Citrix ADC

Preguntas frecuentes sobre SSL

Preguntas básicas

El acceso HTTPS a la GUI falla en una instancia VPX. ¿Cómo obtengo acceso?

Se requiere un par de claves de certificado para el acceso HTTPS a la GUI. En un dispositivo Citrix ADC, un par de claves de certificado se enlaza automáticamente a los servicios internos. En un dispositivo MPX o SDX, el tamaño de clave predeterminado es 1024 bytes y, en una instancia VPX, el tamaño de clave predeterminado es 512 bytes. Sin embargo, la mayoría de los exploradores hoy en día no aceptan una clave que sea inferior a 1024 bytes. Como resultado, el acceso HTTPS a la utilidad de configuración VPX está bloqueado.

Citrix recomienda instalar un par de claves de certificado de al menos 1024 bytes y vincularlo al servicio interno para el acceso HTTPS a la utilidad de configuración. Alternativamente, actualice el ns-server-certificate a 1024 bytes. Puede utilizar el acceso HTTP a la utilidad de configuración o a la CLI para instalar el certificado.

Si agrego una licencia a un dispositivo MPX, se pierde el enlace del par de certificados y claves. ¿Cómo puedo resolver este problema?

Si una licencia no está presente en un dispositivo MPX cuando se inicia y agrega una licencia más tarde y reinicia el dispositivo, es posible que pierda el enlace del certificado. Vuelva a instalar el certificado y enlazarlo al servicio interno

Citrix recomienda instalar una licencia adecuada antes de iniciar el dispositivo.

¿Cuáles son los diferentes pasos involucrados en la configuración de un canal seguro para una transacción SSL?

La configuración de un canal seguro para una transacción SSL implica los siguientes pasos:

  1. El cliente envía una solicitud HTTPS para un canal seguro al servidor.

  2. Después de seleccionar el protocolo y el cifrado, el servidor envía su certificado al cliente.

  3. El cliente comprueba la autenticidad del certificado del servidor.

  4. Si alguna de las comprobaciones falla, el cliente muestra los comentarios correspondientes.

  5. Si las comprobaciones pasan o el cliente decide continuar incluso si falla una comprobación, el cliente crea una clave temporal y desechable. Esta clave se denomina secreto previo al maestro y el cliente cifra esta clave mediante la clave pública del certificado del servidor.

  6. El servidor, al recibir el secreto pre-maestro, lo descifra mediante el uso de la clave privada del servidor y genera las claves de sesión. El cliente también genera las claves de sesión desde el secreto pre-maestro. Por lo tanto, tanto el cliente como el servidor ahora tienen una clave de sesión común, que se utiliza para el cifrado y descifrado de datos de la aplicación.

Entiendo que SSL es un proceso intensivo de CPU. ¿Cuál es el coste de CPU asociado con el proceso SSL?

Las dos etapas siguientes están asociadas con el proceso SSL:

  • El apretón de manos inicial y configuración segura del canal mediante el uso de la tecnología de clave pública y privada.

  • Cifrado masivo de datos mediante la tecnología de claves asimétricas.

Ambas etapas anteriores pueden afectar al rendimiento del servidor y requieren un procesamiento intensivo de CPU por las siguientes razones:

  1. El protocolo de enlace inicial implica criptografía de clave público-privada, que es muy intensivo de CPU debido a los tamaños de clave grandes (1024 bits, 2048 bits, 4096 bits).

  2. El cifrado/descifrado de datos también es computacionalmente caro, dependiendo de la cantidad de datos que se deben cifrar o descifrar.

¿Cuáles son las diversas entidades de una configuración SSL?

Una configuración SSL tiene las siguientes entidades:

  • Certificado de servidor
  • Certificado de entidad emisora de certificados (CA)
  • Conjunto de cifrado que especifica los protocolos para las siguientes tareas:
    • Intercambio inicial de claves
    • Autenticación de servidor y cliente
    • Algoritmo de cifrado masivo
    • Autenticación de mensajes
  • Client authentication
  • CRL
  • Herramienta de generación de claves de certificado SSL que le permite crear los siguientes archivos:
    • Solicitud de certificado
    • Certificado autofirmado
    • Claves RSA y DSA
    • Parámetros DH

Deseo utilizar la función de descarga SSL del dispositivo Citrix ADC. ¿Cuáles son las distintas opciones para recibir un certificado SSL?

Debe recibir un certificado SSL antes de poder configurar la configuración SSL en el dispositivo Citrix ADC. Puede utilizar cualquiera de los métodos siguientes para recibir un certificado SSL:

  • Solicite un certificado a una entidad de certificación autorizada (CA).

  • Utilice el certificado de servidor existente.

  • Cree un par de claves de certificado en el dispositivo Citrix ADC.

Nota: Este certificado es un certificado de prueba firmado por la entidad raíz de prueba generada por el dispositivo Citrix ADC. Los exploradores no aceptan certificados de prueba firmados por este Root-CA. El explorador emite un mensaje de advertencia indicando que el certificado del servidor no se puede autenticar.

  • Para cualquier otra cosa que no sea de prueba, debe proporcionar un certificado de CA válido y una clave de CA para firmar el certificado de servidor.

¿Cuáles son los requisitos mínimos para una configuración SSL?

Los requisitos mínimos para configurar una configuración SSL son los siguientes:

  • Obtener los certificados y claves.
  • Cree un servidor virtual SSL de equilibrio de carga.
  • Enlace servicios HTTP o SSL al servidor virtual SSL.
  • Enlazar un par de claves de certificado al servidor virtual SSL.

¿Cuáles son los límites para los diversos componentes de SSL?

Los componentes SSL tienen los siguientes límites:

  • Tamaño de bits de los certificados SSL: 4096.
  • Número de certificados SSL: Depende de la memoria disponible en el dispositivo.
  • Máximo de certificados SSL de CA intermedios enlazados: 9 por cadena.
  • Revocaciones de CRL: Depende de la memoria disponible en el dispositivo.

¿Cuáles son los distintos pasos necesarios para el cifrado de datos end-to-end en un dispositivo Citrix ADC?

Los pasos involucrados en el proceso de cifrado del lado del servidor en un dispositivo Citrix ADC son los siguientes:

  1. El cliente se conecta al SSL VIP configurado en el dispositivo Citrix ADC en el sitio seguro.

  2. Después de recibir la solicitud segura, el dispositivo descifra la solicitud y aplica técnicas de conmutación de contenido de capa 4 a 7 y directivas de equilibrio de carga. Luego, selecciona el mejor servidor web back-end disponible para la solicitud.

  3. El dispositivo Citrix ADC crea una sesión SSL con el servidor seleccionado.

  4. Después de establecer la sesión SSL, el dispositivo cifra la solicitud del cliente y la envía al servidor web mediante la sesión SSL segura.

  5. Cuando el dispositivo recibe la respuesta cifrada del servidor, descifra y vuelve a cifrar los datos y los envía al cliente mediante la sesión SSL del lado del cliente.

La técnica de multiplexación del dispositivo Citrix ADC permite al dispositivo reutilizar las sesiones SSL que se han establecido con los servidores web. Por lo tanto, el dispositivo evita el intercambio intensivo de claves de CPU, conocido como protocolo de enlace completo. Este proceso reduce el número total de sesiones SSL en el servidor y mantiene la seguridad de extremo a extremo.

Certificados y claves

¿Puedo colocar el certificado y los archivos de claves en cualquier ubicación? ¿Hay alguna ubicación recomendada para almacenar estos archivos?

Puede almacenar los archivos de certificado y clave en el dispositivo Citrix ADC o en un equipo local. Sin embargo, Citrix recomienda almacenar los archivos de certificado y clave en el /nsconfig/ssl directorio del dispositivo Citrix ADC. El/etc directorio existe en la memoria flash del dispositivo Citrix ADC. Esta acción proporciona portabilidad y facilita la copia de seguridad y restauración de los archivos de certificado en el dispositivo.

Nota: Asegúrese de que el certificado y los archivos de clave están almacenados en el mismo directorio.

¿Cuál es el tamaño máximo de la clave de certificado admitida en el dispositivo Citrix ADC?

Un dispositivo Citrix ADC que ejecute una versión de software anterior a la versión 9.0 admite un tamaño máximo de clave de certificado de 2048 bits. La versión 9.0 y posteriores admiten un tamaño máximo de clave de certificado de 4096 bits. Este límite es aplicable a los certificados RSA y DSA.

Un dispositivo MPX admite certificados de 512 bits hasta los siguientes tamaños:

  • Certificado de servidor de 4096 bits en el servidor virtual

  • Certificado de cliente de 4096 bits en el servicio

  • Certificado de CA de 4096 bits (incluye certificados intermedios y raíz)

  • Certificado de 4096 bits en el servidor back-end

  • Certificado de cliente de 4096 bits (si la autenticación de cliente está habilitada en el servidor virtual)

Un dispositivo virtual admite certificados de 512 bits hasta los siguientes tamaños:

  • Certificado de servidor de 4096 bits en el servidor virtual

  • Certificado de cliente de 4096 bits en el servicio

  • Certificado de CA de 4096 bits (incluye certificados intermedios y raíz)

  • Certificado de 4096 bits en el servidor back-end de la versión 12.0-56.x. Las versiones anteriores admiten certificados de 2048 bits.

  • Certificado de cliente de 2048 bits (si la autenticación de cliente está habilitada en el servidor virtual) desde la versión 12.0-56.x.

¿Cuál es el tamaño máximo del parámetro DH admitido en el dispositivo Citrix ADC?

El dispositivo Citrix ADC admite un parámetro DH de un máximo de 2048 bits.

¿Cuál es la longitud máxima de cadena de certificados, es decir, el número máximo de certificados en una cadena, compatible con un dispositivo Citrix ADC?

Un dispositivo Citrix ADC puede enviar un máximo de 10 certificados en una cadena al enviar un mensaje de certificado de servidor. Una cadena de longitud máxima incluye el certificado de servidor y nueve certificados de CA intermedios.

¿Cuáles son los distintos formatos de certificado y clave admitidos en el dispositivo Citrix ADC?

El dispositivo Citrix ADC admite los siguientes formatos de certificado y clave:

  • Correo mejorado de privacidad (PEM)
  • Regla de codificación distinguida (DER)

¿Existe un límite para el número de certificados y claves que puedo instalar en el dispositivo Citrix ADC?

No. El número de certificados y claves que se pueden instalar solo está limitado por la memoria disponible en el dispositivo Citrix ADC.

He guardado los archivos de certificado y clave en el equipo local. Deseo transferir estos archivos al dispositivo Citrix ADC mediante el protocolo FTP. ¿Existe algún modo preferido para transferir estos archivos al dispositivo Citrix ADC?

Sí. Si utiliza el protocolo FTP, debe usar el modo binario para transferir el certificado y los archivos de clave al dispositivo Citrix ADC.

Nota: De forma predeterminada, FTP está inhabilitado. Citrix recomienda utilizar el protocolo SCP para transferir archivos de certificados y claves. La utilidad de configuración utiliza implícitamente SCP para conectarse al dispositivo.

¿Cuál es la ruta de directorio predeterminada para el certificado y la clave?

La ruta predeterminada del directorio para el certificado y la clave es ‘/nsconfig/ssl’.

Al agregar un par de certificados y claves, ¿qué sucede si no especifico una ruta absoluta a los archivos de certificados y claves?

Al agregar un par de claves de certificado, si no especifica una ruta absoluta a los archivos de certificado y clave, el dispositivo ADC busca estos archivos en el directorio predeterminado e intenta cargarlos en el kernel. El directorio predeterminado es/nsconfig/ssl. Por ejemplo, si los archivos cert1024.pem y rsa1024.pem están disponibles en el /nsconfig/ssl directorio del dispositivo, los dos comandos siguientes son correctos:

add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem

He configurado una configuración de alta disponibilidad. Quiero implementar la función SSL en la configuración. ¿Cómo debo manejar el certificado y los archivos de clave en una configuración de alta disponibilidad?

En una configuración de alta disponibilidad, debe almacenar los archivos de certificado y clave tanto en el dispositivo Citrix ADC principal como en el secundario. La ruta de acceso del directorio para los archivos de certificado y clave debe ser la misma en ambos dispositivos antes de agregar un par de certificados SSL en el dispositivo principal.

NCipher NShield® HSM

Al integrar con NCipher NShield® HSM, ¿debemos tener en cuenta alguna configuración específica al agregar el dispositivo Citrix ADC a HA?

Debe configurar los mismos dispositivos NCipher en ambos nodos de HA. Los comandos de configuración NCipher no se sincronizan en HA. Para obtener información acerca de los requisitos previos para NCipher NShield® HSM, consulte Requisitos previos.

¿Tenemos que integrar individualmente ambos dispositivos con NCipher NShield® HSM y RFS? ¿Necesitamos completar esta acción antes o después de la configuración de HA?

Puede completar la integración antes o después de la configuración de HA. Sin embargo, si la integración se realiza después de la configuración de HA, las claves importadas en el nodo principal antes de configurar el nodo secundario no se sincronizan con el nodo secundario. Por lo tanto, Citrix recomienda la integración con NCipher antes de la configuración de HA.

¿Debemos importar la clave en los dispositivos Citrix ADC primario y secundario, o están sincronizadas las claves desde el nodo principal al nodo secundario?

Si NCipher está integrado en ambos dispositivos antes de formar el HA, las claves se sincronizan automáticamente desde RFS en el proceso de integración.

Dado que el HSM no está en el dispositivo Citrix ADC, sino en NCipher, ¿qué sucede con las claves y los certificados cuando un nodo falla y se reemplaza?

Si un nodo falla, puede sincronizar las claves y los certificados con el nuevo nodo, integrando primero NCipher en el nuevo nodo y, a continuación, ejecutando los siguientes comandos:

sync ha files ssl
force ha sync

Los certificados se sincronizan y agregan si las claves se sincronizan en el proceso de integración de NCipher.

Cifras

¿Qué es un cifrado nulo?

Los cifrados sin cifrado se conocen como cifrados NULL. Por ejemplo, NULL-MD5 es un cifrado Null-.

¿Los cifrados NULL están habilitados de forma predeterminada para un SSL VIP o un servicio SSL?

No. Los cifrados nulos no están habilitados de forma predeterminada para un VIP SSL o un servicio SSL.

¿Cuál es el procedimiento para eliminar los cifrados NULL?

Para eliminar los cifrados NULL de un VIP SSL, ejecute el siguiente comando:

bind ssl cipher <SSL_VIP> REM NULL

Para quitar los cifrados NULL de un servicio SSL, ejecute el siguiente comando:

bind ssl cipher <SSL_Service> REM NULL -service

¿Cuáles son los distintos alias de cifrado admitidos en el dispositivo Citrix ADC?

Para enumerar los alias de cifrado admitidos en el dispositivo, escriba en el símbolo del sistema:

sh cipher

¿Cuál es el comando para mostrar todos los cifrados predefinidos del dispositivo Citrix ADC?

Para mostrar todos los cifrados predefinidos del dispositivo Citrix ADC, en la CLI, escriba:

show ssl cipher

¿Cuál es el comando para mostrar los detalles de un cifrado individual del dispositivo Citrix ADC?

Para mostrar los detalles de un cifrado individual del dispositivo Citrix ADC, en la CLI, escriba:

show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>

Ejemplo:

show cipher SSL3-RC4-SHA
     1) Cipher Name: SSL3-RC4-SHA
     Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
    Mac=SHA1
     Done

¿Cuál es la importancia de agregar los cifrados predefinidos del dispositivo Citrix ADC?

Agregar los cifrados predefinidos del dispositivo Citrix ADC hace que los cifrados NULL se añadan a un servicio SSL VIP o SSL.

¿Es posible cambiar el orden del cifrado sin desvincularlos de un grupo de cifrado en un dispositivo Citrix ADC?

Sí. Es posible cambiar el orden del cifrado sin desvincular los cifrados de un grupo de cifrado personalizado. Sin embargo, no puede cambiar la prioridad en los grupos de cifrado integrados. Para cambiar la prioridad de un cifrado enlazado a una entidad SSL, primero desvincule el cifrado del servidor virtual, servicio o grupo de servicios.

Nota: Si el grupo de cifrado enlazado a una entidad SSL está vacío, el protocolo de enlace SSL falla porque no hay cifrado negociado. El grupo de cifrado debe contener al menos un cifrado.

¿Se admite ECDSA en el dispositivo Citrix ADC?

ECDSA es compatible con las siguientes plataformas Citrix ADC. Para obtener más información sobre las compilaciones admitidas, consulte la Tabla 1 y la Tabla 2 deCifrados disponibles en los dispositivos Citrix ADC.

  • Dispositivos Citrix ADC MPX y SDX con chips N3
  • Citrix ADC MPX 5900/8900/15000/26000 adaptador de red
  • Citrix ADC SDX 8900/15000 adaptador de cable
  • Dispositivos Citrix ADC VPX

¿El dispositivo Citrix ADC VPX admite cifrados AES-GCM/SHA2 en el front-end?

Sí, los cifrados AES-GCM/SHA2 son compatibles con el dispositivo Citrix ADC VPX. Para obtener más información sobre las compilaciones admitidas, consulte Cifrados disponibles en los dispositivos Citrix ADC.

Certificados

¿Está disponible el nombre completo en un certificado de cliente durante la duración de la sesión de usuario?

Sí. Puede acceder al nombre completo del certificado de cliente en solicitudes posteriores durante la duración de la sesión de usuario. Es decir, incluso después de completar el protocolo de enlace SSL y el explorador no envía de nuevo el certificado. Utilice una variable y una asignación como se detalla en la siguiente configuración de ejemplo:

Ejemplo:

add ns variable v2 -type "text(100)"

add ns assignment a1 -variable "$v2" -set       "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"

add rewrite action act1 insert_http_header subject "$v2"  // example: to insert the distinguished name in the header

add rewrite policy pol1 true a1

add rewrite policy pol2 true act1

bind rewrite global pol1 1 next -type RES_DEFAULT

bind rewrite global pol2 2 next -type RES_DEFAULT

set rewrite param -undefAction RESET

¿Por qué necesito vincular el certificado del servidor?

La vinculación de los certificados de servidor es el requisito básico para habilitar la configuración SSL para procesar transacciones SSL.

Para enlazar el certificado de servidor a un VIP SSL, en la CLI, escriba:

bind ssl vserver <vServerName> -certkeyName <cert_name>

Para enlazar el certificado de servidor a un servicio SSL, en la CLI, escriba:

bind ssl service <serviceName> -certkeyName <cert_name>

¿Cuántos certificados puedo enlazar a un SSL VIP o a un servicio SSL?

En un dispositivo virtual Citrix ADC, puede vincular un máximo de tres certificados a un servicio SSL VIP o SSL. Los certificados deben ser uno de cada tipo RSA, ECDSA y DSA. En un dispositivo Citrix ADC MPX (N2) o MPX-FIPS, si SNI está habilitado, puede enlazar varios certificados de servidor de tipo RSA. Si SNI está inhabilitado, puede enlazar un máximo de un certificado de tipo RSA. En un dispositivo Citrix ADC MPX (N3) y Citrix ADC MPX/SDX FIPS, puede vincular un máximo de dos certificados a un servicio SSL VIP o SSL. Los certificados deben ser uno de cada tipo RSA y ECDSA.

Nota: Los certificados DSA no son compatibles con las plataformas MPX o MPX-FIPS.

¿SNI admite certificados de nombre alternativo del sujeto (SAN)?

No. En un dispositivo Citrix ADC, SNI no es compatible con un certificado de extensión SAN.

¿Qué sucede si desenlace o sobrescribo un certificado de servidor?

Cuando desvincula o sobrescribe un certificado de servidor, se terminan todas las conexiones y sesiones SSL creadas mediante el certificado existente. Cuando sobrescribe un certificado existente, aparece el siguiente mensaje:

ERROR:

Warning: Current certificate replaces the previous binding.

¿Cómo instalo un certificado intermedio en un dispositivo Citrix ADC y se vincula a un certificado de servidor?

Consulte el artículo en http://support.citrix.com/article/ctx114146 para obtener información acerca de cómo instalar un certificado intermedio.

¿Por qué aparece un error de “recurso ya existe” cuando intento instalar un certificado en Citrix ADC?

Consulte el artículo en http://support.citrix.com/article/CTX117284 para obtener instrucciones para resolver el error “recurso ya existe”.

Deseo crear un certificado de servidor en un dispositivo Citrix ADC para probar y evaluar el producto. ¿Cuál es el procedimiento para crear un certificado de servidor?

Realice el siguiente procedimiento para crear un certificado de prueba.

Nota: Un certificado creado con este procedimiento no se puede utilizar para autenticar a todos los usuarios y exploradores. Después de utilizar el certificado para las pruebas, debe obtener un certificado de servidor firmado por una CA raíz autorizada.

Para crear un certificado de servidor autofirmado:

  1. Para crear un certificado de CA raíz, en la CLI, escriba:

    create ssl rsakey /nsconfig/ssl/test-ca.key 1024
    
    create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key
    
    Enter the required information when prompted, and then type the following command:
    
    create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key
    
  2. Realice el siguiente procedimiento para crear un certificado de servidor y firmarlo con el certificado de CA raíz que acaba de crear

    1. Para crear la solicitud y la clave, en la CLI, escriba:

      create ssl rsakey /nsconfig/ssl/test-server.key 1024
      
          create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key
      
    2. Introduzca la información necesaria cuando se le solicite.

    3. Para crear un archivo de número de serie, en la CLI, escriba:

      shell
       # echo '01' >
      /nsconfig/ssl/serial.txt
       # exit
      
    4. Para crear un certificado de servidor firmado por el certificado de CA raíz creado en el paso 1, en la CLI, escriba:

      create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt
      
    5. Para crear un par de claves de certificado de Citrix ADC, que es el objeto en memoria que contiene la información del certificado del servidor para los apretones de manos SSL y el cifrado masivo, en la CLI, escriba:

      add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key
      
    6. Para vincular el par de clave de certificado al servidor virtual SSL, en la CLI, escriba:

      bind ssl vserver <vServerName> -certkeyName <cert_name>
      

He recibido un dispositivo Citrix ADC en el que está instalada la versión 9.0 del software NetScaler. He notado un archivo de licencia adicional en el dispositivo. ¿Hay algún cambio en la directiva de licencias a partir de la versión 9.0 del software NetScaler?

Sí. A partir de la versión 9.0 del software Citrix NetScaler, es posible que el dispositivo no tenga un solo archivo de licencia. El número de archivos de licencia depende de la edición de versión del software Citrix ADC. Por ejemplo, si ha instalado Advanced Edition, es posible que necesite archivos de licencia adicionales para la funcionalidad completa de las diversas funciones. Sin embargo, si ha instalado la edición Premium, el dispositivo solo tiene un archivo de licencia.

¿Cómo puedo exportar el certificado desde Internet Information Service (IIS)?

Hay muchas maneras, pero mediante el uso del siguiente método se exportan el certificado apropiado y la clave privada para el sitio web. Este procedimiento debe realizarse en el servidor IIS real.

  1. Abra la herramienta de administración de Internet Information Services (IIS) Manager.

  2. Expanda el nodo Sitios web y localice el sitio web habilitado para SSL que quiere servir a través del dispositivo Citrix ADC.

  3. Haga clic con el botón derecho en este sitio web y,

  4. Haga clic en la ficha Seguridad de directorio y, en la sección Comunicaciones seguras de la ventana, seleccione el cuadro Ver certificado.

  5. Haga clic en la ficha Detalles y, a continuación, haga clic en Copiar en archivo.

  6. En la página Bienvenido al Asistente para exportación de certificados, haga clic en Siguiente.

  7. Seleccione Sí, exporte la clave privada y haga clic en Siguiente.

    Nota: La clave privada DEBE exportarse para que la descarga SSL funcione en Citrix ADC.

  8. Asegúrese de que el botón de opción Intercambio de información personal -PKCS #12 está seleccionado y active solo la casilla de verificación Incluir todos los certificados en la ruta de certificación si es posible. Haga clic en Siguiente.

  9. Introduzca una contraseña y haga clic en Siguiente.

  10. Escriba un nombre de archivo y una ubicación y, a continuación, haga clic en Siguiente. Dé al archivo una extensión de.PFX.

  11. Haga clic en Finalizar.

¿Cómo convierto el certificado PKCS #12 e instalarlo en Citrix ADC?

  1. Mueva el archivo de certificado.PFX exportado a una ubicación desde la que se pueda copiar en el dispositivo Citrix ADC. Es decir, a una máquina que permite el acceso SSH a la interfaz de administración de un dispositivo Citrix ADC. Copie el certificado en el dispositivo mediante una utilidad de copia segura como SCP.

  2. Acceda al shell BSD y convierta el certificado (por ejemplo, Cert.pfx) en formato.PEM:

    root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM
    
  3. Para asegurarse de que el certificado convertido está en el formato x509 correcto, compruebe que el siguiente comando no produce ningún error:

    root@ns# openssl x509 -in cert.PEM -text
    
  4. Compruebe que el archivo de certificado contiene una clave privada. Comience por ejecutar el siguiente comando:

    root@ns# cat cert.PEM
    
    Verify that the output file includes an RSA PRIVATE KEY section.
    
    -----BEGIN RSA PRIVATE KEY-----
    Mkm^s9KMs9023pz/s...
    -----END RSA PRIVATE KEY-----
    

    El siguiente es otro ejemplo de una sección RSA PRIVATE KEY:

        Bag Attributes
        1.3.6.1.4.1.311.17.2: <No Values>
        localKeyID: 01 00 00 00
        Microsoft CSP Name: Microsoft RSA SChannel Cryptographic
        Provider
        friendlyName:
        4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f
    
        Key Attributes
        X509v3 Key Usage: 10
        -----BEGIN RSA PRIVATE KEY-----
        Proc-Type: 4,ENCRYPTED
        DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968
        pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg
    
        ... (more random characters)
        v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh
    
        5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg==
        -----END RSA PRIVATE KEY-----
    

    La siguiente es una sección CERTIFICADO DE SERVIDOR:

        Bag Attributes
        localKeyID: 01 00 00 00
        friendlyName: AG Certificate
        subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother
        Asiapacific/OU=Support/CN=davemother.food.lan
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK
    
        ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/
    
        MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog=
        -----END CERTIFICATE-----
    

    La siguiente es una sección de CERTIFICADO DE CA INTERMEDIA:

        Bag Attributes: <Empty Attributes>
        subject=/DC=lan/DC=food/CN=hotdog
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8
    
        ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk=
    
        -----END CERTIFICATE-----
    

    Es posible que sigan otros certificados de CA intermedios, dependiendo de la ruta de certificación del certificado exportado.

  5. Abrir el archivo.PEM en un editor de texto

  6. Busque la primera línea del archivo.PEM y la primera instancia de la siguiente línea, y copie esas dos líneas y todas las líneas entre ellas:

    -----END CERTIFICATE-----
    
    Note: Make sure that last copied line is the first
    -----END CERTIFICATE----- line in the .PEM file.
    
    
  7. Pegue las líneas copiadas en un archivo nuevo. Llame al nuevo archivo algo intuitivo, como cert-key.pem. Este par de claves de certificado es para el servidor que aloja el servicio HTTPS. Este archivo debe contener tanto la sección etiquetada RSA PRIVATE KEY como la sección denominada SERVER CERTIFICATE en el ejemplo anterior.

    Nota: El archivo de par de certificados contiene la clave privada y, por lo tanto, debe mantenerse seguro.

  8. Busque las secciones posteriores que comiencen con —BEGIN CERTIFICATE— y que terminen con —FIN CERTIFICATE—, y copie cada una de esas secciones en un nuevo archivo independiente.

    Estas secciones corresponden a certificados de CA de confianza que se han incluido en la ruta de certificación. Estas secciones deben copiarse y pegarse en nuevos archivos individuales para estos certificados. Por ejemplo, la sección INTERMEDIATE CA CERTIFICADO del ejemplo anterior debe copiarse y pegarse en un nuevo archivo).

    Para varios certificados de CA intermedios en el archivo original, cree archivos para cada certificado de CA intermedio en el orden en que aparecen en el archivo. Realice un seguimiento (mediante nombres de archivo apropiados) del orden en que aparecen los certificados, ya que deben vincularse en el orden correcto en un paso posterior.

  9. Copie el archivo de clave de certificado (cert-key.pem) y cualquier archivo de certificado de CA adicional en el directorio /nsconfig/ssl del dispositivo Citrix ADC.

  10. Salga del shell de BSD y acceda al símbolo del Citrix ADC.

  11. Siga los pasos descritos en “Instalar los archivos de clave de certificado en el dispositivo” para instalar la clave/certificado una vez cargado en el dispositivo.

¿Cómo convierto el certificado PKCS #7 e instalarlo en el dispositivo Citrix ADC?

Puede utilizar OpenSSL para convertir un certificado PKCS #7 a un formato reconocible por el dispositivo Citrix ADC. El procedimiento es idéntico al procedimiento para los certificados PKCS #12, excepto que se invoca OpenSSL con parámetros diferentes. Los pasos para convertir los certificados PKCS #7 son los siguientes:

  1. Copie el certificado en el dispositivo mediante una utilidad de copia segura, como SCP.

  2. Convierta el certificado (por ejemplo, Cert.p7b) al formato PEM:

    openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem
    
  3. Siga los pasos 3 a 7 como se describe en la respuesta para los certificados PKCS #12. Nota: Antes de cargar el certificado PKCS #7 convertido en el dispositivo, compruebe que contiene una clave privada, exactamente como se describe en el paso 3 para el procedimiento PKCS #12. Los certificados PKCS #7, en particular los certificados exportados desde IIS, normalmente no contienen una clave privada.

Cuando enlazar un cifrado a un servidor virtual o servicio mediante el comando bind cifrado, veo el mensaje de error “Comando obsoleto.”?

El comando para enlazar un cifrado a un servidor virtual o servicio ha cambiado.

Utilice el bind ssl vserver <vsername> -ciphername <ciphername> comando para vincular un cifrado SSL a un servidor virtual SSL.

Utilice el bind ssl service <serviceName> -ciphername <ciphername> comando para vincular un cifrado SSL a un servicio SSL.

Nota: Los nuevos cifrados y grupos de cifrado se agregan a la lista existente y no se reemplazan.

¿Por qué no puedo crear un grupo de cifrado y enlazar cifrados con él mediante el comando add cipher?

La funcionalidad del comando add cipher ha cambiado en la versión 10. El comando solo crea un grupo de cifrado. Para agregar cifrados al grupo, utilice el comando bind cipher.

OpenSSL

¿Cómo uso OpenSSL para convertir certificados entre PEM y DER?

Para utilizar OpenSSL, debe tener una instalación en funcionamiento del software OpenSSL y poder ejecutar OpenSSL desde la línea de comandos.

Los certificados x509 y las claves RSA se pueden almacenar en varios formatos diferentes.

Dos formatos comunes son:

  • DER (un formato binario utilizado principalmente por las plataformas Java y Macintosh)
  • PEM (una representación base64 de DER con información de encabezado y pie de página, que es utilizada principalmente por las plataformas UNIX y Linux).

Una clave y el certificado correspondiente, además del certificado raíz y cualquier certificado intermedio, también se pueden almacenar en un único archivo PKCS #12 (.P12, .PFX).

Procedimiento

Utilice el comando OpenSSL para convertir entre formatos de la siguiente manera:

  1. Para convertir un certificado de PEM a DER:

    x509 -in input.crt -inform PEM -out output.crt -outform DER
    
  2. Para convertir un certificado de DER a PEM:

    x509 -in input.crt -inform DER -out output.crt -outform PEM
    
  3. Para convertir una clave de PEM a DER:

    rsa -in input.key -inform PEM -out output.key -outform DER
    
  4. Para convertir una clave de DER a PEM:

    rsa -in input.key -inform DER -out output.key -outform PEM
    

    Nota: Si la clave que está importando está cifrada con un cifrado simétrico compatible, se le pedirá que introduzca la frase de paso.

    Nota: Para convertir una clave al formato NET (servidor Netscape) obsoleto, sustituya NET por PEM o DER según corresponda. La clave almacenada está cifrada en un cifrado simétrico RC4 sin sal débil, por lo que se solicita una frase de paso. Una frase de paso en blanco es aceptable.

Límites del sistema

¿Cuáles son los números importantes a recordar?

  1. Crear solicitud de certificado:

    • Nombre de archivo de solicitud: Máximo 63 caracteres
    • Nombre de archivo clave: Máximo 63 caracteres
    • Contraseña PEM (para clave cifrada): Máximo 31 caracteres
    • Nombre común: Máximo 63 caracteres
    • Ciudad: Máximo 127 caracteres
    • Nombre de la organización: Máximo 63 caracteres
    • Nombre de Estado/Provincia: Máximo 63 caracteres
    • Dirección de correo electrónico: 39 caracteres como máximo
    • Unidad de organización: Máximo 63 caracteres
    • Contraseña de desafío: Máximo 20 caracteres
    • Nombre de la empresa: Máximo 127 caracteres
  2. Crear certificado:

    • Nombre de archivo de certificado: Máximo 63 caracteres
    • Nombre de archivo de solicitud de certificado: Máximo 63 caracteres
    • Nombre de archivo clave: Máximo 63 caracteres
    • Contraseña PEM: Máximo 31 caracteres
    • Periodo de validez: Máximo 3650 días
    • Nombre de archivo de certificado de CA: Máximo 63 caracteres
    • Nombre del archivo de clave de CA: Máximo 63 caracteres
    • Contraseña PEM: Máximo 31 caracteres
    • Archivo de número de serie CA: Máximo 63 caracteres
  3. Crear e instalar un certificado de prueba de servidor:

    • Nombre de archivo de certificado: Máximo 31 caracteres
    • Nombre de dominio completo: Máximo 63 caracteres
  4. Crear clave Diffie-Hellman (DH):
    • Nombre de archivo DH (con ruta): Máximo 63 caracteres
    • Tamaño del parámetro DH: Máximo 2048 bits
  5. Importar clave PKCS12:

    • Nombre del archivo de salida: Máximo 63 caracteres
    • Nombre de archivo PKCS12: Máximo 63 caracteres
    • Importar contraseña: Máximo 31 caracteres
    • Contraseña PEM: Máximo 31 caracteres
    • Verificar contraseña PEM: Máximo 31 caracteres
  6. Exportar PKCS12
    • Nombre de archivo PKCS12: Máximo 63 caracteres
    • Nombre de archivo de certificado: Máximo 63 caracteres
    • Nombre de archivo clave: Máximo 63 caracteres
    • Exportar contraseña: Máximo 31 caracteres
    • Contraseña PEM: Máximo 31 caracteres
  7. Administración de CRL:
    • Nombre de archivo de certificado de CA: Máximo 63 caracteres
    • Nombre del archivo de clave de CA: Máximo 63 caracteres
    • Contraseña del archivo de clave de CA: Máximo 31 caracteres
    • Nombre del archivo de índice: Máximo 63 caracteres
    • Nombre de archivo de certificado: Máximo 63 caracteres
  8. Crear clave RSA:
    • Nombre de archivo clave: Máximo 63 caracteres
    • Tamaño de clave: Máximo 4096 bits
    • Contraseña PEM: Máximo 31 caracteres
    • Verificar frase de contraseña: Máximo 31 caracteres
  9. Crear clave DSA:
    • Nombre de archivo clave: Máximo 63 caracteres
    • Tamaño de clave: Máximo 4096 bits
    • Contraseña PEM: Máximo 31 caracteres
    • Verificar frase de contraseña: Máximo 31 caracteres
  10. Cambiar la configuración avanzada de SSL:
    • Tamaño máximo de memoria CRL: Máximo 1024 Mbytes
    • Tiempo de espera del desencadenador de cifrado (ticks de 10 mS): Máximo 200
    • Recuento de paquetes de activación de cifrado: Máximo 50
    • Tamaño de caché de OCSP: Máximo 512 Mbytes
  11. Instalar certificado:
    • Nombre del par de certificados y claves: Máximo 31 caracteres
    • Nombre de archivo de certificado: Máximo 63 caracteres
    • Nombre de archivo de clave privada: Máximo 63 caracteres
    • Contraseña: Máximo 31 caracteres
    • Periodo de notificación: Máximo 100
  12. Crear grupo de cifrado:
    • Nombre del grupo de cifrado: Máximo 39 caracteres
  13. Crear CRL:
    • Nombre de CRL: Máximo 31 caracteres
    • Archivo CRL: Máximo 63 caracteres
    • URL: Máximo 127 caracteres
    • DN base: Máximo 127 caracteres
    • DN de enlace: Máximo 127 caracteres
    • Contraseña: Máximo 31 caracteres
    • Días: Máximo 31
  14. Crear directiva SSL:
    • Nombre: Máximo 127 caracteres
  15. Crear acción SSL:
    • Nombre: Máximo 127 caracteres
  16. Crear Respondedor OCSP:
    • Nombre: Máximo 32 caracteres
    • URL: Máximo 128 caracteres
    • Profundidad de lotes: Máximo 8
    • Retraso de lotes: Máximo 10000
    • Producido en el Tiempo Skew: Máximo 86400
    • Tiempo de espera de solicitud: Máximo 120000
  17. Crear servidor virtual:
    • Nombre: Máximo 127 caracteres
    • URL de redirección: Máximo 127 caracteres
    • Tiempo de espera del cliente: Máximo 31536000 segundos
  18. Crear servicio:
    • Nombre: Máximo 127 caracteres
    • Tiempo de espera inactivo (segundos): Cliente: Máximo 31536000 Servidor: Máximo 31536000
  19. Crear grupo de servicios:
    • Nombre del grupo de servicios: Máximo 127 caracteres
    • ID del servidor: Maximum 4294967295
    • Tiempo de espera inactivo (segundos): Cliente: Valor máximo 31536000 Servidor: Máximo 31536000
  20. Crear monitor:
    • Nombre: Máximo 31 caracteres
  21. Crear servidor:
    • Nombre del servidor: Máximo 127 caracteres
    • Nombre de dominio: Máximo 255 caracteres
    • Resolver reintento: Máximo 20939 segundos

Preguntas frecuentes sobre SSL