth ENABLED -clientCert optional
  • bind vpn vserver vs-certpassthru -policy local
  • bind vpn vserver vs-certpassthru -policy cert
  • bind ssl vserver vs-certpassthru -certkeyName mycertKey
  • bind ssl vserver vs-certpassthru -certkeyName mycertKey -CA -ocspCheck Optional
  • add ssl action act-certpassthru -clientCert ENABLED -certHeader CLIENT-CERT
  • add ssl policy pol-certpassthru -rule true -action act-certpassthru
  • bind ssl vserver vs-certpassthru -policyName pol-certpassthru -priority 10

Transferencia de certificados de cliente