Instalar, vincular y actualizar certificados

Para instalar un certificado, consulte Agregar o actualizar un par de claves de certificado.

Vincular certificados

Muchos certificados de servidor están firmados por varias entidades de certificación (CA) jerárquicas. Esto significa que los certificados forman una cadena como la siguiente:

Cadena de certificados

A veces, la CA intermedia se divide en una CA intermedia primaria y secundaria. A continuación, los certificados forman una cadena como la siguiente:

Cadena de certificados 2

Los equipos cliente suelen contener el certificado de CA raíz en su almacén de certificados local, pero no uno o más certificados de CA intermedios. El dispositivo ADC debe enviar uno o varios certificados de CA intermedios a los clientes.

Nota: El dispositivo no debe enviar el certificado de CA raíz al cliente. El modelo de relación de confianza de infraestructura de clave pública (PKI) requiere que los certificados de CA raíz se instalen en los clientes mediante un método fuera de banda. Por ejemplo, los certificados se incluyen con el sistema operativo o el explorador web. El cliente ignora un certificado de CA raíz enviado por el dispositivo.

Si una CA intermedia que los exploradores web estándar no reconocen como CA de confianza emite el certificado del servidor, uno o más certificados de CA deben enviarse al cliente con el certificado propio del servidor. De lo contrario, el explorador finaliza la sesión SSL porque no puede autenticar el certificado del servidor.

Certificados intermedios

Consulte las siguientes secciones para agregar el servidor y los certificados intermedios:

  • Vinculación manual de certificados
  • Vinculación automatizada de certificados
  • Crear una cadena de certificados

Vinculación manual de certificados

Nota: Esta función no se admite en la plataforma FIPS de Citrix ADC ni en una configuración de clúster.

En lugar de agregar y vincular certificados individuales, ahora puede agrupar un certificado de servidor y hasta nueve certificados intermedios en un único archivo. Puede especificar el nombre del archivo al agregar un par de claves de certificado. Antes de hacerlo, asegúrese de que se cumplen los siguientes requisitos previos.

  • Los certificados del archivo están en el siguiente orden:
    • Certificado de servidor (debe ser el primer certificado del archivo)
    • Opcionalmente, una clave de servidor
    • Certificado intermedio 1 (ic1)
    • Certificado intermedio 2 (ic2)
    • Certificado intermedio 3 (ic3), etc. Nota: Los archivos de certificado intermedio se crean para cada certificado intermedio con el nombre “<certificatebundlename>.pem_ic< n>” donde n está entre 1 y 9. Por ejemplo, bundle.pem_ic1, donde bundle es el nombre del conjunto de certificados e ic1 es el primer certificado intermedio del conjunto.
  • La opción de paquete está seleccionada.
  • No hay más de nueve certificados intermedios presentes en el archivo.

Se analiza el archivo y se identifican el certificado del servidor, los certificados intermedios y la clave del servidor (si existe). En primer lugar, se agregan el certificado y la clave del servidor. A continuación, se agregan los certificados intermedios, en el orden en que se agregaron al archivo, y se vinculan en consecuencia.

Se informa de un error si existe alguna de las siguientes condiciones:

  • Existe un archivo de certificado para uno de los certificados intermedios en el dispositivo.
  • La clave se coloca antes del certificado del servidor en el archivo.
  • Un certificado intermedio se coloca antes del certificado del servidor.
  • Los certificados intermedios no se colocan en el archivo en el mismo orden en que se crean.
  • No hay certificados presentes en el archivo.
  • Un certificado no está en el formato PEM adecuado.
  • El número de certificados intermedios en el archivo supera nueve.

Agregar un conjunto de certificados mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para crear un conjunto de certificados y verificar la configuración:

add ssl certKey <certkeyName> -cert <string> -key <string> -bundle (YES | NO)

show ssl certKey

show ssl certlink

En el ejemplo siguiente, el conjunto de certificados (bundle.pem) contiene los archivos siguientes:

Certificado de servidor (paquete) vinculado a bundle_ic1

Primer certificado intermedio (bundle_ic1) vinculado a bundle_ic2

Segundo certificado intermedio (bundle_ic2) vinculado a bundle_ic3

Tercer certificado intermedio (bundle_ic3)

add ssl certKey bundletest -cert bundle9.pem -key bundle9.pem -bundle yes

sh ssl certkey

1)      Name: ns-server-certificate
        Cert Path: ns-server.cert
        Key Path: ns-server.key
        Format: PEM
        Status: Valid,   Days to expiration:5733
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Server Certificate
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=default OULLFT
        Validity
                Not Before: Apr 21 15:56:16 2016 GMT
                Not After : Mar  3 06:30:56 2032 GMT
        Subject:  C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=default OULLFT
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

2)      Name: servercert
        Cert Path: complete/server/server_rsa_1024.pem
        Key Path: complete/server/server_rsa_1024.ky
        Format: PEM
        Status: Valid,   Days to expiration:7150
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Server Certificate
        Version: 3
        Serial Number: 1F
        Signature Algorithm: sha1WithRSAEncryption
        Issuer:  C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix
        Validity
                Not Before: Sep  2 09:54:07 2008 GMT
                Not After : Jan 19 09:54:07 2036 GMT
        Subject:  C=IN,ST=KAR,O=Citrix Pvt Ltd,CN=Citrix
        Public Key Algorithm: rsaEncryption
        Public Key size: 1024

3)      Name: bundletest
        Cert Path: bundle9.pem
        Key Path: bundle9.pem
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Server Certificate
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA9
        Validity
                Not Before: Nov 28 06:43:11 2014 GMT
                Not After : Nov 25 06:43:11 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=Server9
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

4)      Name: bundletest_ic1
        Cert Path: bundle9.pem_ic1
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA8
        Validity
                Not Before: Nov 28 06:42:56 2014 GMT
                Not After : Nov 25 06:42:56 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA9
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

5)      Name: bundletest_ic2
        Cert Path: bundle9.pem_ic2
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA7
        Validity
                Not Before: Nov 28 06:42:55 2014 GMT
                Not After : Nov 25 06:42:55 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA8
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

6)      Name: bundletest_ic3
        Cert Path: bundle9.pem_ic3
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA6
        Validity
                Not Before: Nov 28 06:42:53 2014 GMT
                Not After : Nov 25 06:42:53 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA7
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

7)      Name: bundletest_ic4
        Cert Path: bundle9.pem_ic4
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA5
        Validity
                Not Before: Nov 28 06:42:51 2014 GMT
                Not After : Nov 25 06:42:51 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA6
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

8)      Name: bundletest_ic5
        Cert Path: bundle9.pem_ic5
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA4
        Validity
                Not Before: Nov 28 06:42:50 2014 GMT
                Not After : Nov 25 06:42:50 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA5
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

9)      Name: bundletest_ic6
        Cert Path: bundle9.pem_ic6
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA3
        Validity
                Not Before: Nov 28 06:42:48 2014 GMT
                Not After : Nov 25 06:42:48 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA4
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

10)     Name: bundletest_ic7
        Cert Path: bundle9.pem_ic7
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA2
        Validity
                Not Before: Nov 28 06:42:46 2014 GMT
                Not After : Nov 25 06:42:46 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA3
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

11)     Name: bundletest_ic8
        Cert Path: bundle9.pem_ic8
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA1
        Validity
                Not Before: Nov 28 06:42:45 2014 GMT
                Not After : Nov 25 06:42:45 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA2
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

12)     Name: bundletest_ic9
        Cert Path: bundle9.pem_ic9
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=RootCA4096
        Validity
                Not Before: Nov 28 06:42:43 2014 GMT
                Not After : Nov 25 06:42:43 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA1
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048
Done

sh ssl certlink

1)      Cert Name: bundletest    CA Cert Name: bundletest_ic1
2)      Cert Name: bundletest_ic1        CA Cert Name: bundletest_ic2
3)      Cert Name: bundletest_ic2        CA Cert Name: bundletest_ic3
4)      Cert Name: bundletest_ic3        CA Cert Name: bundletest_ic4
5)      Cert Name: bundletest_ic4        CA Cert Name: bundletest_ic5
6)      Cert Name: bundletest_ic5        CA Cert Name: bundletest_ic6
7)      Cert Name: bundletest_ic6        CA Cert Name: bundletest_ic7
8)      Cert Name: bundletest_ic7        CA Cert Name: bundletest_ic8
9)      Cert Name: bundletest_ic8        CA Cert Name: bundletest_ic9
Done

Agregar un conjunto de certificados mediante la interfaz gráfica de usuario

  1. Vaya a Administración de tráfico > SSL > Certificados > Certificadosde CA.
  2. En el panel de detalles, haga clic en Instalar.
  3. En el cuadro de diálogo Instalar certificado, escriba los detalles, como el certificado y el nombre del archivo de clave y, a continuación, seleccione Paquete de certificados.
  4. Haga clic en Instalar y, a continuación, haga clic en Cerrar.

Vinculación automatizada de certificados

Nota: Esta función está disponible desde la versión 13.0 build 47.x.

Ya no es necesario vincular manualmente un certificado a su emisor hasta el certificado raíz. Si los certificados de CA intermedios y el certificado raíz están presentes en el dispositivo, puede hacer clic en el botón Vincular del certificado de usuario final.

Botón Vincular certificado

Aparece la cadena potencial.

Certificado automatizado que vincula la cadena potencial

Haga clic en Vincular certificado para vincular todos los certificados.

Cadena de certificados de enlace

Crear una cadena de certificados

En lugar de utilizar un conjunto de certificados (un único archivo), puede crear una cadena de certificados. La cadena vincula el certificado del servidor a su emisor (la CA intermedia). Para que este enfoque funcione, el archivo de certificado de CA intermedio ya debe estar instalado en el dispositivo ADC y la aplicación cliente debe confiar en uno de los certificados de la cadena. Por ejemplo, vincule Cert-Intermediate-A a Cert-Intermediate-B, donde Cert-Intermediate-B está vinculado a Cert-Intermediate-C, que es un certificado de confianza para la aplicación cliente.

Nota: El dispositivo admite el envío de un máximo de 10 certificados en la cadena de certificados enviados al cliente (un certificado de servidor y nueve certificados de CA).

Crear una cadena de certificados mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para crear una cadena de certificados y verificar la configuración. (Repita el primer comando para cada nuevo eslabón de la cadena.)

link ssl certkey <certKeyName> <linkCertKeyName>
show ssl certlink

Ejemplo:

link ssl certkey siteAcertkey CAcertkey
Done

show ssl certlink

linked certificate:
       1) Cert Name: siteAcertkey CA Cert Name: CAcertkey
Done

Crear una cadena de certificados mediante la interfaz gráfica de usuario

  1. Vaya a Administración de tráfico > SSL > Certificados.
  2. Seleccione un certificado de servidor y, en la lista Acción, seleccione Vincular y especifique un nombre de certificado de CA.

Actualizar un certificado de servidor existente

Para evitar el tiempo de inactividad al reemplazar un par de certificados y claves, puede actualizar un certificado existente. Si desea reemplazar un certificado por un certificado emitido a un dominio diferente, debe inhabilitar las comprobaciones de dominio antes de actualizar el certificado.

Para recibir notificaciones sobre certificados que deben caducar, puede habilitar el monitor de caducidad.

Cuando quita o desvincula un certificado de un servidor virtual SSL configurado o de un servicio SSL, el servidor virtual o servicio se inactiva hasta que se vincule un nuevo certificado válido. Para evitar el tiempo de inactividad, puede usar la función de actualización para reemplazar un par de certificados y claves enlazado a un servidor virtual SSL o a un servicio SSL, sin desvincular primero el certificado existente.

Diagrama general de cómo actualizar un certificado SSL en el dispositivo Citrix ADC.

Vista general

Actualizar un par de claves de certificado existente mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para actualizar un par de claves de certificado existente y verificar la configuración:

update ssl certkey <certkeyName> -cert <string> -key <string>

show ssl certKey <certkeyName>

Ejemplo:

update ssl certkey siteAcertkey -cert /nsconfig/ssl/cert.pem -key /nsconfig/ssl/pkey.pem

Done

show ssl certkey siteAcertkey

Name: siteAcertkey       Status: Valid
           Version: 3
           Serial Number: 02
           Signature Algorithm: md5WithRSAEncryption
           Issuer: /C=US/ST=CA/L=Santa Clara/O=siteA/OU=Tech
           Validity
                Not Before: Nov 11 14:58:18 2001 GMT
                Not After: Aug 7 14:58:18 2004 GMT
           Subject: /C=US/ST-CA/L=San Jose/O=CA/OU=Security
           Public Key Algorithm: rsaEncryption
           Public Key size: 2048
Done

Actualizar un par de claves de certificado existente mediante la interfaz gráfica de usuario

  1. Vaya a Administración de tráfico > SSL > Certificados > Certificadosde servidor.

  2. Seleccione el certificado que desea actualizar y haga clic en Actualizar. Actualizar certificado de servidor

  3. Seleccione Actualizar el certificado y la clave. Actualizar certificado y clave del servidor

  4. En Nombre de archivo de certificado, haga clic en Elegir archivo> Local y busque el archivo.pfx o el archivo PEM de certificado actualizado. Navegar al archivo

    • Si carga un archivo.pfx, se le pedirá que especifique la contraseña del archivo.pfx.

    • Si carga un archivo pem de certificado, también debe cargar un archivo de clave de certificado. Si la clave está cifrada, debe especificar la contraseña de cifrado.

  5. Si el nombre común del nuevo certificado no coincide con el certificado anterior, seleccione Sin comprobación de dominio.

  6. Haga clic en Aceptar. Todos los servidores virtuales SSL a los que está vinculado este certificado se actualizan automáticamente. Haga clic en OK.

  7. Después de reemplazar el certificado, es posible que tenga que actualizar el vínculo de certificado a un nuevo certificado intermedio. Para obtener más información acerca de cómo actualizar un certificado intermedio sin romper los vínculos, consulte Actualizar un certificado intermedio sin romper los vínculos.

    • Haga clic con el botón secundario en el certificado actualizado y haga clic en Vínculosde certificado para ver si está vinculado a un certificado intermedio.

    • Si el certificado no está vinculado, haga clic con el botón secundario en el certificado actualizado y haga clic en Vincular para vincularlo a un certificado intermedio. Si no ve una opción para vincular, primero debe instalar un nuevo certificado intermedio en el dispositivo en el nodo Certificados de CA.

    Actualizar vínculo de certificado intermedio

Actualizar un certificado de CA existente

Los pasos para actualizar un certificado de CA existente son los mismos que actualizar un certificado de servidor existente. La única diferencia es que no necesita una clave en el caso de los certificados de CA.

Actualizar certificado de CA

Inhabilitar comprobaciones de dominio

Cuando se reemplaza un certificado SSL en el dispositivo, el nombre de dominio mencionado en el nuevo certificado debe coincidir con el nombre de dominio del certificado que se va a reemplazar. Por ejemplo, si tiene un certificado emitido en abc.com y lo está actualizando con un certificado emitido en def.com, se producirá un error en la actualización del certificado.

Sin embargo, si desea que el servidor que ha estado alojando un dominio concreto ahora aloje un nuevo dominio, puede inhabilitar la comprobación de dominio antes de actualizar su certificado.

Inhabilitar la comprobación de dominio de un certificado mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para inhabilitar la comprobación de dominio y verificar la configuración:

update ssl certKey <certkeyName> -noDomainCheck

show ssl certKey <certkeyName>

Ejemplo:

update ssl certKey sv -noDomainCheck

Done

show ssl certkey sv

Name: sv
Cert Path: /nsconfig/ssl/complete/server/server_rsa_512.pem
Key Path: /nsconfig/ssl/complete/server/server_rsa_512.ky
Format: PEM
Status: Valid,   Days to expiration:9349
Certificate Expiry Monitor: DISABLED
Done

Inhabilitar la comprobación de dominio para un certificado mediante la interfaz gráfica de usuario

  1. Vaya a Administración de tráfico > SSL > Certificados, seleccione un certificado y haga clic en Actualizar.
  2. Seleccione Sin comprobación de dominio.

Habilitar el monitor de caducidad

Un certificado SSL es válido durante un período específico. Una implementación típica incluye varios servidores virtuales que procesan transacciones SSL, y los certificados enlazados a ellos pueden caducar en diferentes momentos. Un monitor de caducidad configurado en el dispositivo crea entradas en los registros de auditoría syslog y ns del dispositivo cuando un certificado configurado caduca.

Si desea crear alertas SNMP para la expiración del certificado, debe configurarlas por separado.

Habilitar un monitor de caducidad para un certificado mediante la CLI

En el símbolo del sistema, escriba los comandos siguientes para habilitar un monitor de caducidad para un certificado y compruebe la configuración:

set ssl certKey <certkeyName> [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]]

show ssl certKey <certkeyName>

Ejemplo:

set ssl certKey sv -expiryMonitor ENABLED –notificationPeriod 60
Done

Habilitar un monitor de caducidad para un certificado mediante la interfaz gráfica de usuario

  1. Vaya a Administración de tráfico > SSL > Certificados, seleccione un certificado y haga clic en Actualizar.
  2. Seleccione Notificar cuando caduque y, opcionalmente, especifique un período de notificación.

Actualizar un certificado intermedio sin romper los vínculos

Ahora puede actualizar un certificado intermedio sin romper ningún vínculo existente. Puede formarse esta actualización si la extensión opcional ‘AuthorityKeyIdentifier’, en el certificado vinculado emitido por el certificado que se va a reemplazar, no contiene un campo número de serie del certificado de autoridad (‘AuthorityCertSerialNumber’). Si la extensión ‘AuthorityKeyIdentifier’ contiene un campo de número de serie, los números de serie del certificado antiguo y nuevo deben ser los mismos. Puede actualizar cualquier número de certificados en el vínculo, uno en uno, si se cumple la condición anterior. Anteriormente, los vínculos se rompían si se actualizaba un certificado intermedio.

Por ejemplo, hay cuatro certificados: CertA, CertB, CertC, y CertD. CertA es el emisor de CertB, CertB es el emisor de CertC, y así sucesivamente. Para reemplazar el certificado intermedio CertB por CertB_new sin romper el vínculo, se debe cumplir la siguiente condición:

El número de serie del certificado de CertB debe coincidir con el número de serie del certificado de CertB_new si se cumplen las dos condiciones siguientes:

  • La extensión AuthorityKeyIdentifier está presente en CertC.
  • Esta extensión contiene un campo de número de serie.

Si el nombre común en un certificado cambia, mientras se actualiza el certificado especificar nodomaincheck.

En el ejemplo anterior, para cambiar “www.example.com” a CertD “*.example.com”, seleccione el parámetro “No Domain Check”.

Actualizar el certificado mediante la CLI

En el símbolo del sistema, escriba:

update ssl certKey <certkeyName> -cert <string> [-password] -key <string>  [-noDomainCheck]

Ejemplo:

update ssl certkey siteAcertkey -cert /nsconfig/ssl/cert.pem -key /nsconfig/ssl/pkey.pem -noDomainCheck

Mostrar una cadena de certificados

Un certificado contiene el nombre de la autoridad expedidora y del sujeto al que se expide el certificado. Para validar un certificado, debe mirar al emisor de ese certificado y confirmar si confía en el emisor. Si no confía en el emisor, debe ver quién emitió el certificado emisor. Suba la cadena hasta que llegue al certificado de CA raíz o a un emisor en el que confíe.

Como parte del protocolo de enlace SSL, cuando un cliente solicita un certificado, el dispositivo presenta un certificado y la cadena de certificados de emisor que están presentes en el dispositivo. Un administrador puede ver la cadena de certificados de los certificados presentes en el dispositivo e instalar los certificados que falten.

Ver la cadena de certificados de los certificados presentes en el dispositivo mediante la CLI

En el símbolo del sistema, escriba:

show ssl certchain <cert_name>

Ejemplos

Hay 3 certificados: C1, c2 y c3. El certificado c1 está firmado por c2, c2 está firmado por c3 y c3 es el certificado de CA raíz. Los siguientes ejemplos ilustran el resultado del comando show ssl certchain c1 en diferentes casos.

Caso 1:

El certificado c2 está vinculado a c1, y c3 está vinculado a c2.

El certificado c3 es un certificado de CA raíz.

Si ejecuta el siguiente comando, se muestran los vínculos del certificado hasta el certificado de CA raíz.

show ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate name: c2               linked; not a root certificate
    2) Certificate name: c3               linked; root certificate
Done

Caso 2:

El certificado c2 está vinculado a c1.

El certificado c2 no es un certificado de CA raíz.

Si ejecuta el siguiente comando, se muestra la información de que el certificado c3 es un certificado de CA raíz pero no está vinculado a c2.

show ssl certchain c1

Certificate chain  details of certificate name c1 are:
    1) Certificate Name: c2               linked; not a root certificate
    2) Certificate Name: c3               not linked; root certificate
    Done

Caso 3:

Los certificados c1, c2 y c3 no están vinculados, pero están presentes en el dispositivo.

Si ejecuta el siguiente comando, se muestra información sobre todos los certificados que comienzan por el emisor del certificado c1 y se especifica que los certificados no están vinculados.

show ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate Name: c2               not linked; not a root certificate
    2) Certificate Name: c3               not linked; root certificate
    Done

Caso 4:

El certificado c2 está vinculado a c1.

El certificado c3 no está presente en el dispositivo.

Si ejecuta el siguiente comando, se muestra información sobre el certificado vinculado a c1 y se le pedirá que agregue un certificado con el nombre del sujeto especificado en c2. En este caso, se pide al usuario que agregue el certificado raíz de CA c3.

show ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate Name: c2               linked; not a root certificate
    2) Certificate Name: /C=IN/ST=ka/O=netscaler/CN=test
       Action: Add a certificate with this subject name.
Done

Caso 5:

Un certificado no está vinculado al certificado c1 y el certificado emisor de c1 no está presente en el dispositivo.

Si ejecuta el siguiente comando, se le pedirá que agregue un certificado con el nombre del sujeto en el certificado c1.

sh ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate Name: /ST=KA/C=IN
       Action: Add a certificate with this subject name.