Autenticación del servidor
Dado que el dispositivo Citrix ADC realiza descarga y aceleración SSL en nombre de un servidor web, el dispositivo normalmente no autentica el certificado del servidor web. Sin embargo, puede autenticar el servidor en implementaciones que requieren cifrado SSL de extremo a extremo.
En tal situación, el dispositivo se convierte en cliente SSL y lleva a cabo una transacción segura con el servidor SSL. Comprueba que una entidad emisora de certificados cuyo certificado está enlazado al servicio SSL ha firmado el certificado del servidor y comprueba la validez del certificado de servidor.
Para autenticar el servidor, habilite la autenticación del servidor y vincule el certificado de la CA que firmó el certificado del servidor al servicio SSL del dispositivo ADC. Al vincular el certificado, debe especificar el enlace como una opción de CA.
Habilitar (o inhabilitar) la autenticación de certificados de servidor
Puede utilizar la CLI y la GUI para habilitar e inhabilitar la autenticación de certificados del servidor.
Habilitar (o inhabilitar) la autenticación de certificados de servidor mediante la CLI
En el símbolo del sistema, escriba los siguientes comandos para habilitar la autenticación de certificados del servidor y verificar la configuración:
set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>
Ejemplo:
set ssl service ssl-service-1 -serverAuth ENABLED
show ssl service ssl-service-1
Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
Habilitar (o inhabilitar) la autenticación de certificados de servidor mediante la interfaz gráfica de usuario
- Vaya a Administración del tráfico > Equilibrio de carga > Serviciosy abra un servicio SSL.
- En la sección Parámetros SSL, seleccione Habilitar autenticación de servidor y especifique un nombre común.
- En Configuración avanzada, seleccione Certificados y vincule un certificado de CA al servicio.
Vincular el certificado de CA al servicio mediante la CLI
En el símbolo del sistema, escriba los siguientes comandos para enlazar el certificado de CA al servicio y verificar la configuración:
bind ssl service <serviceName> -certkeyName <string> -CA
show ssl service <serviceName>
Ejemplo:
bind ssl service ssl-service-1 -certkeyName samplecertkey -CA
show ssl service ssl-service-1
Advanced SSL configuration for Back-end SSL Service ssl-service-1:
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: samplecertkey CA Certificate CRLCheck: Optional
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
Configurar un nombre común para la autenticación de certificados de servidor
En el cifrado de extremo a extremo con autenticación de servidor habilitada, puede incluir un nombre común en la configuración de un servicio SSL o grupo de servicios. El nombre que especifique se compara con el nombre común en el certificado de servidor durante un protocolo de enlace SSL. Si los dos nombres coinciden, el apretón de manos se realiza correctamente. Si los nombres comunes no coinciden, el nombre común especificado para el servicio o grupo de servicios se compara con los valores del campo Nombre alternativo del sujeto (SAN) del certificado. Si coincide con uno de esos valores, el apretón de manos se realiza correctamente. Esta configuración resulta especialmente útil si hay, por ejemplo, dos servidores detrás de un firewall y uno de los servidores suplantación de identidad del otro. Si el nombre común no está marcado, se acepta un certificado presentado por cualquiera de los servidores si la dirección IP coincide.
Nota: Solo se comparan las entradas DNS de nombre de dominio, URL e ID de correo electrónico en el campo SAN.
Configurar la verificación de nombres comunes para un servicio SSL o grupo de servicios mediante la CLI
En el símbolo del sistema, escriba los siguientes comandos para especificar la autenticación del servidor con verificación de nombre común y verificar la configuración:
-
Para configurar un nombre común en un servicio, escriba:
set ssl service <serviceName> -commonName <string> -serverAuth ENABLED show ssl service <serviceName> -
Para configurar un nombre común en un grupo de servicios, escriba:
set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED show ssl serviceGroup <serviceGroupName>
Ejemplo:
> set ssl service svc1 -commonName xyz.com -serverAuth ENABLED
show ssl service svc
Advanced SSL configuration for Back-end SSL Service svc1:
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED Common Name: www.xyz.com
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
Configurar la verificación de nombres comunes para un servicio SSL o grupo de servicios mediante la interfaz gráfica de usuario
- Vaya a Administración de Tráfico > Equilibrio de carga > Servicios o Vaya a Administración del Tráfico > Equilibrio de carga > Gruposde servicios y abra un servicio o grupo de servicios.
- En la sección Parámetros SSL, seleccione Habilitar autenticación de servidor y especifique un nombre común.