Citrix ADC

Listas de revocación de certificados

Normalmente, un certificado emitido por una entidad emisora de certificados sigue siendo válido hasta su fecha de caducidad. Sin embargo, en algunas circunstancias, la entidad emisora de certificados podría revocar el certificado emitido antes de la fecha de caducidad. Por ejemplo, cuando la clave privada de un propietario se ve comprometida, cambia el nombre de una empresa o persona, o cambia la asociación entre el sujeto y la entidad emisora de certificados.

Una lista de revocación de certificados (CRL) identifica los certificados no válidos por número de serie y emisor.

Las autoridades certificadoras emiten CRL regularmente. Puede configurar el dispositivo Citrix ADC para que utilice una CRL para bloquear las solicitudes de cliente que presenten certificados no válidos.

Si ya tiene un archivo CRL de una CA, agréguese al dispositivo Citrix ADC. Puede configurar las opciones de actualización. También puede configurar Citrix ADC para que sincronice el archivo CRL automáticamente en un intervalo especificado, ya sea desde una ubicación web o desde una ubicación LDAP. El dispositivo admite CRL en formato PEM o DER. Asegúrese de especificar el formato de archivo del archivo CRL que se va a agregar al dispositivo Citrix ADC.

Si ha utilizado el ADC como entidad emisora de certificados para crear certificados que se utilizan en implementaciones SSL, también puede crear una CRL para revocar un certificado determinado. Esta función se puede utilizar, por ejemplo, para asegurarse de que los certificados autofirmados que se crean en Citrix ADC no se utilizan ni en un entorno de producción ni más allá de una fecha determinada.

Nota:

De forma predeterminada, las CRL se almacenan en el directorio /var/netscaler/ssl del dispositivo Citrix ADC.

Crear una CRL en el ADC

Dado que puede utilizar el dispositivo para actuar como entidad emisora de certificados y crear certificados autofirmados, también puede revocar los certificados creados y los certificados cuyo certificado de CA posee.

El dispositivo debe revocar certificados no válidos antes de crear una CRL para dichos certificados. El dispositivo almacena los números de serie de los certificados revocados en un archivo de índice y actualiza el archivo cada vez que revoca un certificado. El archivo de índice se crea automáticamente la primera vez que se revoca un certificado.

Revocar un certificado o crear una CRL mediante la CLI

En el símbolo del sistema, escriba el siguiente comando:

create ssl crl <CAcertFile> <CAkeyFile> <indexFile> (-revoke <input_filename> | -genCRL <output_filename>)

Ejemplo:

create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -revoke Invalid-1

create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -genCRL CRL-1

Revocar un certificado o crear una CRL mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL y, en el grupo Introducción, seleccione Administración de CRL.
  2. Introduzca los detalles del certificado y, en la lista Elegir operación, seleccione Revocar certificado o Generar CRL.

Agregar una CRL existente al ADC

Antes de configurar la CRL en el dispositivo Citrix ADC, asegúrese de que el archivo CRL se almacena localmente en el dispositivo Citrix ADC. En el caso de una configuración de alta disponibilidad, el archivo CRL debe estar presente en ambos dispositivos ADC y la ruta del directorio al archivo debe ser la misma en ambos dispositivos.

Agregue una CRL en Citrix ADC mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para agregar una CRL en Citrix ADC y compruebe la configuración:

add ssl crl <crlName> <crlPath> [-inform (DER | PEM)]

show ssl crl [<crlName>]

Ejemplo:

> add ssl crl crl-one /var/netscaler/ssl/CRL-one -inform PEM

Done

> show ssl crl crl-one

            Name: crl-one   Status: Valid,  Days to expiration: 29
            CRL Path: /var/netscaler/ssl/CRL-one
            Format: PEM     CAcert: samplecertkey
            Refresh: DISABLED
            Version: 1
            Signature Algorithm: sha1WithRSAEncryption
            Issuer:  C=US,ST=California,L=Santa Clara,O=NetScaler Inc.,OU=SSL Acceleration,CN=www.ns.com/emailAddress=support@Citrix ADC appliance.com
            Last_update:Jun 15 10:53:53 2010 GMT
            Next_update:Jul 15 10:53:53 2010 GMT

    1)      Serial Number: 00
            Revocation Date:Jun 15 10:51:16 2010 GMT
     Done

Agregue una CRL en Citrix ADC mediante la interfaz gráfica de usuario

Vaya a Administración del tráfico > SSL > CRL y agregue una CRL.

Configurar parámetros de actualización de CRL

Una entidad de certificación genera y publica una CRL periódicamente o, a veces, inmediatamente después de revocar un certificado determinado. Citrix recomienda actualizar las CRL en el dispositivo Citrix ADC con regularidad, para protegerse contra los clientes que intentan conectarse con certificados que no son válidos.

El dispositivo Citrix ADC puede actualizar CRL desde una ubicación web o un directorio LDAP. Cuando especifique parámetros de actualización y una ubicación web o un servidor LDAP, la CRL no tiene que estar presente en la unidad de disco duro local en el momento de ejecutar el comando. La primera actualización almacena una copia en la unidad de disco duro local, en la ruta especificada por el parámetro Archivo CRL. La ruta predeterminada para almacenar la CRL es /var/netscaler/ssl.

Nota: En la versión 10.0 y posteriores, el método para actualizar una CRL no se incluye de forma predeterminada. Especifique un método HTTP o LDAP. Si va a actualizar de una versión anterior a la versión 10.0 o posterior, debe agregar un método y ejecutar el comando de nuevo.

Configurar la actualización automática de CRL mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para configurar la actualización automática de CRL y verificar la configuración:

set ssl crl <crlName> [-refresh ( ENABLED | DISABLED )] [-CAcert <string>] [-server <ip_addr|ipv6_addr|*> | -url <URL>] [-method ( HTTP | LDAP )] [-port <port>] [-baseDN <string>] [-scope ( Base | One )] [-interval <interval>] [-day <positive_integer>] [-time <HH:MM>][-bindDN <string>] {-password } [-binary ( YES | NO )]

show ssl crl [<crlName>]

Ejemplo:

    set CRL crl1  -refresh enabled -method ldap -inform DER -CAcert ca1 -server 10.102.192.192 -port 389 -scope base -baseDN "cn=clnt_rsa4_multicert_der,ou=eng,o=ns,c=in" -time 00:01

    set ssl crl crl1 -refresh enabled -method http -cacert ca1 -port 80 -time 00:10 -url http://10.102.192.192/crl/ca1.crl


    > sh crl

    1)         Name: crl1        Status: Valid,     Days to expiration: 355
                CRL Path: /var/netscaler/ssl/crl1
                Format: PEM      CAcert: ca1
                Refresh: ENABLED          Method: HTTP
                URL: http://10.102.192.192/crl/ca1.crl                 Port:80
                Refresh Time: 00:10
                Last Update: Successful, Date:Tue Jul  6 14:38:13 2010
    Done

Configurar la actualización automática de CRL mediante LDAP o HTTP mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL > CRL.
  2. Abra una CRL y seleccione Activar actualización automática de CRL.

Nota: Si la nueva CRL se ha actualizado en el repositorio externo antes de su hora de actualización real, tal como se especifica en el campo Tiempo de última actualización de la CRL, debe actualizar inmediatamente la CRL en el dispositivo Citrix ADC.

Para ver la última hora de actualización, seleccione la CRL y haga clic en Detalles.

Sincronizar CRL

El dispositivo Citrix ADC utiliza la CRL distribuida más recientemente para evitar que los clientes con certificados revocados accedan a recursos seguros.

Si las CRL se actualizan con frecuencia, el dispositivo Citrix ADC necesita un mecanismo automatizado para obtener las CRL más recientes del repositorio. Puede configurar el dispositivo para que actualice las CRL automáticamente en un intervalo de actualización especificado.

El dispositivo mantiene una lista interna de CRL que deben actualizarse a intervalos regulares. En estos intervalos especificados, el dispositivo analiza la lista en busca de CRL que deben actualizarse. A continuación, se conecta al servidor LDAP remoto o al servidor HTTP, recupera las CRL más recientes y, a continuación, actualiza la lista de CRL local con las nuevas CRL.

Nota: Si la comprobación de CRL se establece en obligatoria cuando el certificado de CA está enlazado al servidor virtual y se produce un error en la actualización inicial de CRL, todas las conexiones de autenticación de cliente con el mismo emisor que la CRL se rechazan como REVOKED hasta que la CRL se actualice correctamente.

Puede especificar el intervalo en el que se debe realizar la actualización de CRL. También puede especificar la hora exacta.

Sincronizar actualización automática de CRL mediante la CLI

En el símbolo del sistema, escriba el siguiente comando:

set ssl crl <crlName> [-interval <interval>] [-day <integer>] [-time <HH:MM>]

Ejemplo:

set ssl crl CRL-1 -refresh ENABLE -interval MONTHLY -days 10 -time 12:00

Sincronizar actualización CRL mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL > CRL.
  2. Abra una CRL, seleccione Activar actualización automática de CRL y especifique el intervalo.

Realizar la autenticación de cliente mediante una lista de revocación de certificados

Si hay una lista de revocación de certificados (CRL) en un dispositivo Citrix ADC, se realiza una comprobación de CRL independientemente de si la comprobación de CRL está establecida como obligatoria u opcional.

El éxito o fracaso de un apretón de manos depende de una combinación de los siguientes factores:

  • Regla para comprobación CRL
  • Regla para la comprobación de certificados de cliente
  • Estado de la CRL configurada para el certificado de CA

En la siguiente tabla se enumeran los resultados de las posibles combinaciones de un protocolo de enlace que implica un certificado revocado.

Tabla 1. Resultado de un apretón de manos con un cliente que utiliza un certificado revocado

Regla para comprobación CRL Regla para comprobación de certificados de cliente Estado de la CRL configurada para el certificado de CA Resultado de un apretón de manos con un certificado revocado
Optativo Optativo Desaparecido Operación correctamente realizada.
Optativo Mandatory (Obligatorio) Desaparecido Operación correctamente realizada.
Optativo Mandatory (Obligatorio) Presente Fallo
Mandatory (Obligatorio) Optativo Desaparecido Operación correctamente realizada.
Mandatory (Obligatorio) Mandatory (Obligatorio) Desaparecido Fallo
Mandatory (Obligatorio) Optativo Presente Operación correctamente realizada.
Mandatory (Obligatorio) Mandatory (Obligatorio) Presente Fallo
Opcional/Obligatorio Optativo Caducado Operación correctamente realizada.
Opcional/Obligatorio Mandatory (Obligatorio) Caducado Fallo

Nota:

  • La comprobación CRL es opcional de forma predeterminada. Para cambiar de opcional a obligatorio o a la inversa, primero debe desvincular el certificado del servidor virtual SSL y, a continuación, volver a vincularlo después de cambiar la opción.

  • En la salida del comando sh ssl vserver, la comprobación OCSP: Opcional implica que una comprobación CRL también es opcional. La configuración de comprobación CRL se muestra en la salida del comando sh ssl vserver solo si la comprobación CRL está establecida en obligatoria. Si la comprobación CRL está establecida en opcional, los detalles de la comprobación CRL no aparecen.

Para configurar la comprobación CRL mediante la CLI

En el símbolo del sistema, escriba el siguiente comando:

bind ssl vserver <vServerName> -certkeyName <string> [(-CA -crlCheck ( Mandatory | Optional ))]
sh ssl vserver

Ejemplo:

bind ssl vs v1 -certkeyName ca -CA -crlCheck mandatory
> sh ssl vs v1

Advanced SSL configuration for VServer v1:

DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: ENABLED Client Cert Required: Mandatory
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Push Encryption Trigger: Always
Send Close-Notify: YES

ECC Curve: P_256, P_384, P_224, P_521

1) CertKey Name: ca CA Certificate CRLCheck: Mandatory CA_Name Sent

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done

Configurar la comprobación CRL mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales y abra un servidor virtual SSL.
  2. Haga clic en la sección Certificados.
  3. Seleccione un certificado y, en la lista Comprobación de OCSP y CRL, seleccione Obligatorio de CRL.

Resultado de un apretón de manos con un certificado revocado o válido

Regla para comprobación CRL Regla para la comprobación de certificados de cliente Estado de la CRL configurada para el certificado de CA Resultado de un apretón de manos con un certificado revocado Resultado de un apretón de manos con un certificado válido
Mandatory (Obligatorio) Mandatory (Obligatorio) Presente Fallo Operación correctamente realizada.
Mandatory (Obligatorio) Mandatory (Obligatorio) Caducado Fallo Fallo
Mandatory (Obligatorio) Mandatory (Obligatorio) Desaparecido Fallo Fallo
Mandatory (Obligatorio) Mandatory (Obligatorio) No definida Fallo Fallo
Optativo Mandatory (Obligatorio) Presente Fallo Operación correctamente realizada.
Optativo Mandatory (Obligatorio) Caducado Operación correctamente realizada. Operación correctamente realizada.
Optativo Mandatory (Obligatorio) Desaparecido Operación correctamente realizada. Operación correctamente realizada.
Optativo Mandatory (Obligatorio) No definida Operación correctamente realizada. Operación correctamente realizada.
Mandatory (Obligatorio) Optativo Presente Operación correctamente realizada. Operación correctamente realizada.
Mandatory (Obligatorio) Optativo Caducado Operación correctamente realizada. Operación correctamente realizada.
Mandatory (Obligatorio) Optativo Desaparecido Operación correctamente realizada. Operación correctamente realizada.
Mandatory (Obligatorio) Optativo No definida Operación correctamente realizada. Operación correctamente realizada.
Optativo Optativo Presente Operación correctamente realizada. Operación correctamente realizada.
Optativo Optativo Caducado Operación correctamente realizada. Operación correctamente realizada.
Optativo Optativo Desaparecido Operación correctamente realizada. Operación correctamente realizada.
Optativo Optativo No definida Operación correctamente realizada. Operación correctamente realizada.