Crear y utilizar certificados SSL en un dispositivo Citrix ADC

Realice los siguientes pasos para crear un certificado y vincularlo a un servidor virtual SSL.

  • Cree una clave privada.
  • Cree una solicitud de firma de certificados (CSR).
  • Enviar la CSR a una entidad emisora de certificados.
  • Cree un par de certificados y claves.
  • Enlazar el par de claves de certificado a un servidor virtual SSL

El siguiente diagrama ilustra el flujo de extremo a extremo.

Flujo de extremo a extremo

Crear una clave privada

La clave privada es la parte más importante de un certificado digital. Por definición, esta clave no debe compartirse con nadie y debe conservarse de forma segura en el dispositivo Citrix ADC. Los datos cifrados con la clave pública solo se pueden descifrar mediante la clave privada.

El certificado que recibe de la entidad emisora de certificados solo es válido con la clave privada que se utilizó para crear la CSR. La clave es necesaria para agregar el certificado al dispositivo Citrix ADC.

Importante:

Asegúrese de limitar el acceso a su clave privada. Cualquier persona que tenga acceso a su clave privada puede descifrar sus datos SSL. Nota:

La longitud del nombre de clave SSL permitido incluye la longitud del nombre de ruta absoluta si la ruta está incluida en el nombre de clave.

Crear una clave privada RSA mediante la CLI

En el símbolo del sistema, escriba:

create ssl rsakey <keyFile> <bits> [-exponent ( 3 | F4 )] [-keyform (DER | PEM )] [-des | -des3 | -aes256] {-password } [-pkcs8]

Ejemplo:

create rsakey RSA_Key 2048 -aes256 -password 123456 -pkcs8

Crear una clave privada RSA mediante la interfaz gráfica de usuario

  1. Vaya a Administración de tráfico > SSL.

  2. En el grupo de claves SSL, seleccione Crear clave RSA.

    Crear clave RSA

  3. Introduzca valores para los siguientes parámetros y haga clic en Crear.

    • Nombre de archivo de clave: Nombre y, opcionalmente, ruta de acceso al archivo de clave RSA. /nsconfig/ssl/ es la ruta predeterminada.
    • Tamaño de la clave: Tamaño, en bits, de la clave RSA. Puede variar de 512 bits a 4096 bits.
    • Valor del Exponente Público: Exponente público para la clave RSA. El exponente forma parte del algoritmo de cifrado y es necesario para crear la clave RSA.
    • Formato de clave: Formato en el que se almacena el archivo de clave RSA en el dispositivo.
    • Algoritmo de codificación PEM: Cifre la clave RSA generada mediante el algoritmo AES 256, DES o Triple-DES (DES3).
    • Contraseña PEM: Si lo desea, introduzca una frase de paso para la clave.

    Introducir valores

Crear una solicitud de firma de certificado

Utilice la clave privada para crear una solicitud de firma de certificado y enviarla a una entidad emisora de certificados.

Crear una solicitud de firma de certificado mediante la CLI

En el símbolo del sistema, escriba:

create ssl certreq <reqFile> -keyFile <input_filename> | -fipsKeyName <string>) [-keyForm (DER | PEM) {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName <string> -organizationUnitName <string> -localityName <string> -commonName <string> -emailAddress <string> {-challengePassword } -companyName <string> -digestMethod ( SHA1 | SHA256 )

Ejemplo:

create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256

Crear una solicitud de firma de certificado mediante la interfaz gráfica de usuario

  1. Vaya a Administración de tráfico > SSL.
  2. En Certificado SSL, haga clic en Crear solicitud de firma de certificado (CSR).

    Crear solicitud de firma de certificado

  3. Introduzca valores para los siguientes parámetros y haga clic en Crear.

    • Nombre de archivo de solicitud: Nombre y, opcionalmente, ruta de acceso a la solicitud de firma de certificados (CSR). /nsconfig/ssl/ es la ruta predeterminada.

    • Nombre de archivo de clave: Nombre y, opcionalmente, ruta de acceso a la clave privada utilizada para crear la solicitud de firma de certificado, que luego pasa a formar parte del par de certificados y claves. La clave privada puede ser una clave RSA o una clave DSA. La clave debe estar presente en el almacenamiento local del dispositivo. /nsconfig/ssl es la ruta predeterminada.

    • Nombre común

    • Nombre de la organización

    • Estado

    • País

    Introducir valores para CSR

Presentar la RSC a la entidad de certificación

La mayoría de las autoridades certificadoras (CA) aceptan envíos de certificados por correo electrónico. La CA devuelve un certificado válido a la dirección de correo electrónico desde la que envía el CSR.

Agregar un par de claves de certificado

Instale el certificado firmado recibido de la CA.

Nota: Los certificados y las claves se almacenan en el directorio /nsconfig/ssl de forma predeterminada. Si los certificados o claves se almacenan en cualquier otra ubicación, debe proporcionar la ruta absoluta de acceso a los archivos en el dispositivo Citrix ADC.

Agregar un par de claves de certificado mediante la CLI

add ssl certKey <certkeyName> -cert <string>[(-key <string> [-password]) | -fipsKey <string>] [-inform ( DER | PEM )] [<passplain>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]]

show ssl certKey [<certkeyName>]

Ejemplo:

add ssl certKey rsa_certkeypair -cert server_cert.pem -key RSA_Key.pem -password ssl -expiryMonitor ENABLED -notificationPeriod 30
 Done

Agregue un par de claves de certificado mediante la interfaz gráfica de usuario

  1. Vaya a Administración de tráfico > SSL > Certificados > Servidor.

    Instalar certificado

  2. Introduzca valores para los siguientes parámetros y haga clic en Instalar.

    • Nombre del par de claves de certificado: Nombre del par de certificados y de claves privadas.

    • Nombre de archivo de certificado: Certificado firmado recibido de la entidad emisora de certificados.

    • Nombre de archivo de clave: Nombre y, opcionalmente, ruta de acceso al archivo de clave privada que se utiliza para formar el par de certificados y claves.

    valores de tipo

Enlazar el par de claves de certificado a un servidor virtual SSL

Importante: Vincule los certificados intermedios a este certificado antes de vincularlo a un servidor virtual SSL. Para obtener información acerca de la vinculación de certificados, consulte Crear una cadena de certificados.

El certificado que se utiliza para procesar transacciones SSL debe estar enlazado al servidor virtual que recibe los datos SSL. Si tiene varios servidores virtuales que reciben datos SSL, se debe vincular un par de claves de certificado válido a cada uno de ellos.

Enlazar un par de claves de certificado SSL a un servidor virtual mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para enlazar un par de claves de certificado SSL a un servidor virtual y compruebe la configuración:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName> -CA -skipCAName
show ssl vserver <vServerName>

Ejemplo:

bind ssl vs vs1 -certkeyName cert2 -CA -skipCAName
 Done
sh ssl vs vs1

 Advanced SSL configuration for VServer vs1:

 DH: DISABLED

 Ephemeral RSA: ENABLED Refresh Count: 0

 Session Reuse: ENABLED Timeout: 120 seconds

 Cipher Redirect: DISABLED

 SSLv2 Redirect: DISABLED

 ClearText Port: 0

 Client Auth: DISABLED

 SSL Redirect: DISABLED

 Non FIPS Ciphers: DISABLED

 SNI: DISABLED

 OCSP Stapling: DISABLED

 HSTS: DISABLED

 IncludeSubDomains: NO

 HSTS Max-Age: 0

 SSLv2: DISABLED SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED

 Push Encryption Trigger: Always

 Send Close-Notify: YES

 Strict Sig-Digest Check: DISABLED

ECC Curve: P_256, P_384, P_224, P_521

 1) CertKey Name: cert1 CA Certificate OCSPCheck: Optional CA_Name Sent
 2) CertKey Name: cert2 CA Certificate OCSPCheck: Optional CA_Name Skipped
 1) Cipher Name: DEFAULT

Description: Default cipher list with encryption strength >= 128bit
Done

Enlazar un par de claves de certificado SSL a un servidor virtual mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales y abra un servidor virtual SSL. Haga clic dentro de la sección Certificado.

    Vincular certificado a servidor virtual

  2. Haga clic en la flecha para seleccionar el par de tecla-certificado.

    Haga clic en la flecha para seleccionar el par de certificados y claves

  3. Seleccione el par de certificados y claves de la lista.

    Seleccionar par de certificados y claves

  4. Enlazar el par de claves de certificado al servidor virtual.

    Enlazar el certificado al servidor virtual