Citrix ADC

Autenticación del servidor

Dado que el dispositivo Citrix ADC realiza descarga y aceleración SSL en nombre de un servidor web, el dispositivo normalmente no autentica el certificado del servidor web. Sin embargo, puede autenticar el servidor en implementaciones que requieren cifrado SSL de extremo a extremo.

En tal situación, el dispositivo se convierte en cliente SSL y lleva a cabo una transacción segura con el servidor SSL. Comprueba que una entidad emisora de certificados cuyo certificado está enlazado al servicio SSL ha firmado el certificado del servidor y comprueba la validez del certificado de servidor.

Para autenticar el servidor, habilite la autenticación del servidor y vincule el certificado de la CA que firmó el certificado del servidor al servicio SSL del dispositivo ADC. Al vincular el certificado, debe especificar el enlace como una opción de CA.

Habilitar (o inhabilitar) la autenticación de certificados de servidor

Puede utilizar la CLI y la GUI para habilitar e inhabilitar la autenticación de certificados del servidor.

Habilitar (o inhabilitar) la autenticación de certificados de servidor mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para habilitar la autenticación de certificados del servidor y verificar la configuración:

set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>
<!--NeedCopy-->

Ejemplo:

set ssl service ssl-service-1 -serverAuth ENABLED
<!--NeedCopy-->
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Habilitar (o inhabilitar) la autenticación de certificados de servidor mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Serviciosy abra un servicio SSL.
  2. En la sección Parámetros SSL, seleccione Habilitar autenticación de servidor y especifique un nombre común.
  3. En Configuración avanzada, seleccione Certificados y vincule un certificado de CA al servicio.

Vincular el certificado de CA al servicio mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para enlazar el certificado de CA al servicio y verificar la configuración:

bind ssl service <serviceName> -certkeyName <string> -CA

show ssl service <serviceName>
<!--NeedCopy-->

Ejemplo:

bind ssl service ssl-service-1 -certkeyName samplecertkey -CA
<!--NeedCopy-->
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      CertKey Name: samplecertkey     CA Certificate          CRLCheck: Optional
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Configurar un nombre común para la autenticación de certificados de servidor

En el cifrado de extremo a extremo con autenticación de servidor habilitada, puede incluir un nombre común en la configuración de un servicio SSL o grupo de servicios. El nombre que especifique se compara con el nombre común en el certificado de servidor durante un protocolo de enlace SSL. Si los dos nombres coinciden, el apretón de manos se realiza correctamente. Si los nombres comunes no coinciden, el nombre común especificado para el servicio o grupo de servicios se compara con los valores del campo Nombre alternativo del sujeto (SAN) del certificado. Si coincide con uno de esos valores, el apretón de manos se realiza correctamente. Esta configuración resulta especialmente útil si hay, por ejemplo, dos servidores detrás de un firewall y uno de los servidores suplantación de identidad del otro. Si el nombre común no está marcado, se acepta un certificado presentado por cualquiera de los servidores si la dirección IP coincide.

Nota: Solo se comparan las entradas DNS de nombre de dominio, URL e ID de correo electrónico en el campo SAN.

Configurar la verificación de nombres comunes para un servicio SSL o grupo de servicios mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para especificar la autenticación del servidor con verificación de nombre común y verificar la configuración:

  1. Para configurar un nombre común en un servicio, escriba:

    set ssl service <serviceName> -commonName <string> -serverAuth ENABLED
    show ssl service <serviceName>
    <!--NeedCopy-->
    
  2. Para configurar un nombre común en un grupo de servicios, escriba:

    set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED
    show ssl serviceGroup <serviceGroupName>
    <!--NeedCopy-->
    

Ejemplo:

> set ssl service svc1 -commonName xyz.com -serverAuth ENABLED
<!--NeedCopy-->
show ssl service svc

     Advanced SSL configuration for Back-end SSL Service svc1:
     DH: DISABLED
     Ephemeral RSA: DISABLED
     Session Reuse: ENABLED Timeout: 300 seconds
     Cipher Redirect: DISABLED
     SSLv2 Redirect: DISABLED
     Server Auth: ENABLED Common Name: www.xyz.com
     SSL Redirect: DISABLED
     Non FIPS Ciphers: DISABLED
     SNI: DISABLED
     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
    1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
    1) Cipher Name: ALL
     Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Configurar la verificación de nombres comunes para un servicio SSL o grupo de servicios mediante la interfaz gráfica de usuario

  1. Vaya a Administración de Tráfico > Equilibrio de carga > Servicios o Vaya a Administración del Tráfico > Equilibrio de carga > Gruposde servicios y abra un servicio o grupo de servicios.
  2. En la sección Parámetros SSL, seleccione Habilitar autenticación de servidor y especifique un nombre común.
Autenticación del servidor