Citrix ADC

Importar y convertir archivos SSL

Ahora puede importar recursos SSL, como certificados, claves privadas, CRL y claves DH, desde hosts remotos incluso si el acceso FTP a estos hosts no está disponible. Esto resulta especialmente útil en entornos donde el acceso de shell al host remoto está restringido. Las carpetas predeterminadas se crean en /nsconfig/ssl de la siguiente manera:

  • Para archivos de certificado: /nsconfig/ssl/certfile
  • Para claves privadas: El archivo /nsconfig/ssl/keyfile
  • Para CRL: /var/netscaler/ssl/crlfile
  • Para claves DH: /nsconfig/ssl/dhfile

Se admiten las importaciones de servidores HTTP y HTTPS. Sin embargo, la importación falla si el archivo está en un servidor HTTPS que requiere autenticación de certificado de cliente para el acceso.

Nota:

El comando import no se almacena en el archivo de configuración (ns.conf), ya que volver a importar el archivo después de reiniciar podría causar un error.

Importar un archivo de certificado

Puede utilizar la CLI y la GUI para importar un archivo (recurso) desde un host remoto.

Importar un archivo de certificado desde un host remoto mediante la CLI

En el símbolo del sistema, escriba:

import ssl certFile [<name>] [<src>]

Ejemplo:

import ssl certfile my-certfile http://www.example.com/file_1
show ssl certfile
     Name : my-certfile
     URL : http://www.example.com/file_1

Para quitar un archivo de certificado, utilice el rm ssl certFile comando, que solo acepta el argumento ‘name’.

Importar un archivo de clave desde un host remoto mediante la CLI

En el símbolo del sistema, escriba:

import ssl keyFile [<name>] [<src>]

Ejemplo:

import ssl keyfile my-keyfile http://www.example.com/key_file
show ssl keyfile
     Name : my-keyfile
     URL : http://www.example.com/key_file

Para eliminar un archivo de claves, utilice el rm ssl keyFile comando, que solo acepta el argumento ‘name’.

Importar un archivo CRL desde un host remoto mediante la CLI

En el símbolo del sistema, escriba:

import ssl crlFile [<name>] [<src>]

Para quitar un archivo CRL, utilice el rm ssl crlFile comando, que solo acepta el <name> argumento.

Ejemplo:

import ssl crlfile my-crlfile http://www.example.com/crl_file

show ssl crlfile

    Name : my-crlfile
    URL : http://www.example.com/crl_file

Importar un archivo DH desde un host remoto mediante la CLI

En el símbolo del sistema, escriba:

import ssl dhFile [<name>] [<src>]

Ejemplo:

import ssl dhfile my-dhfile http://www.example.com/dh_file
show ssl dhfile
     Name : my-dhfile
     URL : http://www.example.com/dh_file

Para quitar un archivo DH, utilice el rm ssl dhFile comando, que solo acepta el <name> argumento.

Importar un recurso SSL mediante la interfaz gráfica de usuario

Vaya a Traffic Management > SSL > Imports y, a continuación, seleccione la ficha correspondiente.

Importar certificados PKCS #8 y PKCS #12

Si quiere utilizar certificados y claves que ya tiene en otros servidores o aplicaciones seguros de la red, puede exportarlos e importarlos al dispositivo Citrix ADC. Es posible que tenga que convertir certificados y claves exportados antes de poder importarlos al dispositivo Citrix ADC.

Para obtener información detallada sobre cómo exportar certificados desde servidores seguros o aplicaciones de la red, consulte la documentación del servidor o aplicación desde la que quiere exportar.

Nota:

Para la instalación en el dispositivo Citrix ADC, los nombres de clave y certificados no pueden contener espacios o caracteres especiales que no sean los admitidos por el sistema de archivos UNIX. Siga la convención de nomenclatura adecuada al guardar la clave y el certificado exportados.

Normalmente se envía un par de certificados y claves privadas en el formato PKCS #12. El dispositivo admite formatos PEM y DER para certificados y claves. Para convertir PKCS #12 a PEM o DER, o PEM o DER a PKCS #12, consulte la sección “Convertir certificados SSL para importar o exportar” más adelante en esta página.

El dispositivo Citrix ADC no admite claves PEM en formato PKCS #8. Sin embargo, puede convertir estas claves a un formato compatible mediante la interfaz OpenSSL, a la que puede acceder desde la CLI o la utilidad de configuración. Antes de convertir la clave, debe verificar que la clave privada esté en formato PKCS #8. Las claves en formato PKCS #8 suelen comenzar con el siguiente texto:

-----BEGIN ENCRYPTED PRIVATE KEY-----



leuSSZQZKgrgUQ==



-----END ENCRYPTED PRIVATE KEY-----

Abra la interfaz OpenSSL desde la CLI

  1. Abra una conexión SSH al dispositivo mediante un cliente SSH, como PuTTY.
  2. Inicie sesión en el dispositivo mediante las credenciales de administrador.
  3. En el símbolo del sistema, escriba shell.
  4. En el símbolo del sistema de shell, escribaopenssl.

Abra la interfaz OpenSSL desde la GUI

Vaya a Traffic Management > SSL y, en el grupo Herramientas, seleccione la interfaz OpenSSL.

Convertir un formato de clave PKCS #8 no compatible a un formato de clave compatible cifrado mediante la interfaz OpenSSL

En el símbolo del sistema OpenSSL, escriba uno de los comandos siguientes, dependiendo de si el formato de clave no compatible es de tipo RSA o DSA:

OpenSSL>rsa- in <PKCS#8 Key Filename> -des3 -out <encrypted Key Filename>

OpenSSL>dsa -in <PKCS#8 Key Filename> -des3 -out <encrypted Key Filename>

Parámetros para convertir un formato de clave no admitido a un formato de clave admitido

  • Nombre dearchivo de clave PKCS #8: nombre de archivo de entrada de la clave privada PKCS #8 incompatible.
  • nombre dearchivo de clave cifrada: nombre de archivo de salida de la clave privada cifrada compatible en formato PEM.
  • Nombre dearchivo de clave sin cifrar: nombre de archivo de salida de la clave privada no cifrada compatible en formato PEM.

Convertir certificados SSL para importar o exportar

Un dispositivo Citrix ADC admite los formatos PEM y DER para certificados SSL. Otras aplicaciones, como los exploradores cliente y algunos servidores seguros externos, requieren varios formatos estándar de criptografía de clave pública (PKCS). El dispositivo Citrix ADC puede convertir el formato PKCS #12 (el estándar de sintaxis de intercambio de información personal) al formato PEM o DER para importar un certificado al dispositivo, y puede convertir PEM o DER a PKCS #12 para exportar un certificado. Para mayor seguridad, la conversión de un archivo para la importación puede incluir el cifrado de la clave privada con el algoritmo DES o DES3.

Nota:

Si utiliza la GUI para importar un certificado PKCS #12 y la contraseña contiene un signo de dólar ($), una comilla inversa (`) o un carácter de escape (), la importación podría fallar. Si lo hace, aparecerá el mensaje ERROR: Contraseña no válida. Si debe usar un carácter especial en la contraseña, asegúrese de ponerle un prefijo con un carácter de escape () a menos que todas las importaciones se realicen mediante la CLI.

Convertir el formato de un certificado mediante la CLI

En el símbolo del sistema, escriba el siguiente comando:

convert ssl pkcs12 <outfile> [-import [-pkcs12File <inputFilename>] [-des | -des3] [-export [-certFile <inputFilename>] [-keyFile <inputFilename>]]

Durante la operación, se le pedirá que introduzca una contraseña de importación o una contraseña de exportación. Para un archivo cifrado, también se le pedirá que escriba una frase de contraseña.

Ejemplo:

convert ssl pkcs12 Cert-Import-1.pem -import -pkcs12File Cert-Import-1.pfx -des

convert ssl pkcs12 Cert-Client-1.pfx -export -certFile Cert-Client-1 -keyFile Key-Client-1

Convertir el formato de un certificado mediante la interfaz gráfica de usuario

  1. Vaya a Traffic Management > SSL y, en el grupo Herramientas, seleccione Importar PKCS #12.

    Importar PKCS #12

  2. Especifique el nombre del certificado PEM en el campo Nombre del archivo de salida.

  3. Busque la ubicación del certificado PFX en el equipo local o en el dispositivo.

    Navegar hasta el certificado PFX

  4. Haga clic en OK.

  5. Haga clic en Administrar certificados, claves y CSR para ver el archivo PEM convertido.

    Ver archivo PEM convertido

  6. Puede ver el archivo PFX cargado y el archivo PEM convertido.

    Ver archivos

  7. Vaya a SSL > Certificados > Certificadosde servidor y haga clic en Instalar.

    Instalar certificado

  8. Especifique un nombre de par de claves de certificado.

  9. Vaya a la ubicación del archivo PEM.

  10. Especifique la contraseña cuando se le solicite.

  11. Haga clic en Instalar.

    Instalar certificado de servidor

  12. Enlazar el par de claves de certificado a un servidor virtual SSL.

Importar y convertir archivos SSL