Citrix ADC

Autenticación del servidor

Dado que el dispositivo Citrix ADC realiza descarga y aceleración SSL en nombre de un servidor web, el dispositivo normalmente no autentica el certificado del servidor web. Sin embargo, puede autenticar el servidor en implementaciones que requieren cifrado SSL de extremo a extremo.

En tal situación, el dispositivo se convierte en el cliente SSL, realiza una transacción segura con el servidor SSL, verifica que una CA cuyo certificado está vinculado al servicio SSL haya firmado el certificado del servidor y comprueba la validez del certificado del servidor.

Para autenticar el servidor, primero debe habilitar la autenticación del servidor y, a continuación, vincular el certificado de la CA que firmó el certificado del servidor al servicio SSL en el dispositivo Citrix ADC. Al vincular el certificado, debe especificar la opción de enlace como CA.

Habilitar (o inhabilitar) la autenticación de certificados de servidor

Puede utilizar la CLI y la GUI para habilitar e inhabilitar la autenticación de certificados del servidor.

Habilitar (o inhabilitar) la autenticación de certificados de servidor mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para habilitar la autenticación de certificados del servidor y verificar la configuración:

set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>

Ejemplo:

set ssl service ssl-service-1 -serverAuth ENABLED
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done

Habilitar (o inhabilitar) la autenticación de certificados de servidor mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servicios y abra un servicio SSL.
  2. En la sección Parámetros SSL, seleccione Habilitar autenticación de servidor y especifique un nombre común.
  3. En Configuración avanzada, seleccione Certificados y vincule un certificado de CA al servicio.

Vincular el certificado de CA al servicio mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para enlazar el certificado de CA al servicio y verificar la configuración:

bind ssl service <serviceName> -certkeyName <string> -CA

show ssl service <serviceName>

Ejemplo:

bind ssl service ssl-service-1 -certkeyName samplecertkey -CA
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      CertKey Name: samplecertkey     CA Certificate          CRLCheck: Optional
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done

Configurar un nombre común para la autenticación de certificados de servidor

En el cifrado de extremo a extremo con autenticación de servidor habilitada, puede incluir un nombre común en la configuración de un servicio SSL o grupo de servicios. El nombre que especifique se compara con el nombre común en el certificado de servidor durante un protocolo de enlace SSL. Si los dos nombres coinciden, el apretón de manos se realiza correctamente. Si los nombres comunes no coinciden, el nombre común especificado para el servicio o grupo de servicios se compara con los valores del campo Nombre alternativo del sujeto (SAN) del certificado. Si coincide con uno de esos valores, el apretón de manos se realiza correctamente. Esta configuración resulta especialmente útil si hay, por ejemplo, dos servidores detrás de un firewall y uno de los servidores suplantación de identidad del otro. Si el nombre común no está marcado, se acepta un certificado presentado por cualquiera de los servidores si la dirección IP coincide.

Nota: Solo se comparan las entradas DNS de nombre de dominio, URL e ID de correo electrónico en el campo SAN.

Configurar la verificación de nombres comunes para un servicio SSL o grupo de servicios mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para especificar la autenticación del servidor con verificación de nombre común y verificar la configuración:

  1. Para configurar un nombre común en un servicio, escriba:

    set ssl service <serviceName> -commonName <string> -serverAuth ENABLED
    show ssl service <serviceName>
    
  2. Para configurar un nombre común en un grupo de servicios, escriba:

    set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED
    show ssl serviceGroup <serviceGroupName>
    

Ejemplo:

> set ssl service svc1 -commonName xyz.com -serverAuth ENABLED
show ssl service svc

     Advanced SSL configuration for Back-end SSL Service svc1:
     DH: DISABLED
     Ephemeral RSA: DISABLED
     Session Reuse: ENABLED Timeout: 300 seconds
     Cipher Redirect: DISABLED
     SSLv2 Redirect: DISABLED
     Server Auth: ENABLED Common Name: www.xyz.com
     SSL Redirect: DISABLED
     Non FIPS Ciphers: DISABLED
     SNI: DISABLED
     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
    1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
    1) Cipher Name: ALL
     Description: Predefined Cipher Alias
Done

Configurar la verificación de nombres comunes para un servicio SSL o grupo de servicios mediante la interfaz gráfica de usuario

  1. Vaya a Administración del Tráfico > Equilibrio de carga > Servicios o Navegue a Administración del Tráfico > Equilibrio de carga > Grupos de servicio y abra un servicio o grupo de servicios.
  2. En la sección Parámetros SSL, seleccione Habilitar autenticación de servidor y especifique un nombre común.

Autenticación del servidor