-
-
-
Configuración de Citrix ADC para Citrix Virtual Apps and Desktops
-
Preferencia de zona alimentada de Equilibrio de carga de servidor global (GSLB)
-
Implemente una plataforma de publicidad digital en AWS con Citrix ADC
-
Mejorar el análisis de Clickstream en AWS mediante Citrix ADC
-
Citrix ADC en una nube privada administrada por Microsoft Windows Azure Pack y Cisco ACI
-
-
Implementar una instancia de Citrix ADC VPX
-
Instalar una instancia de Citrix ADC VPX en un servidor desnudo
-
Instalar una instancia de Citrix ADC VPX en Citrix Hypervisor
-
Instalar una instancia de Citrix ADC VPX en la nube de VMware en AWS
-
Instalar una instancia de Citrix ADC VPX en servidores Microsoft Hyper-V
-
Instalar una instancia de Citrix ADC VPX en la plataforma Linux-KVM
-
Requisitos previos para instalar dispositivos virtuales Citrix ADC VPX en la plataforma Linux-KVM
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante OpenStack
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante Virtual Machine Manager
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red SR-IOV
-
Configuración de Citrix ADC Virtual Appliances para utilizar la interfaz de red PCI Passthrough
-
Aprovisionamiento de Citrix ADC Virtual Appliance mediante el programa virsh
-
Aprovisionamiento de Citrix ADC Virtual Appliance con SR-IOV, en OpenStack
-
-
Implementar una instancia de Citrix ADC VPX en AWS
-
Implementar una instancia independiente de Citrix ADC VPX en AWS
-
Servidores de equilibrio de carga en diferentes zonas de disponibilidad
-
Implementar un par de alta disponibilidad VPX con direcciones IP privadas en diferentes zonas de AWS
-
Agregar el servicio de escalado automático de AWS de back-end
-
Configurar una instancia de Citrix ADC VPX para utilizar la interfaz de red SR-IOV
-
Configurar una instancia de Citrix ADC VPX para utilizar redes mejoradas con AWS ENA
-
Implementar una instancia de Citrix ADC VPX en Microsoft Azure
-
Arquitectura de red para instancias de Citrix ADC VPX en Microsoft Azure
-
Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX
-
Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC
-
Configurar una instancia de Citrix ADC VPX para usar redes aceleradas de Azure
-
Configurar nodos HA-INC mediante la plantilla de alta disponibilidad de Citrix con ILB de Azure
-
Configurar GSLB en una configuración de alta disponibilidad en espera activa
-
Configurar grupos de direcciones (IIP) para un dispositivo Citrix Gateway
-
Scripts de PowerShell adicionales para la implementación de Azure
-
Implementar una instancia de Citrix ADC VPX en Google Cloud Platform
-
Automatizar la implementación y las configuraciones de Citrix ADC
-
Soluciones para proveedores de servicios de telecomunicaciones
-
Tráfico de plano de control de equilibrio de carga basado en los protocolos de diameter, SIP y SMPP
-
Utilización del ancho de banda mediante la funcionalidad de redirección de caché
-
Optimización TCP de Citrix ADC
-
Autenticación, autorización y auditoría del tráfico de aplicaciones
-
Cómo funciona la autenticación, la autorización y la auditoría
-
Componentes básicos de configuración de autenticación, autorización y auditoría
-
Autorizar el acceso de usuario a los recursos de la aplicación
-
Citrix ADC como proxy del servicio de federación de Active Directory
-
Citrix Gateway local como proveedor de identidades para Citrix Cloud
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Configuración de autenticación, autorización y auditoría para protocolos de uso común
-
Solucionar problemas relacionados con la autenticación y la autorización
-
-
-
-
Configuración de la expresión de directiva avanzada: Introducción
-
Expresiones de directiva avanzadas: Trabajar con fechas, horas y números
-
Expresiones de directiva avanzadas: Análisis de datos HTTP, TCP y UDP
-
Expresiones de directiva avanzadas: Análisis de certificados SSL
-
Expresiones de directivas avanzadas: Direcciones IP y MAC, rendimiento, ID de VLAN
-
Expresiones de directiva avanzadas: Funciones de análisis de flujo
-
Ejemplos de resumen de expresiones y directivas de sintaxis predeterminadas
-
Ejemplos de tutoriales de directivas de sintaxis predeterminadas para reescribir
-
Migración de las reglas mod_rewrite de Apache a la sintaxis predeterminada
-
-
-
-
Traducir la dirección IP de destino de una solicitud a la dirección IP de origen
-
-
Compatibilidad con la configuración de Citrix ADC en un clúster
-
-
Administración del clúster de Citrix ADC
-
Grupos de nodos para configuraciones manchadas y parcialmente rayadas
-
Desactivación de la dirección en el plano anterior del clúster
-
Quitar un nodo de un clúster implementado mediante la agregación de vínculos de clúster
-
Supervisión de la configuración del clúster mediante SNMP MIB con enlace SNMP
-
Supervisión de errores de propagación de comandos en una implementación de clúster
-
Compatibilidad con logotipos listos para IPv6 para clústeres
-
Enlace de interfaz VRRP en un clúster activo de un solo nodo
-
Casos de configuración y uso del clúster
-
Migración de una configuración de alta disponibilidad a una configuración de clúster
-
Interfaces comunes para cliente y servidor e interfaces dedicadas para plano anterior
-
Conmutador común para cliente y servidor y conmutador dedicado para plano anterior
-
Servicios de supervisión en un clúster mediante supervisión de rutas
-
Copia de seguridad y restauración de la configuración del clúster
-
-
-
Caso de uso 1: Configurar DataStream para una arquitectura de base de datos primaria/secundaria
-
Caso de uso 2: Configurar el método de token de equilibrio de carga para DataStream
-
Caso de uso 3: Registrar transacciones MSSQL en modo transparente
-
Caso de uso 4: Equilibrio de carga específico de base de datos
-
-
Configurar Citrix ADC como un solucionador de stub-aware no validador de seguridad
-
Soporte de tramas jumbo para DNS para manejar respuestas de tamaños grandes
-
Configurar el almacenamiento en caché negativo de registros DNS
-
Equilibrio de carga global del servidor
-
Configurar entidades GSLB individualmente
-
Caso de uso: Implementación de un grupo de servicios de escalado automático basado en direcciones IP
-
-
Estado de servicio y servidor virtual de equilibrio de carga
-
Insertar atributos de cookie a las cookies generadas por ADC
-
Proteger una configuración de equilibrio de carga contra fallos
-
Administrar el tráfico del cliente
-
Configurar servidores virtuales de equilibrio de carga sin sesión
-
Reescritura de puertos y protocolos para la redirección HTTP
-
Insertar la dirección IP y el puerto de un servidor virtual en el encabezado de solicitud
-
Usar una IP de origen especificada para la comunicación de back-end
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Administrar el tráfico del cliente sobre la base de la tasa de tráfico
-
Usar un puerto de origen de un intervalo de puertos especificado para la comunicación de back-end
-
Configurar la persistencia de IP de origen para la comunicación de back-end
-
-
Configuración avanzada de equilibrio de carga
-
Incremente gradualmente la carga en un nuevo servicio con inicio lento a nivel de servidor virtual
-
Proteja las aplicaciones en servidores protegidos contra sobretensiones de tráfico
-
Habilitar la limpieza de las conexiones de servidor virtual y servicio
-
Habilitar o inhabilitar la sesión de persistencia en los servicios TROFS
-
Habilitar la comprobación externa del estado de TCP para servidores virtuales UDP
-
Mantener la conexión de cliente para varias solicitudes de cliente
-
Inserte la dirección IP del cliente en el encabezado de solicitud
-
Usar la dirección IP de origen del cliente al conectarse al servidor
-
Configurar el puerto de origen para las conexiones del lado del servidor
-
Establecer un límite en el número de solicitudes por conexión al servidor
-
Establecer un valor de umbral para los monitores enlazados a un servicio
-
Establecer un valor de tiempo de espera para las conexiones de cliente inactivas
-
Establecer un valor de tiempo de espera para las conexiones de servidor inactivas
-
Establecer un límite en el uso del ancho de banda por parte de los clientes
-
Conservar el identificador de VLAN para la transparencia de VLAN
-
-
Configurar monitores en una configuración de equilibrio de carga
-
Configurar el equilibrio de carga para los protocolos de uso común
-
Caso de uso 3: Configurar el equilibrio de carga en el modo de retorno directo del servidor
-
Caso de uso 6: Configurar el equilibrio de carga en modo DSR para redes IPv6 mediante el campo TOS
-
Caso de uso 7: Configurar el equilibrio de carga en modo DSR mediante IP sobre IP
-
Caso de uso 8: Configurar el equilibrio de carga en modo de un brazo
-
Caso de uso 9: Configurar el equilibrio de carga en el modo en línea
-
Caso de uso 10: Equilibrio de carga de servidores del sistema de detección de intrusiones
-
Caso de uso 11: Aislamiento del tráfico de red mediante directivas de escucha
-
Caso de uso 12: Configurar XenDesktop para el equilibrio de carga
-
Caso de uso 13: Configurar XenApp para el equilibrio de carga
-
Caso de uso 14: Asistente para ShareFile para equilibrio de carga Citrix ShareFile
-
-
-
Compatibilidad con el protocolo TLSv1.3 tal como se define en RFC 8446
-
Tabla compatibilidad con certificados de servidor en el dispositivo ADC
-
Compatibilidad con plataformas basadas en chips Intel Coleto SSL
-
Soporte para el módulo de seguridad de hardware de red Gemalto SafeNet
-
Compatibilidad con Azure Key Vault
-
-
-
-
-
Configuración de un túnel de conector de CloudBridge entre dos centros de datos
-
Configuración de CloudBridge Connector entre Datacenter y AWS Cloud
-
Configuración de un túnel de conector de CloudBridge entre un centro de datos y Azure Cloud
-
Configuración de CloudBridge Connector Tunnel entre Datacenter y SoftLayer Enterprise Cloud
-
Diagnóstico y solución de problemas del túnel del conector de CloudBridge
-
-
Puntos a tener en cuenta para una configuración de alta disponibilidad
-
Sincronizar archivos de configuración en una configuración de alta disponibilidad
-
Restricción del tráfico de sincronización de alta disponibilidad a una VLAN
-
Configuración de nodos de alta disponibilidad en diferentes subredes
-
Limitación de fallas causadas por monitores de ruta en modo no INC
-
Configuración del conjunto de interfaces de conmutación por error
-
Descripción del cálculo de comprobación de estado de alta disponibilidad
-
Administración de mensajes de latido de alta disponibilidad en un dispositivo Citrix ADC
-
Quitar y reemplazar un dispositivo Citrix ADC en una instalación de alta disponibilidad
-
Gracias por sus comentarios.
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Compatibilidad con Azure Key Vault
El dispositivo Citrix ADC se integra con HSM externos (SafeNet y Thales) para implementaciones locales. Para implementaciones en la nube, el dispositivo ADC se integra con Azure Key Vault. El dispositivo almacena sus claves privadas en el almacén de claves para facilitar la administración y la seguridad de la clave privada en el dominio de la nube pública. Ya no es necesario almacenar y administrar claves en diferentes ubicaciones para dispositivos ADC implementados en varios centros de datos y proveedores de nube.
El uso de ADC con la capa de precios Premium de Azure Key Vault, que proporcionó claves reservadas por HSM, proporciona cumplimiento FIPS 140-2 de nivel 2.
Azure Key Vault es una oferta estándar de Microsoft. Para obtener más información acerca de Azure Key Vault, consulte la documentación de Microsoft Azure.
Nota: La integración de Citrix ADC con Azure Key Vault es compatible con el protocolo TLS 1.3.
Descripción de la arquitectura
Azure Key Vault es un servicio para almacenar secretos de forma segura en la nube de Azure. Al almacenar las claves en Azure Key Vault, se reducen las posibilidades de que se roben las claves. Una vez que el almacén de claves esté configurado, puede almacenar sus claves en él. Configure los servidores virtuales en el dispositivo ADC para realizar operaciones de clave privada en el almacén de claves. El dispositivo ADC tiene acceso a la clave de cada protocolo de enlace SSL.
El siguiente diagrama ilustra el proceso para obtener un token de acceso de Azure Active Directory después de la autenticación. Este token se usa con llamadas de API REST para operaciones de cifrado mediante claves privadas.
El siguiente diagrama muestra un protocolo de enlace RSA típico. El mensaje de intercambio de claves de cliente (CKE) cifrado mediante la clave pública se descifra mediante la clave privada almacenada en Key Vault.
En un protocolo de enlace ECDHE, el mensaje de intercambio de claves de servidor (SKE) enviado por el dispositivo Citrix ADC se firma mediante la clave privada almacenada en el almacén de claves.
Requisitos previos
-
Debe tener una suscripción a Azure.
-
(Opcional) Instale Azure CLI en una máquina Linux. Para obtener instrucciones, consulte la documentación de Azure https://docs.microsoft.com/en-us/cli/azure/install-azure-cli-apt?view=azure-cli-latest.
-
Complete la configuración en el portal de Azure antes de configurar entidades en el dispositivo ADC.
Configurar la integración de ADC Azure Key Vault
En primer lugar, realice la configuración en Azure Portal seguido de la configuración en el dispositivo ADC.
Realice los siguientes pasos en el portal de Azure
El siguiente diagrama de flujo muestra el flujo de alto nivel para la configuración requerida en el portal de Azure.
- Cree la aplicación y la entidad de servicio en Azure Active Directory.
- Cree Key Vault en un grupo de recursos.
- Configure la aplicación y la entidad de servicio para realizar operaciones de firma y descifrado en Key Vault.
-
Cree claves en Key Vault mediante una de las siguientes formas:
- Importando un archivo de clave.
- Generando un certificado.
Para obtener información acerca de los comandos para configurar los pasos anteriores, consulte la documentación de Azure en https://docs.microsoft.com/en-us/azure/active-directory/develop/app-objects-and-service-principals.
Realice los siguientes pasos en el dispositivo ADC
El siguiente diagrama de flujo muestra el flujo de alto nivel para la configuración requerida en el dispositivo ADC.
- Configure un servidor DNS.
- Configure los certificados raíz para verificar los certificados presentados por Azure.
- Cree una aplicación de Azure.
- Crear entidad de Azure Key Vault.
- Cree una clave HSM.
- Cree un par de certificados y claves.
- Enlazar el par de claves de certificado a un servidor virtual.
Configurar un servidor DNS
Se requiere un servidor DNS para la resolución de nombres del host de Key Vault y el punto final de Azure Active Directory.
Para configurar un servidor DNS mediante la CLI
En el símbolo del sistema, escriba:
add dns nameserver <IP address>
Ejemplo:
add dns nameserver 192.0.2.150
Para configurar un servidor DNS mediante la interfaz gráfica de usuario
-
Vaya a Administración del tráfico > DNS > Servidores de nombres. Haga clic en Agregar.
- Introduzca valores para los siguientes parámetros:
- Dirección IP: Dirección IP de un servidor de nombres externo o, si se establece el parámetro Local, dirección IP de un servidor DNS local (LDNS).
- Protocolo: Protocolo utilizado por el servidor de nombres. UDP_TCP no es válido si el servidor de nombres es un servidor virtual DNS configurado en el dispositivo.
- Haga clic en Crear.
Agregar y vincular un certificado raíz
Descargue los certificados raíz del certificado presentado por Azure Key Vault https://<vault_name>.vault.azure.net y Azure Active Directory (AAD) https://login.microsoftonline.com y cárguelos en el dispositivo ADC. Estos certificados son necesarios para validar el certificado presentado por Azure Key Vault y AAD. Enlazar uno o más certificados al grupo de certificados de CA ns_callout_certs.
Para agregar un certificado raíz mediante la CLI
En el símbolo del sistema, escriba:
add ssl certkey <certkeyname> -cert <certname>
bind ssl caCertGroup <caCertGroupName> <certkeyName>
Ejemplo: En el ejemplo siguiente, el certificado raíz presentado por Azure Key Vault y AAD es el mismo.
add ssl certKey rootcert -cert RootCyberTrustRoot.crt
bind ssl cacertGroup ns_callout_certs rootcert
Para agregar un certificado raíz mediante la interfaz gráfica de usuario
-
Vaya a Administración del tráfico > SSL > Certificados > Certificados de CA.
- Introduzca valores para los siguientes parámetros:
- Nombre del par de claves de certificado
- Nombre de archivo de certificado
-
Haga clic en Instalar.
-
Vaya a Administración de tráfico > SSL > Grupo de certificados de CA.
-
Seleccione ns_callout_certs y haga clic en Mostrar enlaces.
-
Haga clic en Bind.
-
Seleccione el certificado de CA creado anteriormente y haga clic en Seleccionar.
- Haga clic en Vincular y, a continuación, haga clic en Cerrar.
Configurar una aplicación de Azure
La entidad de aplicación de Azure contiene las credenciales necesarias para autenticarse en Azure Active Directory y obtener el token de acceso. Es decir, para obtener acceso de autorización a los recursos y API de Key Vault, agregue el ID de aplicación de Azure, el secreto (contraseña) y el ID de arrendatario en el dispositivo ADC.
Al configurar la entidad de aplicación de Azure mediante la CLI, debe introducir la contraseña. Si utiliza la GUI, la entidad de aplicación de Azure contiene las credenciales necesarias para autenticarse en Azure Active Directory y obtener el token de acceso.
Para configurar una aplicación de Azure mediante la CLI
Desde la versión 13.0-61.x, se agrega un parámetro, VaultResource, al add azure application comando para obtener el dominio del grupo de recursos antes de conceder el token de acceso a la aplicación. Este parámetro se agrega porque el nombre de dominio puede ser diferente para diferentes regiones. Por ejemplo, el dominio puede ser vault.azure.net o vault.usgov.net.
En el símbolo del sistema, escriba:
add azure application <name> -clientID <string> -clientSecret -tenantID <string> -vaultResource <string> [-tokenEndpoint <URL>]
show azure application
Ejemplo:
add azure application app10 -clientiD 12345t23aaa5 -clientsecret csHzOoEzmuY= -vaultResource example.vault.azure.net -tenantID 33583ee9ca5b
Done
> sh azure application app10
1) Name: app10 ClientID: 12345t23aaa5
TokenEndpoint: "https://login.microsoftonline.com/33583ee9ca5b/"
TenantID: 33583ee9ca5b VaultResource: example.vault.azure.net
Done
Para configurar una aplicación de Azure mediante la interfaz gráfica de usuario
-
Vaya a Administración de tráfico > SSL > Azure > Aplicación.
-
En el panel de detalles, haga clic en Agregar.
-
Introduzca valores para los siguientes parámetros:
- Nombre: Nombre del objeto de aplicación en el dispositivo Citrix ADC.
- ID de cliente: ID de aplicación que se genera cuando se crea una aplicación en Azure Active Directory mediante la CLI de Azure o el portal de Azure (GUI).
- Secreto de cliente: Contraseña para la aplicación configurada en Azure Active Directory. La contraseña se especifica en la CLI de Azure o se genera en el portal de Azure (GUI).
- ID de arrendatario: ID del directorio dentro de Azure Active Directory en el que se creó la aplicación.
- Recurso de Vault: Recurso de Vault para el que se concede el token de acceso. Ejemplo
vault.azure.net. - Punto final del token: URL desde donde se puede obtener el token de acceso. Si no se especifica el punto final del token, el valor predeterminado es
https://login.microsoftonline.com/<tenant id>.
Configurar el almacén de claves de Azure
Cree un objeto de Azure Key Vault en el dispositivo ADC.
Para configurar Azure Key Vault mediante la CLI
En el símbolo del sistema, escriba:
add azure keyVault <name> -azureVaultName <string> -azureApplication
<string>
show azure keyvault
Ejemplo:
add azure keyvault kv1 -azureapplication app10 -azurevaultName pctest.vault.azure.net
> sh azure keyVault
1) Name: kv1 AzureVaultName: pctest.vault.azure.net
AzureApplication: app10 State: "Access token obtained"
Done
En la tabla siguiente se enumeran los diferentes valores que puede tomar el estado de Azure Key Vault junto con una breve descripción de cada estado.
| Estado | Descripción |
|---|---|
Created |
Estado inicial del objeto Key Vault. No se ha intentado la autenticación. |
Could not reach token end point |
Indica una de las siguientes opciones: Servidor DNS no configurado, certificado emisor no enlazado a un grupo de certificados de CA o problemas de red. |
Authorization failed |
Credenciales de aplicación incorrectas. |
Token parse error |
La respuesta de Azure Active Directory no está en el formato esperado. |
Access token obtained |
Autenticado correctamente por Azure Active Directory. |
Para configurar Azure Key Vault mediante la GUI
-
Vaya a Administración de tráfico > SSL > Azure > Almacén de claves.
-
Introduzca valores para los siguientes parámetros:
- Nombre: Nombre del almacén de claves.
- Nombre de almacén de claves de Azure: Nombre del almacén de claves configurado en la nube de Azure mediante la CLI de Azure o el portal de Azure (GUI) con nombre de dominio.
- Nombre de aplicación de Azure: Nombre del objeto de aplicación de Azure creado en el dispositivo ADC. El objeto Application de Azure con este nombre se utiliza para la autenticación con Azure Active Directory.
Agregar clave HSM
El almacenamiento de su clave privada en el HSM proporciona el cumplimiento de FIPS 140-2 nivel 2.
Para agregar una clave HSM mediante la CLI
En el símbolo del sistema, escriba:
add ssl hsmKey <hsmKeyName> [-hsmType <hsmType>] [-key <string> |
-serialNum <string>] {-password } [-keystore <string>]
Ejemplo:
add ssl hsmKey h1 -keystore kv1 -key san15key -hsmType KEYVAULT
> sh ssl hsmKey h1
HSM Key Name: h1 Type: KEYVAULT
Key: san15key
Key store: kv1
State: “Created”
Done
En la siguiente tabla se enumeran los diferentes valores que puede tomar el estado de una clave HSM junto con una breve descripción de cada estado.
| Estado | Descripción |
|---|---|
| Created | La clave HSM se agrega en el dispositivo ADC. Aún no se ha intentado realizar una operación clave. |
| Token de acceso no disponible | El token de acceso no está disponible cuando se intentó la operación de clave. |
| No autorizado | La aplicación de Azure configurada no tiene permiso para realizar la operación de clave. |
| No existe | La clave no existe en Azure Key Vault. |
| Inalcanzable | El host de Key Vault no es accesible en la red. |
| Marcado hacia abajo | La clave HSM se marca como DOWN en el dispositivo ADC debido a errores de umbral durante el funcionamiento de la clave. |
| Operaciones clave correctas | Respuesta correcta recibida del almacén de claves para la operación de claves. |
| Error en las operaciones clave | Respuesta de error recibida de Key Vault para la operación de clave. |
| Funcionamiento de la llave con regulación | La solicitud de operación de clave se limita por Key Vault. |
Para agregar una clave HSM mediante la interfaz gráfica de usuario
-
Vaya a Administración de tráfico > SSL > HSM.
-
Introduzca valores para los siguientes parámetros.
- Nombre de clave HSM: Nombre de la clave.
- Tipo de HSM: Tipo de HSM.
- Almacén de claves: Nombre del objeto de almacén de claves que representa HSM donde se almacena la clave. Por ejemplo, nombre del objeto Key Vault o del objeto de autenticación de Azure Key Vault. Solo se aplica al tipo HSM
KEYVAULT.
-
Haga clic en Agregar
Agregar un par de claves de certificado
Agregue un par de claves de certificado mediante la clave HSM creada anteriormente.
Para agregar un par de claves de certificado mediante la CLI
En el símbolo del sistema, escriba:
add ssl certKey <certkeyName> (-cert <string> [-password]) -hsmKey <string>]
show ssl certkey
Ejemplo:
add ssl certKey serverrsa_2048 -cert /nsconfig/ssl/san_certs/san15.pem -hsmKey h1
> sh ssl certkey serverrsa_2048
Name: serverrsa_2048 Status: Valid, Days to expiration:9483
Version: 3
Serial Number: F5CFF9EF1E246022
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=in,O=citrix,CN=ca
Validity
Not Before: Mar 20 05:42:57 2015 GMT
Not After : Mar 12 05:42:57 2045 GMT
Certificate Type: "Server Certificate"
Subject: C=in,O=citrix
Public Key Algorithm: rsaEncryption
Public Key size: 2048
Ocsp Response Status: NONE
Done
Para agregar un par de claves de certificado mediante la interfaz gráfica de usuario
-
Vaya a Administración del tráfico > SSL > Instalar certificado (HSM).
-
Introduzca valores para los siguientes parámetros:
- Nombre del par de claves de certificado
- Nombre de archivo de certificado
- Clave HSM
-
Haga clic en Instalar.
Enlazar el par de claves de certificado a un servidor virtual
El certificado utilizado para procesar transacciones SSL debe estar enlazado al servidor virtual que recibe los datos SSL.
Para enlazar el par de certificados SSL con un servidor virtual mediante la CLI
En el símbolo del sistema, escriba:
bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
show ssl vserver <vServerName>
Ejemplo:
bind ssl vserver v1 -certkeyName serverrsa_2048
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
HSTS Preload: NO
SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED TLSv1.3: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
Strict Sig-Digest Check: DISABLED
Zero RTT Early Data: DISABLED
DHE Key Exchange With PSK: NO
Tickets Per Authentication Context: 1
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: serverrsa_2048 Server Certificate
1) Cipher Name: DEFAULT
Description: Default cipher list with encryption strength >= 128bit
Done
Para enlazar un par de claves de certificado SSL a un servidor virtual mediante la interfaz gráfica de usuario
-
Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales y abra un servidor virtual SSL. Haga clic dentro de la sección Certificado.
-
Haga clic en la flecha para seleccionar el par de tecla-certificado.
-
Seleccione el par de certificados y claves de la lista.
-
Enlazar el par de claves de certificado al servidor virtual.
Limitaciones
- El número de llamadas simultáneas a Azure Key Vault para operaciones de claves es limitado. El rendimiento del dispositivo ADC depende de los límites de Key Vault. Para obtener más información, consulte Documentación de Microsoft Azure Key Vault.
- Las claves EC no son compatibles.
- Los protocolos EDT y DTLS no son compatibles.
- Los dispositivos ADC con chips Intel Coleto SSL no son compatibles.
- Las particiones de administración y clústeres no son compatibles.
- No puede actualizar la entidad de aplicación de Azure, el objeto Azure Key Vault y el par de claves de certificado HSM después de haberlos agregado al dispositivo ADC.
Preguntas frecuentes
Cuando se integran con Azure Key Vault, ¿se almacenan las claves privadas en la memoria del dispositivo ADC?
No, las claves privadas no se almacenan en la memoria del dispositivo ADC. Para cada transacción SSL, el dispositivo envía una solicitud a Key Vault.
¿Cumple la integración FIPS 140-2 nivel 2?
Sí, la solución integrada proporciona soporte FIPS 140-2 Nivel 2.
¿Qué tipos de claves son compatibles?
Solo se admiten los tipos de claves RSA.
¿Qué tamaños de clave son compatibles?
Se admiten claves RSA de 1024 bits, 2048 bits y 4096 bits.
¿Qué cifrados son compatibles?
Se admiten todos los cifrados admitidos en el dispositivo ADC, incluidos los cifrados TLSv1.3 con ECDHE y SHA256.
¿Se registran las transacciones?
El dispositivo ADC registra cada transacción que realiza con Key Vault. Se registran detalles como la hora, la dirección IP del almacén, el puerto, el éxito o el error de la conexión y los errores. A continuación se muestra una salida de registro SSL de ejemplo.
Apr 9 16:35:30 <local0.debug> 10.102.57.30 04/09/2019:16:35:30 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUCCESS 896 0 : Backend SPCBId 30894 - ServerIP 104.211.224.186 - ServerPort 443 - ProtocolVersion TLSv1.2 - CipherSuite "ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Non-Export 256-bit" - Session New - SERVER_AUTHENTICATED -SerialNumber "200005A75B04365827852D630000000005A75B" - SignatureAlgorithm "sha256WithRSAEncryption" - ValidFrom "Mar 17 03:28:42 2019 GMT" - ValidTo "Mar 17 03:28:42 2021 GMT" - HandshakeTime 40 ms Apr 9 16:35:30 <local0.debug> 10.102.57.30 04/09/2019:16:35:30 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_ISSUERNAME 897 0 : SPCBId 30894 - IssuerName " C=US,ST=Washington,L=Redmond,O=Microsoft Corporation,OU=Microsoft IT,CN=Microsoft IT TLS CA 2" Apr 9 16:35:30 <local0.debug> 10.102.57.30 04/09/2019:16:35:30 GMT 0-PPE-0 : default SSLLOG SSL_HANDSHAKE_SUBJECTNAME 898 0 : SPCBId 30894 - SubjectName " CN=vault.azure.net"
Gracias por sus comentarios.
Compartir
Compartir
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.