Citrix ADC

Preguntas frecuentes sobre SSL

Preguntas básicas

El acceso HTTPS a la GUI falla en una instancia VPX. ¿Cómo puedo obtener acceso?

Se necesita un par de claves de certificado para acceder HTTPS a la GUI. En un dispositivo Citrix ADC, un par de claves de certificado se enlaza automáticamente a los servicios internos. En un dispositivo MPX o SDX, el tamaño de clave predeterminado es de 1024 bytes y, en una instancia VPX, el tamaño de clave predeterminado es de 512 bytes. Sin embargo, la mayoría de los navegadores actuales no aceptan una clave inferior a 1024 bytes. Como resultado, el acceso HTTPS a la utilidad de configuración VPX está bloqueado.

Citrix recomienda instalar un par de claves de certificado de al menos 1024 bytes y vincularlo al servicio interno para obtener acceso HTTPS a la utilidad de configuración. Alternativamente, actualice el ns-server-certificate a 1024 bytes. Puede utilizar el acceso HTTP a la utilidad de configuración o a la CLI para instalar el certificado.

Si agrego una licencia a un dispositivo MPX, se pierde el enlace del par de claves de certificado. ¿Cómo soluciono este problema?

Si una licencia no está presente en un dispositivo MPX cuando se inicia y agrega una licencia más tarde y reinicia el dispositivo, podría perder el enlace de certificados. Vuelva a instalar el certificado y vincularlo al servicio interno

Citrix recomienda instalar una licencia adecuada antes de iniciar el dispositivo.

¿Cuáles son los distintos pasos necesarios para configurar un canal seguro para una transacción SSL?

La configuración de un canal seguro para una transacción SSL implica los siguientes pasos:

  1. El cliente envía una solicitud HTTPS de un canal seguro al servidor.

  2. Tras seleccionar el protocolo y el cifrado, el servidor envía su certificado al cliente.

  3. El cliente comprueba la autenticidad del certificado de servidor.

  4. Si falla alguna de las comprobaciones, el cliente muestra la valoración correspondiente.

  5. Si los cheques pasan o el cliente decide continuar incluso si falla una comprobación, el cliente crea una clave desechable temporal. Esta clave se denomina secreto previo al maestro y el cliente cifra esta clave mediante la clave pública del certificado del servidor.

  6. Al recibir el secreto previo al maestro, el servidor lo descifra utilizando la clave privada del servidor y genera las claves de sesión. El cliente también genera las claves de sesión a partir del secreto previo al maestro. Por lo tanto, tanto el cliente como el servidor tienen ahora una clave de sesión común, que se utiliza para cifrar y descifrar los datos de la aplicación.

Entiendo que SSL es un proceso intensivo de CPU. ¿Cuál es el coste de CPU asociado al proceso SSL?

Las dos etapas siguientes están asociadas al proceso SSL:

  • El apretón de manos inicial y la configuración segura del canal mediante la tecnología de clave pública y privada.

  • Cifrado masivo de datos mediante la tecnología de clave simétrica.

Ambas etapas anteriores pueden afectar al rendimiento del servidor y requieren un procesamiento intensivo de la CPU por los siguientes motivos:

  1. El apretón de manos inicial implica la criptografía de clave público-privada, que requiere mucha CPU debido a los grandes tamaños de clave (1024 bits, 2048 bits, 4096 bits).

  2. El cifrado/descifrado de datos también es caro desde el punto de vista computacional, dependiendo de la cantidad de datos que se deben cifrar o descifrar.

¿Cuáles son las distintas entidades de una configuración SSL?

Una configuración SSL tiene las siguientes entidades:

  • Certificado de servidor
  • Certificado de autoridad certificadora (CA)
  • Conjunto de cifrado que especifica los protocolos para las siguientes tareas:
    • Intercambio de claves inicial
    • Autenticación de servidor y
    • algoritmo de cifrado masivo
    • autenticación de mensajes
  • Client authentication
  • CRL
  • Herramienta de generación de claves de certificado SSL que permite crear los siguientes archivos:
    • Solicitud de certificado
    • Certificado autofirmado
    • Claves RSA
    • Parámetros DH

Quiero utilizar la función de descarga SSL del dispositivo Citrix ADC. ¿Cuáles son las distintas opciones para recibir un certificado SSL?

Debe recibir un certificado SSL para poder configurar la configuración SSL en el dispositivo Citrix ADC. Puede utilizar cualquiera de los siguientes métodos para recibir un certificado SSL:

  • Solicite un certificado a una entidad de certificación (CA) autorizada.

  • Utilice el certificado de servidor existente.

  • Cree un par de claves de certificado en el dispositivo Citrix ADC.

Nota: Este certificado es un certificado de prueba firmado por la CA raíz de prueba generada por el dispositivo Citrix ADC. Los navegadores no aceptan certificados de prueba firmados por la CA raíz de prueba. El navegador emite un mensaje de advertencia que indica que el certificado del servidor no se puede autenticar.

  • Para cualquier otra cosa que no sea una prueba, debe proporcionar un certificado de CA y una clave de CA válidos para firmar el certificado del servidor.

¿Cuáles son los requisitos mínimos para una configuración SSL?

Los requisitos mínimos para configurar una configuración SSL son los siguientes:

  • Obtenga los certificados y las claves.
  • Cree un servidor virtual SSL de equilibrio de carga.
  • Enlazar servicios HTTP o SSL al servidor virtual SSL.
  • Enlazar un par de claves de certificado al servidor virtual SSL.

¿Cuáles son los límites para los distintos componentes de SSL?

Los componentes SSL tienen los siguientes límites:

  • Tamaño de bits de los certificados SSL: 4096.
  • Número de certificados SSL: Depende de la memoria disponible en el dispositivo.
  • Certificados SSL CA intermedios vinculados máximos: 9 por cadena.
  • Revocaciones de CRL: depende de la memoria disponible en el dispositivo.

¿Cuáles son los distintos pasos del cifrado de datos de extremo a extremo en un dispositivo Citrix ADC?

Los pasos necesarios en el proceso de cifrado del lado del servidor en un dispositivo Citrix ADC son los siguientes:

  1. El cliente se conecta al SSL VIP configurado en el dispositivo Citrix ADC en el sitio seguro.

  2. Tras recibir la solicitud segura, el dispositivo descifra la solicitud y aplica técnicas de conmutación de contenido de capa 4 a 7 y políticas de equilibrio de carga. A continuación, selecciona el mejor servidor web back-end disponible para la solicitud.

  3. El dispositivo Citrix ADC crea una sesión SSL con el servidor seleccionado.

  4. Tras establecer la sesión SSL, el dispositivo cifra la solicitud del cliente y la envía al servidor Web mediante la sesión SSL segura.

  5. Cuando el dispositivo recibe la respuesta cifrada del servidor, descifra y vuelve a cifrar los datos. A continuación, envía los datos al cliente mediante la sesión SSL del lado del cliente.

La técnica de multiplexación del dispositivo Citrix ADC permite al dispositivo reutilizar las sesiones SSL establecidas con los servidores web. Por lo tanto, el dispositivo evita el intercambio de claves intensivo de la CPU, conocido como apretón de manos completo. Este proceso reduce el número total de sesiones SSL en el servidor y mantiene la seguridad integral.

Certificados y claves

¿Puedo colocar los archivos de certificados y claves en cualquier ubicación? ¿Hay alguna ubicación recomendada para almacenar estos archivos?

Puede almacenar los archivos de certificado y clave en el dispositivo Citrix ADC o en un equipo local. Sin embargo, Citrix recomienda almacenar los archivos de certificados y claves en el /nsconfig/ssl directorio del dispositivo Citrix ADC. El /etc directorio existe en la memoria flash del dispositivo Citrix ADC. Esta acción proporciona portabilidad y facilita la copia de seguridad y la restauración de los archivos de certificado del dispositivo.

Nota: Asegúrese de que el certificado y los archivos clave estén almacenados en el mismo directorio.

¿Cuál es el tamaño máximo de la clave de certificado admitida en el dispositivo Citrix ADC?

Un dispositivo Citrix ADC que ejecuta una versión de software anterior a la versión 9.0 admite un tamaño máximo de clave de certificado de 2048 bits. La versión 9.0 y posterior admiten un tamaño máximo de clave de certificado de 4096 bits. Este límite se aplica a los certificados RSA.

Un dispositivo MPX admite certificados de 512 bits hasta los siguientes tamaños:

  • Certificado de servidor de 4096 bits en el servidor virtual

  • Certificado de cliente de 4096 bits en el servicio

  • Certificado CA de 4096 bits (incluye certificados intermedios y raíz)

  • Certificado de 4096 bits en el servidor back-end

  • Certificado de cliente de 4096 bits (si la autenticación de cliente está habilitada en el servidor virtual)

Un dispositivo virtual admite certificados de 512 bits hasta los siguientes tamaños:

  • Certificado de servidor de 4096 bits en el servidor virtual

  • Certificado de cliente de 4096 bits en el servicio

  • Certificado CA de 4096 bits (incluye certificados intermedios y raíz)

  • Certificado de 4096 bits en el servidor back-end de la versión 12.0-56.x. Las versiones anteriores admiten certificados de 2048 bits.

  • Certificado de cliente de 2048 bits (si la autenticación de cliente está habilitada en el servidor virtual) de la versión 12.0-56.x.

¿Cuál es el tamaño máximo del parámetro DH compatible con el dispositivo Citrix ADC?

El dispositivo Citrix ADC admite un parámetro DH de un máximo de 2048 bits.

¿Cuál es la longitud máxima de la cadena de certificados, es decir, el número máximo de certificados de una cadena compatible con un dispositivo Citrix ADC?

Un dispositivo Citrix ADC puede enviar un máximo de 10 certificados en una cadena al enviar un mensaje de certificado de servidor. Una cadena de la longitud máxima incluye el certificado de servidor y nueve certificados de CA intermedios.

¿Cuáles son los distintos formatos de certificado y clave admitidos en el dispositivo Citrix ADC?

El dispositivo Citrix ADC admite los siguientes formatos de certificado y clave:

  • Correo mejorado de privacidad (PEM)
  • Regla de codificación distinguida (DER)

¿Existe un límite para el número de certificados y claves que puedo instalar en el dispositivo Citrix ADC?

No. El número de certificados y claves que se pueden instalar está limitado únicamente por la memoria disponible en el dispositivo Citrix ADC.

He guardado el certificado y los archivos clave en el equipo local. Quiero transferir estos archivos al dispositivo Citrix ADC mediante el protocolo FTP. ¿Existe algún modo preferido para transferir estos archivos al dispositivo Citrix ADC?

Sí. Si utiliza el protocolo FTP, debe utilizar el modo binario para transferir el certificado y los archivos de clave al dispositivo Citrix ADC.

Nota: De forma predeterminada, FTP está deshabilitado. Citrix recomienda utilizar el protocolo SCP para transferir archivos de certificados y claves. La utilidad de configuración utiliza implícitamente SCP para conectarse al dispositivo.

¿Cuál es la ruta de directorio predeterminada para el certificado y la clave?

La ruta de directorio predeterminada para el certificado y la clave es ‘/nsconfig/ssl’.

Al agregar un par de certificados y claves, ¿qué ocurre si no especifico una ruta absoluta a los archivos de certificados y claves?

Al agregar un par de claves de certificado, especifique una ruta absoluta a los archivos de certificado y clave. Si no lo especifica, el dispositivo ADC busca estos archivos en el directorio predeterminado e intenta cargarlos en el kernel. El directorio predeterminado es /nsconfig/ssl. Por ejemplo, si los archivos cert1024.pem y rsa1024.pem están disponibles en el /nsconfig/ssl directorio del dispositivo, los dos comandos siguientes se ejecutan correctamente:

add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
<!--NeedCopy-->
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem
<!--NeedCopy-->

He configurado una configuración de alta disponibilidad. Quiero implementar la función SSL en la configuración. ¿Cómo debo manejar los archivos de certificados y claves en una configuración de alta disponibilidad?

En una configuración de alta disponibilidad, debe almacenar los archivos de certificado y clave tanto en el dispositivo Citrix ADC principal como en el secundario. La ruta de directorio para los archivos de certificado y clave debe ser la misma en ambos dispositivos antes de agregar un par de claves de certificado SSL en el dispositivo principal.

nCipher nShield® HSM

Al integrarnos con nCipher nShield® HSM, ¿tenemos que tener en cuenta alguna configuración específica al agregar el dispositivo Citrix ADC a HA?

Configure los mismos dispositivos nCipher en ambos nodos de HA. Los comandos de configuración de nCipher no se sincronizan en HA. Para obtener información sobre los requisitos previos para nCipher nShield® HSM, consulte Requisitos previos.

¿Tenemos que integrar individualmente ambos dispositivos con NCipher NShield® HSM y RFS? ¿Necesitamos completar esta acción antes o después de la configuración de alta disponibilidad?

Puede completar la integración antes o después de la configuración de alta disponibilidad. Si la integración se realiza después de la configuración de alta disponibilidad, las claves importadas en el nodo principal antes de configurar el nodo secundario no se sincronizan con el nodo secundario. Por lo tanto, Citrix recomienda la integración de nCipher antes de la configuración de alta disponibilidad.

¿Necesitamos importar la clave en los dispositivos Citrix ADC primarios y secundarios, o las claves están sincronizadas desde el nodo principal al nodo secundario?

Si nCipher está integrado en ambos dispositivos antes de formar la HA, las claves se sincronizan automáticamente desde RFS durante el proceso de integración.

Dado que el HSM no está en el dispositivo Citrix ADC, sino en nCipher, ¿qué sucede con las claves y los certificados cuando un nodo falla y se reemplaza?

Si falla un nodo, puede sincronizar las claves y los certificados con el nuevo nodo, integrando nCipher en el nuevo nodo. A continuación, ejecute los siguientes comandos:

sync ha files ssl
force ha sync
<!--NeedCopy-->

Los certificados se sincronizan y agregan si las claves se sincronizan en el proceso de integración de nCipher.

Cifrados

¿Qué es un cifrado nulo?

Los cifrados sin cifrado se conocen como cifrados nulos. Por ejemplo, NULL-MD5 es un cifrado NULO.

¿Están habilitados los cifradores NULOS de forma predeterminada para un SSL VIP o un servicio SSL?

No. Los cifrados NULOS no están habilitados de forma predeterminada para un SSL VIP o un servicio SSL.

¿Cuál es el procedimiento para eliminar los cifrados nulos?

Para quitar los cifrados NULOS de un SSL VIP, ejecute el siguiente comando:

bind ssl cipher <SSL_VIP> REM NULL
<!--NeedCopy-->

Para quitar los cifrados NULOS de un servicio SSL, ejecute el siguiente comando:

bind ssl cipher <SSL_Service> REM NULL -service
<!--NeedCopy-->

¿Cuáles son los distintos alias de cifrado admitidos en el dispositivo Citrix ADC?

Para enumerar los alias de cifrado admitidos en el dispositivo, en el símbolo del sistema, escriba:

sh cipher
<!--NeedCopy-->

¿Cuál es el comando para mostrar todos los cifrados predefinidos del dispositivo Citrix ADC?

Para mostrar todos los cifrados predefinidos del dispositivo Citrix ADC, en la CLI, escriba:

show ssl cipher
<!--NeedCopy-->

¿Cuál es el comando para mostrar los detalles de un cifrado individual del dispositivo Citrix ADC?

Para mostrar los detalles de un cifrado individual del dispositivo Citrix ADC, en la CLI, escriba:

show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>
<!--NeedCopy-->

Ejemplo:

show cipher SSL3-RC4-SHA
     1) Cipher Name: SSL3-RC4-SHA
     Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
    Mac=SHA1
     Done
<!--NeedCopy-->

¿Cuál es la importancia de agregar los cifrados predefinidos del dispositivo Citrix ADC?

Al agregar los cifrados predefinidos del dispositivo Citrix ADC, los cifrados NULOS se agregan a un SSL VIP o a un servicio SSL SSL.

¿Es posible cambiar el pedido del cifrado sin desvincularlo de un grupo de cifrado en un dispositivo Citrix ADC?

Sí. Es posible cambiar el orden del cifrado sin desvincular los cifrados de un grupo de cifrado personalizado. Sin embargo, no se puede cambiar la prioridad en los grupos de cifrado incorporados. Para cambiar la prioridad de un cifrado enlazado a una entidad SSL, primero desvincule el cifrado del servidor virtual, el servicio o el grupo de servicios.

Nota: Si el grupo de cifrado enlazado a una entidad SSL está vacío, el protocolo de enlace SSL falla porque no hay ningún cifrado negociado. El grupo de cifrado debe contener al menos un cifrado.

¿Se admite ECDSA en el dispositivo Citrix ADC?

ECDSA es compatible con las siguientes plataformas Citrix ADC. Para obtener información detallada sobre las compilaciones compatibles, consulte la Tabla 1 y la Tabla 2 de Ciphers disponibles en los dispositivos Citrix ADC.

  • Dispositivos Citrix ADC MPX y SDX con chips N3
  • Citrix ADC MPX 5900/8900/15000/26000
  • Citrix ADC SDX 8900/15000
  • Dispositivos Citrix ADC VPX

¿El dispositivo Citrix ADC VPX admite los cifrados AES-GCM/SHA2 en el front-end?

Sí, los cifrados AES-GCM/SHA2 se admiten en el dispositivo Citrix ADC VPX. Para obtener información detallada sobre las compilaciones compatibles, consulte Cifrados disponibles en los dispositivos Citrix ADC.

Certificados

¿Está disponible el nombre distintivo de un certificado de cliente durante la duración de la sesión de usuario?

Sí. Puede acceder al nombre distintivo del certificado de cliente en las solicitudes posteriores durante la sesión de usuario. Es decir, incluso después de que se haya completado el apretón de manos SSL y el navegador no vuelva a enviar el certificado. Utilice una variable y una asignación tal y como se detalla en la siguiente configuración de ejemplo:

Ejemplo:

add ns variable v2 -type "text(100)"

add ns assignment a1 -variable "$v2" -set       "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"

add rewrite action act1 insert_http_header subject "$v2"  // example: to insert the distinguished name in the header

add rewrite policy pol1 true a1

add rewrite policy pol2 true act1

bind rewrite global pol1 1 next -type RES_DEFAULT

bind rewrite global pol2 2 next -type RES_DEFAULT

set rewrite param -undefAction RESET
<!--NeedCopy-->

¿Por qué tengo que vincular el certificado de servidor?

Vincular los certificados de servidor es el requisito básico para permitir que la configuración SSL procese transacciones SSL.

Para vincular el certificado de servidor a una VIP SSL, en la CLI, escriba:

bind ssl vserver <vServerName> -certkeyName <cert_name>
<!--NeedCopy-->

Para vincular el certificado de servidor a un servicio SSL, en la CLI, escriba:

bind ssl service <serviceName> -certkeyName <cert_name>
<!--NeedCopy-->

¿Cuántos certificados puedo vincular a un SSL VIP o a un servicio SSL?

En un dispositivo FIPS Citrix ADC VPX, MPX/SDX (N3) y MPX/SDX 14000 FIPS, puede enlazar dos certificados a un servidor virtual SSL o a un servicio SSL si SNI está deshabilitado. Los certificados deben ser uno de cada uno de los tipos RSA y ECDSA. Si SNI está habilitado, puede vincular varios certificados de servidor de tipo RSA o ECDSA. En un dispositivo FIPS Citrix ADC MPX (N2) o MPX 9700, si SNI está deshabilitado, solo puede enlazar un certificado de tipo RSA. Si SNI está habilitado, puede enlazar varios certificados de servidor de tipo RSA únicamente.

¿Qué ocurre si desvinculo o sobrescribo un certificado de servidor?

Cuando desvincula o sobrescribe un certificado de servidor, finalizan todas las conexiones y sesiones SSL creadas mediante el certificado existente. Al sobrescribir un certificado existente, aparece el siguiente mensaje:

ERROR:

Warning: Current certificate replaces the previous binding.
<!--NeedCopy-->

¿Cómo instalo un certificado intermedio en un dispositivo Citrix ADC y se vincula a un certificado de servidor?

Consulte el artículo en http://support.citrix.com/article/ctx114146 para obtener información sobre la instalación de un certificado intermedio.

¿Por qué aparece un error de «recurso ya existe» cuando intento instalar un certificado en Citrix ADC?

Consulte el artículo en http://support.citrix.com/article/CTX117284 para obtener instrucciones para resolver el error «el recurso ya existe».

Quiero crear un certificado de servidor en un dispositivo Citrix ADC para probar y evaluar el producto. ¿Cuál es el procedimiento para crear un certificado de servidor?

Realice el siguiente procedimiento para crear un certificado de prueba.

Nota: Un certificado creado con este procedimiento no se puede utilizar para autenticar a todos los usuarios y navegadores. Después de utilizar el certificado para realizar pruebas, debe obtener un certificado de servidor firmado por una entidad de certificación raíz autorizada.

Para crear un certificado de servidor autofirmado:

  1. Para crear un certificado de CA raíz, en la CLI, escriba:

    create ssl rsakey /nsconfig/ssl/test-ca.key 1024
    
    create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key
    
    Enter the required information when prompted, and then type the following command:
    
    create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key
    <!--NeedCopy-->
    
  2. Realice el siguiente procedimiento para crear un certificado de servidor y firmarlo con el certificado de CA raíz que acaba de crear.

    1. Para crear la solicitud y la clave, en la CLI, escriba:

      create ssl rsakey /nsconfig/ssl/test-server.key 1024
      
          create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key
      <!--NeedCopy-->
      
    2. Introduzca la información requerida cuando se le solicite.

    3. Para crear un archivo de número de serie, en la CLI, escriba:

      shell
       # echo '01' >
      /nsconfig/ssl/serial.txt
       # exit
      <!--NeedCopy-->
      
    4. Para crear un certificado de servidor firmado por el certificado de CA raíz creado en el paso 1, en la CLI, escriba:

      create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt
      <!--NeedCopy-->
      
    5. Para crear un par de claves de certificado Citrix ADC, que es el objeto en memoria que contiene la información del certificado de servidor para los apretones de manos SSL y el cifrado masivo, en la CLI, escriba:

      add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key
      <!--NeedCopy-->
      
    6. Para vincular el par de claves de certificado al servidor virtual SSL, en la CLI, escriba:

      bind ssl vserver <vServerName> -certkeyName <cert_name>
      <!--NeedCopy-->
      

He recibido un dispositivo Citrix ADC en el que está instalado la versión 9.0 del software NetScaler. He notado un archivo de licencia adicional en el dispositivo. ¿Hay algún cambio en la política de licencias a partir de la versión 9.0 del software NetScaler?

Sí. A partir de la versión 9.0 del software Citrix NetScaler, es posible que el dispositivo no tenga un único archivo de licencia. El número de archivos de licencia depende de la edición de versión de software Citrix ADC. Por ejemplo, si ha instalado la edición avanzada, es posible que necesite archivos de licencia adicionales para la funcionalidad completa de las distintas funciones. Sin embargo, si ha instalado la edición Premium, el dispositivo solo tiene un archivo de licencia.

¿Cómo exporto el certificado desde Internet Information Service (IIS)?

Hay muchas formas, pero mediante el siguiente método se exportan el certificado y la clave privada apropiados para el sitio web. Este procedimiento debe realizarse en el servidor IIS real.

  1. Abra la herramienta de administración del Administrador de Internet Information Services (IIS).

  2. Expanda el nodo de sitios web y busque el sitio web habilitado para SSL que desea servir a través del dispositivo Citrix ADC.

  3. Haga clic con el botón derecho en este sitio web y, a continuación

  4. Haga clic en la pestaña Seguridad de directorios y, en la sección Comunicaciones seguras de la ventana, seleccione el cuadro Ver certificado.

  5. Haga clic en la pestaña Detalles y, a continuación, en Copiar en archivo.

  6. En la página Bienvenido al Asistente para exportación de certificados, haga clic en Siguiente.

  7. Seleccione Sí, exporte la clave privada y haga clic en Siguiente.

    Nota: La clave privada DEBE exportarse para que la descarga SSL funcione en Citrix ADC.

  8. Asegúrese de que el botón de opción Intercambio de información personal -PKCS #12 esté seleccionado y active solo la casilla de verificación Incluir todos los certificados en la ruta de certificación si es posible. Haga clic en Siguiente.

  9. Introduzca una contraseña y haga clic en Siguiente.

  10. Introduzca un nombre de archivo y una ubicación y, a continuación, haga clic en Siguiente. Proporcione al archivo una extensión de.PFX.

  11. Haga clic en Finalizar.

¿Cómo convierto el certificado PKCS #12 e instalarlo en Citrix ADC?

  1. Mueva el archivo de certificado .PFX exportado a una ubicación desde la que se puede copiar en el dispositivo Citrix ADC. Es decir, a una máquina que permite el acceso SSH a la interfaz de administración de un dispositivo Citrix ADC. Copie el certificado en el dispositivo mediante una utilidad de copia segura como SCP.

  2. Acceda al shell BSD y convierta el certificado (por ejemplo, Cert.PFX) a formato.PEM:

    root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM
    <!--NeedCopy-->
    
  3. Para asegurarse de que el certificado convertido está en el formato x509 correcto, compruebe que el siguiente comando no produce ningún error:

    root@ns# openssl x509 -in cert.PEM -text
    <!--NeedCopy-->
    
  4. Compruebe que el archivo de certificado contiene una clave privada. Comience por emitir el siguiente comando:

    root@ns# cat cert.PEM
    
    Verify that the output file includes an RSA PRIVATE KEY section.
    
    -----BEGIN RSA PRIVATE KEY-----
    Mkm^s9KMs9023pz/s...
    -----END RSA PRIVATE KEY-----
    <!--NeedCopy-->
    

    A continuación se muestra otro ejemplo de una sección CLAVE PRIVADA RSA:

        Bag Attributes
        1.3.6.1.4.1.311.17.2: <No Values>
        localKeyID: 01 00 00 00
        Microsoft CSP Name: Microsoft RSA SChannel Cryptographic
        Provider
        friendlyName:
        4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f
    
        Key Attributes
        X509v3 Key Usage: 10
        -----BEGIN RSA PRIVATE KEY-----
        Proc-Type: 4,ENCRYPTED
        DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968
        pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg
    
        ... (more random characters)
        v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh
    
        5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg==
        -----END RSA PRIVATE KEY-----
    <!--NeedCopy-->
    

    A continuación se muestra una sección CERTIFICADO DE SERVIDOR:

        Bag Attributes
        localKeyID: 01 00 00 00
        friendlyName: AG Certificate
        subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother
        Asiapacific/OU=Support/CN=davemother.food.lan
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK
    
        ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/
    
        MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog=
        -----END CERTIFICATE-----
    <!--NeedCopy-->
    

    A continuación se muestra una sección CERTIFICADO DE CA INTERMEDIATE:

        Bag Attributes: <Empty Attributes>
        subject=/DC=lan/DC=food/CN=hotdog
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8
    
        ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk=
    
        -----END CERTIFICATE-----
    <!--NeedCopy-->
    

    Pueden seguirse otros certificados de CA intermedia, según la ruta de certificación del certificado exportado.

  5. Abrir el archivo.PEM en un editor de texto

  6. Busque la primera línea del archivo.PEM y la primera instancia de la siguiente línea y copie esas dos líneas y todas las líneas entre ellas:

    -----END CERTIFICATE-----
    
    Note: Make sure that last copied line is the first
    -----END CERTIFICATE----- line in the .PEM file.
    
    <!--NeedCopy-->
    
  7. Pegue las líneas copiadas en un nuevo archivo. Llame al nuevo archivo de forma intuitiva, como cert-key.pem. Este par de claves de certificado es para el servidor que aloja el servicio HTTPS. Este archivo debe contener tanto la sección denominada CLAVE PRIVADA RSA como la sección denominada SERVER CERTIFICATE del ejemplo anterior.

    Nota: El archivo par de claves de certificado contiene la clave privada y debe mantenerse seguro.

  8. Busque cualquier sección posterior que empiece por —BEGIN CERTIFICATE— y termine con —END CERTIFICATE— y copie cada una de estas secciones en un nuevo archivo independiente.

    Estas secciones corresponden a certificados de CA de confianza que se han incluido en la ruta de certificación. Estas secciones deben copiarse y pegarse en nuevos archivos individuales para estos certificados. Por ejemplo, la sección CERTIFICADO DE CA INTERMEDIATE del ejemplo anterior debe copiarse y pegarse en un nuevo archivo).

    Para varios certificados de CA intermedios del archivo original, cree archivos para cada certificado de CA intermedia en el orden en que aparecen en el archivo. Realice un seguimiento (utilizando los nombres de archivo apropiados) del orden en que aparecen los certificados, ya que deben vincularse en el orden correcto en un paso posterior.

  9. Copie el archivo de clave de certificado (cert-key.pem) y cualquier archivo de certificado de CA adicional en el directorio /nsconfig/ssl del dispositivo Citrix ADC.

  10. Salga del shell BSD y acceda al mensaje de Citrix ADC.

  11. Siga los pasos descritos en «Instalar los archivos de clave de certificado en el dispositivo» para instalar la clave/certificado una vez cargado en el dispositivo.

¿Cómo convierto el certificado PKCS #7 e instalarlo en el dispositivo Citrix ADC?

Puede utilizar OpenSSL para convertir un certificado PKCS #7 a un formato reconocible por el dispositivo Citrix ADC. El procedimiento es idéntico al procedimiento de los certificados PKCS #12, excepto que invoca OpenSSL con parámetros diferentes. Los pasos para convertir los certificados PKCS #7 son los siguientes:

  1. Copie el certificado en el dispositivo mediante una utilidad de copia segura, como SCP.

  2. Convierta el certificado (por ejemplo, Cert.p7b) a formato PEM:

    openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem
    <!--NeedCopy-->
    
  3. Siga los pasos 3 a 7 tal y como se describe en la respuesta de los certificados PKCS #12. Nota: Antes de cargar el certificado PKCS #7 convertido en el dispositivo, compruebe que contiene una clave privada, exactamente como se describe en el paso 3 del procedimiento PKCS #12. Los certificados PKCS #7, en particular los certificados exportados desde IIS, no suelen contener una clave privada.

Cuando vinculo un cifrado a un servidor virtual o servicio mediante el comando bind cipher, veo el mensaje de error «Comando obsoleto. «?

El comando para vincular un cifrado a un servidor o servicio virtual ha cambiado.

Utilice el bind ssl vserver <vsername> -ciphername <ciphername> comando para vincular un cifrado SSL a un servidor virtual SSL.

Utilice el bind ssl service <serviceName> -ciphername <ciphername> comando para vincular un cifrado SSL a un servicio SSL.

Nota: Los nuevos cifrados y grupos de cifrado se añaden a la lista existente y no se reemplazan.

¿Por qué no puedo crear un grupo de cifrado y enlazar cifrados a él mediante el comando add cifrado?

La funcionalidad del comando add cipher ha cambiado en la versión 10. El comando solo crea un grupo de cifrado. Para añadir cifrados al grupo, utilice el comando de cifrado bind.

OpenSSL

¿Cómo uso OpenSSL para convertir certificados entre PEM y DER?

Para utilizar OpenSSL, debe tener una instalación funcional del software OpenSSL y poder ejecutar OpenSSL desde la línea de comandos.

Los certificados x509 y las claves RSA se pueden almacenar en varios formatos diferentes.

Dos formatos comunes son:

  • DER (formato binario utilizado principalmente por las plataformas Java y Macintosh)
  • PEM (representación base64 de DER con información de encabezado y pie de página, que se utiliza principalmente en las plataformas UNIX y Linux).

Una clave y el certificado correspondiente, además del certificado raíz y cualquier certificado intermedio, también se pueden almacenar en un único archivo PKCS #12 (.P12, .PFX).

Procedimiento

Utilice el comando OpenSSL para convertir entre formatos de la siguiente manera:

  1. Para convertir un certificado de PEM a DER:

    x509 -in input.crt -inform PEM -out output.crt -outform DER
    <!--NeedCopy-->
    
  2. Para convertir un certificado de DER a PEM:

    x509 -in input.crt -inform DER -out output.crt -outform PEM
    <!--NeedCopy-->
    
  3. Para convertir una clave de PEM a DER:

    rsa -in input.key -inform PEM -out output.key -outform DER
    <!--NeedCopy-->
    
  4. Para convertir una clave de DER a PEM:

    rsa -in input.key -inform DER -out output.key -outform PEM
    <!--NeedCopy-->
    

    Nota: Si la clave que va a importar está cifrada con un cifrado simétrico compatible, se le pedirá que introduzca la frase de contraseña.

    Nota: Para convertir una clave hacia o desde el formato NET obsoleto (servidor Netscape), sustituya NET por PEM o DER según corresponda. La clave almacenada se cifra en un cifrado simétrico RC4 débil sin sal, por lo que se solicita una frase de contraseña. Se acepta una frase de contraseña en blanco.

Límites del sistema

¿Cuáles son los números importantes que hay que recordar?

  1. Crear solicitud de certificado:

    • Nombre de archivo de solicitud: máximo 63 caracteres
    • Nombre de archivo clave: máximo 63 caracteres
    • Frase de contraseña PEM (para clave cifrada): máximo 31 caracteres
    • Nombre común: máximo 63 caracteres
    • Ciudad: 127 caracteres como máximo
    • Nombre de la organización: máximo 63 caracteres
    • Nombre del estado/provincia: máximo 63 caracteres
    • Dirección de correo electrónico: máximo 39 caracteres
    • Unidad organizativa: 63 caracteres como máximo
    • Contraseña de desafío: máximo 20 caracteres
    • Nombre de la empresa: Maximum 127 characters
  2. Crear certificado:

    • Nombre de archivo de certificado: 63 caracteres como máximo
    • Nombre del archivo de solicitud de certificado: máximo 63 caracteres
    • Nombre de archivo clave: máximo 63 caracteres
    • Frase de contraseña PEM: máximo 31 caracteres
    • Período de validez: Máximo 3650 días
    • Nombre de archivo de certificado de CA: máximo 63 caracteres
    • Nombre de archivo clave de CA: máximo 63 caracteres
    • Frase de contraseña PEM: máximo 31 caracteres
    • Archivo de número de serie de CA: máximo 63 caracteres
  3. Crear e instalar un certificado de prueba de servidor:

    • Nombre de archivo de certificado: máximo 31 caracteres
    • Nombre de dominio completo: 63 caracteres como máximo
  4. Crear clave Diffie-Hellman (DH):
    • Nombre de archivo DH (con ruta): máximo 63 caracteres
    • Tamaño del parámetro DH: máximo 2048 bits
  5. Importar clave PKCS12:

    • Nombre de archivo de salida: 63 caracteres como máximo
    • Nombre de archivo PKCS12: Máximo 63 caracteres
    • Contraseña de importación: máximo 31 caracteres
    • Frase de contraseña PEM: máximo 31 caracteres
    • Verificar frase de contraseña PEM: máximo 31 caracteres
  6. Exportar PKCS12
    • Nombre de archivo PKCS12: Máximo 63 caracteres
    • Nombre de archivo de certificado: 63 caracteres como máximo
    • Nombre de archivo clave: máximo 63 caracteres
    • Contraseña de exportación: máximo 31 caracteres
    • Frase de contraseña PEM: máximo 31 caracteres
  7. Administración de CRL:
    • Nombre de archivo de certificado de CA: máximo 63 caracteres
    • Nombre de archivo clave de CA: máximo 63 caracteres
    • Contraseña del archivo de clave de CA: máximo 31 caracteres
    • Nombre del archivo de índice: 63 caracteres como máximo
    • Nombre de archivo de certificado: 63 caracteres como máximo
  8. Crear clave RSA:
    • Nombre de archivo clave: máximo 63 caracteres
    • Tamaño de clave: máximo 4096 bits
    • Frase de contraseña PEM: máximo 31 caracteres
    • Verificar frase de contraseña: máximo 31 caracteres
  9. Cambiar la configuración SSL avanzada:
    • Tamaño máximo de memoria CRL: Máximo 1024 Mbytes
    • Tiempo de espera del activador de cifrado (ticks de 10 mS): máximo 200
    • Recuento de paquetes desencadenador de cifrado: máximo 50
    • Tamaño de caché OCSP: máximo 512 Mbytes
  10. Certificado de instalación:
    • Nombre del par de claves de certificado: máximo 31 caracteres
    • Nombre de archivo de certificado: 63 caracteres como máximo
    • Nombre de archivo de clave privada: 63 caracteres como máximo
    • Contraseña: máximo 31 caracteres
    • Período de notificación: máximo 100
  11. Crear grupo de cifrado:
    • Nombre del grupo de cifrado: máximo 39 caracteres
  12. Crear CRL:
    • Nombre CRL: máximo 31 caracteres
    • Archivo CRL: máximo 63 caracteres
    • URL: 127 caracteres como máximo
    • DN base: 127 caracteres como máximo
    • DN de enlace: 127 caracteres como máximo
    • Contraseña: máximo 31 caracteres
    • Días: Máximo 31
  13. Crear política SSL:
    • Nombre: Máximo 127 caracteres
  14. Crear acción SSL:
    • Nombre: Máximo 127 caracteres
  15. Crear respondedor OCSP:
    • Nombre: Máximo 32 caracteres
    • URL: 128 caracteres como máximo
    • Profundidad de procesamiento por lotes: máximo 8
    • Retardo de procesamiento por lotes: Máximo 10000
    • Sesgo producido a tiempo: máximo 86400
    • Tiempo de espera de solicitud: Máximo 120000
  16. Crear servidor virtual:
    • Nombre: Máximo 127 caracteres
    • URL de redirección: 127 caracteres como máximo
    • Tiempo de espera del cliente: máximo 31536000 segundos
  17. Crear servicio:
    • Nombre: Máximo 127 caracteres
    • Tiempo de espera de inactividad (segundos): Cliente: Máximo 31536000 Servidor: Máximo 31536000
  18. Crear grupo de servicios:
    • Nombre del grupo de servicios: 127 caracteres como máximo
    • ID del servidor: Máximo 4294967295
    • Tiempo de espera de inactividad (segundos): Cliente: Valor máximo 31536000 Servidor: máximo 31536000
  19. Crear monitor:
    • Nombre: Máximo 31 caracteres
  20. Crear servidor:
    • Nombre del servidor: máximo 127 caracteres
    • Nombre de dominio: 255 caracteres como máximo
    • Resolver reintento: máximo 20939 segundos
Preguntas frecuentes sobre SSL