Citrix ADC

Crear una solicitud de firma de certificados y utilizar certificados SSL en un dispositivo Citrix ADC

Para instalar, vincular y actualizar certificados, consulte Instalar, vincular y actualizar certificados.

Realice los siguientes pasos para crear un certificado y vincularlo a un servidor virtual SSL.

  • Cree una clave privada.
  • Cree una solicitud de firma de certificados (CSR).
  • Enviar la CSR a una entidad emisora de certificados.
  • Cree un par de certificados y claves.
  • Enlazar el par de claves de certificado a un servidor virtual SSL

El siguiente diagrama ilustra el flujo de trabajo.

Flujo de extremo a extremo

Crear una clave privada

La clave privada es la parte más importante de un certificado digital. Por definición, esta clave no se debe compartir con nadie y debe guardarse de forma segura en el dispositivo Citrix ADC. Los datos cifrados con la clave pública solo se pueden descifrar mediante la clave privada.

El certificado que recibe de la entidad emisora de certificados solo es válido con la clave privada que se utilizó para crear la CSR. La clave es necesaria para agregar el certificado al dispositivo Citrix ADC.

Importante: Limite el acceso a su clave privada. Cualquier persona que tenga acceso a su clave privada puede descifrar sus datos SSL.

Nota: La longitud del nombre de clave SSL permitido incluye la longitud del nombre de ruta absoluta si la ruta está incluida en el nombre de la clave.

Crear una clave privada RSA mediante la CLI

En el símbolo del sistema, escriba:

create ssl rsakey <keyFile> <bits> [-exponent ( 3 | F4 )] [-keyform (DER | PEM )] [-des | -des3 | -aes256] {-password } [-pkcs8]
<!--NeedCopy-->

Ejemplo:

create rsakey RSA_Key 2048 -aes256 -password 123456 -pkcs8
<!--NeedCopy-->

Crear una clave privada RSA mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL > Archivos SSL.

  2. En la página Archivos SSL, haga clic en la ficha Claves y seleccione Crear clave RSA.

    Crear clave RSA

  3. Introduzca valores para los siguientes parámetros y haga clic en Crear.

    • Nombre dearchivo clave: Nombre y, opcionalmente, ruta de acceso al archivo de clave RSA. /nsconfig/ssl/ es la ruta predeterminada.
    • Tamaño de clave: Tamaño, en bits, de la clave RSA. Puede variar de 512 bits a 4096 bits.
    • Valor del exponente público: Exponente público de la clave RSA. El exponente forma parte del algoritmo de cifrado y es necesario para crear la clave RSA.
    • Formato de clave: Formato en el que se almacena el archivo de clave RSA en el dispositivo.
    • Algoritmo de codificación PEM - Cifre la clave RSA generada mediante el algoritmo AES 256, DES o Triple-DES (DES3). De forma predeterminada, las claves privadas no están cifradas.
    • Frase de contraseña PEM: Si la clave privada está cifrada, introduzca una frase de paso para la clave.

    Introducir valores

Crear una solicitud de firma de certificado

Utilice la clave privada para crear una solicitud de firma de certificado y enviarla a una entidad emisora de certificados.

Crear una solicitud de firma de certificado mediante la CLI

En el símbolo del sistema, escriba:

create ssl certreq <reqFile> -keyFile <input_filename> | -fipsKeyName <string>) [-keyForm (DER | PEM) {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName <string> -organizationUnitName <string> -localityName <string> -commonName <string> -emailAddress <string> {-challengePassword } -companyName <string> -digestMethod ( SHA1 | SHA256 )
<!--NeedCopy-->

Ejemplo:

create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256
<!--NeedCopy-->

Crear una solicitud de firma de certificado mediante la interfaz gráfica de usuario

  1. Vaya a Administración de Tráfico > SSL.
  2. En la página Archivos SSL, haga clic en la ficha CSR y haga clic en Crear solicitud de firma de certificado (CSR).

    Crear solicitud de firma de certificado

  3. Introduzca valores para los siguientes parámetros.

    • Nombre dearchivo de solicitud: nombre y, opcionalmente, ruta de acceso a la solicitud de firma de certificado (CSR). /nsconfig/ssl/ es la ruta predeterminada.

    • Nombre dearchivo de clave: nombre y, opcionalmente, ruta de acceso a la clave privada utilizada para crear la solicitud de firma de certificado, que luego pasa a formar parte del par de claves de certificado. La clave privada puede ser una clave RSA o una clave ECDSA. La clave debe estar presente en el almacenamiento local del dispositivo. /nsconfig/ssl es la ruta predeterminada.

    • Formato de clave
    • Frase de contraseña PEM (para clave cifrada)
    • Método Digest
    • Nombre de la organización
    • Estado o provincia
    • País
    • Nombre alternativo del sujeto: El nombre alternativo del sujeto (SAN) es una extensión de X.509 que permite asociar varios valores a un certificado de seguridad mediante un campo SubjectAltName. Estos valores se denominan “Nombres alternativos del sujeto” (SAN). Los nombres incluyen:
      • Direcciones IP (prefijo con “IP:” Ejemplo: IP:198.51.10.5 IP:192.0.2.100)
      • Nombres DNS (prefijo con “DNS:” Ejemplo: DNS:www.example.com DNS:www.example.org DNS:www.example.org DNS:www.ejemplo.NET)

      Notas:

      • El campo de nombre alternativo del sujeto (SAN) de un certificado le permite asociar varios valores, como nombres de dominio y direcciones IP, con un único certificado. En otras palabras, puede proteger varios dominios, como www.example.com, www.example1.com, www.example2.com, con un solo certificado.

      • Algunos exploradores, como Google Chrome, ya no admiten un nombre común en una solicitud de firma de certificados (CSR). Imponen SAN en todos los certificados de confianza pública.

    • Nombre común: el nombre que especifique se compara con el nombre común en el certificado del servidor durante un protocolo de enlace SSL. Si los dos nombres coinciden, el apretón de manos se realiza correctamente. Si los nombres comunes no coinciden, el nombre común especificado para el servicio o grupo de servicios se compara con los valores del campo SAN en el certificado. Si coincide con uno de esos valores, el apretón de manos se realiza correctamente. Esta configuración resulta especialmente útil si hay, por ejemplo, dos servidores detrás de un firewall y uno de los servidores suplantación de identidad del otro. Si el nombre común no está marcado, se acepta un certificado presentado por cualquiera de los servidores si la dirección IP coincide.

    Introducir valores para CSR

  4. Haga clic en Crear.

Presentar la RSC a la entidad de certificación

La mayoría de las autoridades certificadoras (CA) aceptan envíos de certificados por correo electrónico. La CA devuelve un certificado válido a la dirección de correo electrónico desde la que envía el CSR.

Agregar un par de claves de certificado

Instale el certificado firmado recibido de la entidad emisora de certificados.

Nota: Los certificados y las claves se almacenan en el directorio /nsconfig/ssl de forma predeterminada. Si los certificados o claves se almacenan en cualquier otra ubicación, debe proporcionar la ruta absoluta de acceso a los archivos en el dispositivo Citrix ADC.

Agregar un par de claves de certificado mediante la CLI

add ssl certKey <certkeyName> -cert <string>[(-key <string> [-password]) | -fipsKey <string>] [-inform ( DER | PEM )] [<passplain>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]]

show ssl certKey [<certkeyName>]
<!--NeedCopy-->

Ejemplo:

add ssl certKey rsa_certkeypair -cert server_cert.pem -key RSA_Key.pem -password ssl -expiryMonitor ENABLED -notificationPeriod 30
 Done
<!--NeedCopy-->

Agregue un par de claves de certificado mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > SSL > Certificados > Servidor.

    Instalar certificado

  2. Introduzca los valores de los siguientes parámetros y haga clic en Instalar.

    • Nombre del par de claves de certificado: Nombre del par de certificados y de claves privadas.

    • Nombre de archivo de certificado: certificado firmado recibido de la entidad de certificación.

    • Nombre de archivo de clave: Nombre y, opcionalmente, ruta de acceso al archivo de clave privada que se utiliza para formar el par de certificados y claves.

    valores de tipo

Enlazar el par de claves de certificado a un servidor virtual SSL

Importante: Vincule los certificados intermedios a este certificado antes de vincularlo a un servidor virtual SSL. Para obtener información sobre la vinculación de certificados, consulte Creación de una cadena de certificados.

El certificado que se utiliza para procesar transacciones SSL debe estar enlazado al servidor virtual que recibe los datos SSL. Si tiene varios servidores virtuales que reciben datos SSL, se debe vincular un par de claves de certificado válido a cada uno de ellos.

Enlazar un par de claves de certificado SSL a un servidor virtual mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para enlazar un par de claves de certificado SSL a un servidor virtual y compruebe la configuración:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName> -CA -skipCAName
show ssl vserver <vServerName>
<!--NeedCopy-->

Ejemplo:

bind ssl vs vs1 -certkeyName cert2 -CA -skipCAName
 Done
sh ssl vs vs1

 Advanced SSL configuration for VServer vs1:

 DH: DISABLED

 Ephemeral RSA: ENABLED Refresh Count: 0

 Session Reuse: ENABLED Timeout: 120 seconds

 Cipher Redirect: DISABLED

 SSLv2 Redirect: DISABLED

 ClearText Port: 0

 Client Auth: DISABLED

 SSL Redirect: DISABLED

 Non FIPS Ciphers: DISABLED

 SNI: DISABLED

 OCSP Stapling: DISABLED

 HSTS: DISABLED

 IncludeSubDomains: NO

 HSTS Max-Age: 0

 SSLv2: DISABLED SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED

 Push Encryption Trigger: Always

 Send Close-Notify: YES

 Strict Sig-Digest Check: DISABLED

ECC Curve: P_256, P_384, P_224, P_521

 1) CertKey Name: cert1 CA Certificate OCSPCheck: Optional CA_Name Sent
 2) CertKey Name: cert2 CA Certificate OCSPCheck: Optional CA_Name Skipped
 1) Cipher Name: DEFAULT

Description: Default cipher list with encryption strength >= 128bit
Done
<!--NeedCopy-->

Enlazar un par de claves de certificado SSL a un servidor virtual mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales y abra un servidor virtual SSL. Haga clic dentro de la sección Certificado.

    Vincular certificado a servidor virtual

  2. Haga clic en la flecha para seleccionar el par de tecla-certificado.

    Haga clic en la flecha para seleccionar el par de certificados y claves

  3. Seleccione el par de certificados y claves de la lista.

    Seleccionar par de certificados y claves

  4. Enlazar el par de claves de certificado al servidor virtual.

    Enlazar el certificado al servidor virtual

Solucionar problemas

A continuación se presentan los dos casos de error comunes con el enlace a los artículos de solución respectivos.

Crear una solicitud de firma de certificados y utilizar certificados SSL en un dispositivo Citrix ADC