Certificados de sitio global

Un certificado de sitio global es un certificado de servidor de propósito especial cuya longitud de clave es mayor que 128 bits. Un certificado de sitio global consta de un certificado de servidor y un certificado CA intermedio que lo acompaña. Debe importar el certificado de sitio global y su clave del servidor al dispositivo Citrix ADC.

Cómo funcionan los certificados de sitio globales

Las versiones de exportación de exploradores utilizan cifrado de 40 bits para iniciar conexiones a servidores web SSL. El servidor responde a las solicitudes de conexión enviando su certificado. A continuación, el cliente y el servidor deciden sobre una intensidad de cifrado basada en el tipo de certificado de servidor:

  • Si el certificado de servidor es un certificado normal y no un certificado de sitio global, el cliente y el servidor de exportación completan el protocolo de enlace SSL y utilizan cifrado de 40 bits para la transferencia de datos.
  • Si el certificado de servidor es un certificado de sitio global (y si el explorador admite la función de cliente de exportación), el cliente de exportación actualiza automáticamente al cifrado de 128 bits para la transferencia de datos.

Si el certificado de servidor es un certificado de sitio global, el servidor envía su certificado junto con el certificado intermediate-CA adjunto. En primer lugar, el explorador valida el certificado Intermediate-CA mediante uno de los certificados Root-CA que normalmente se incluyen en los exploradores web. Una vez validado correctamente el certificado de intermediate-CA, el explorador utiliza el certificado de intermediate-CA para validar el certificado de servidor. Una vez que el servidor se valida correctamente, el explorador renegocia (actualiza) la conexión SSL a un cifrado de 128 bits.

Con la criptografía cerrada de servidor (SGC) de Microsoft, si el servidor IIS de Microsoft está configurado con un certificado SGC, los clientes de exportación que reciben el certificado renegocian para utilizar cifrado de 128 bits.

Importar un certificado de sitio global

Para importar un certificado de sitio global, primero exporte el certificado y la clave de servidor desde el servidor web. Los certificados de sitio globales generalmente se exportan en algún formato binario, por lo tanto, antes de importar el certificado de sitio global, convierta el certificado y la clave al formato PEM.

Para importar un certificado de sitio global

  1. Con un editor de texto, copie el certificado de servidor y el certificado de CA intermedia que lo acompaña en dos archivos independientes.

    El certificado PEM individual codificado comenzará con el encabezado ----- BEGIN CERTIFICATE----- y terminará con el finalizador -----END CERTIFICATE-----.

  2. Utilice un cliente SFTP para transferir el certificado de servidor, el certificado de CA intermedia y la clave de servidor al dispositivo Citrix ADC.

  3. Utilice el siguiente comando OpenSSL para identificar el certificado de servidor y el certificado de CA intermedia de los dos archivos independientes.

    Nota: Puede iniciar la interfaz OpenSSL desde la utilidad de configuración. En el panel de navegación, haga clic en SSL. En el panel de detalles, en Herramientas, haga clic en Abrir interfaz SSL.

    openssl x509 -in >path of the CA cert file< text X509v3 Basic Constraints: CA:TRUE
                X509v3 Key Usage:
                    Certificate Sign, CRL Sign
                Netscape Cert Type:
                    SSL CA, S/MIME CA
    
    openssl x509 -in >path of the server certificate file< -text
    
    X509v3 Basic Constraints:
                    CA:FALSE
                Netscape Cert Type:
                    SSL Server
    
    
  4. En el símbolo del shell de FreeBSD, introduzca el siguiente comando:

    openssl x509 -in cert.pem -text | more
    

    Donde cert.pem es uno de los dos archivos de certificado.

    Lea el campo Asunto en la salida del comando. Por ejemplo,

    Subject: C=US, ST=Oregon, L=Portland, O=mycompany, Inc., OU=IT, CN=www.mycompany.com
    

    Si el campo CN del asunto coincide con el nombre de dominio del sitio web, este es el certificado de servidor y el otro certificado es el certificado de CA intermedia que acompaña.

  5. Utilice el certificado de servidor y su clave privada) para crear un par de claves de certificado en el dispositivo Citrix ADC. Para obtener más información sobre la creación de un par de claves de certificado en Citrix ADC, consulte Agregar un par de claves de certificado.

  6. Agregue el certificado Intermediate-CA en el dispositivo Citrix ADC. Utilice el certificado de servidor que creó en el paso 4 para firmar este certificado intermedio. Para obtener información detallada sobre la creación de un certificado de CA intermedio en Citrix ADC, consulte Generar un certificado de prueba.