Citrix SD-WAN

Autenticación con certificados

Citrix SD-WAN garantiza que se establezcan rutas seguras entre los dispositivos de la red SD-WAN mediante técnicas de seguridad como el cifrado de red y los túneles IPSec de ruta virtual. Además de las medidas de seguridad existentes, la autenticación basada en certificados se introduce en Citrix SD-WAN 11.0.2.

La autenticación de certificados permite a las organizaciones utilizar certificados emitidos por su entidad emisora de certificados (CA) privada para autenticar dispositivos. Los dispositivos se autentican antes de establecer las rutas virtuales. Por ejemplo, si un dispositivo de sucursal intenta conectarse al centro de datos y el certificado de la sucursal no coincide con el certificado que espera el centro de datos, no se establece la ruta de acceso virtual.

El certificado emitido por la CA vincula una clave pública al nombre del dispositivo. La clave pública funciona con la clave privada correspondiente que posee el dispositivo identificado por el certificado.

Nota

En la versión actual, los certificados de CA deben cargarse manualmente en todos los dispositivos de la red. La versión futura incluirá la distribución automática de los certificados de red.

Para habilitar la autenticación del dispositivo, en el editor de configuración, vaya a Global > Network Settings (Configuración de red ) y seleccione Habilitar autenticación del dispositivo.

Habilitar la autenticación del dispositivo

Una vez finalizada y aplicada la configuración, aparece una nueva opción de autenticación de certificado en Configuración > WAN virtual.

Puede administrar todos los certificados utilizados para la autenticación de rutas virtuales desde la página Autenticación de certificados.

Autenticación con certificados

Certificado instalado

La sección Certificado instalado proporciona un resumen del certificado que está instalado en el dispositivo. El dispositivo utiliza este certificado para identificarse en la red.

La sección Emitido a proporciona detalles sobre a quién se le ha enviado el certificado. El nombre común del certificado coincide con el nombre del dispositivo, ya que el certificado está enlazado al nombre del dispositivo. La sección Emisor proporciona los detalles de la autoridad de firma de certificados, que firmó el certificado. Los detalles del certificado incluyen la huella digital del certificado, el número de serie y el período de validez del certificado.

Certificado instalado

Cargar paquete de identidad

El paquete Identity incluye una clave privada y el certificado asociado a la clave privada. Puede cargar el certificado de dispositivo emitido por la CA en el dispositivo. El paquete de certificados es un archivo PKCS 12, con extensión.p12. Puede elegir protegerlo con una contraseña. Si deja el campo de contraseña en blanco, se tratará como sin protección con contraseña.

Cargar paquete de identidad

Cargar paquete de entidad de certificación

Cargue el paquete PKCS 12 que corresponde a la autoridad de firma de certificados. El paquete de la entidad emisora de certificados incluye la cadena completa de firmas, la raíz y toda la autoridad signataria intermedia.

Subir paquete de ca

Cargar certificados de red

Cargue todos los certificados de red concatenados juntos en un solo archivo.PEM. Los certificados de red deben cargarse en cada uno de los dispositivos de la red. Cuando un sitio inicia una conexión de ruta virtual, se envía al respondedor un mensaje que incluye su certificado. El respondedor comprueba el certificado del iniciador con el archivo PEM de certificados de red. Si el certificado del iniciador coincide con un certificado de la base de datos, se establece la conexión de ruta virtual.

Nota

En la versión actual, los certificados de CA deben cargarse manualmente en todos los dispositivos de la red. La versión futura incluirá la distribución automática de los certificados de red.

Cargar certificados de red

Crear solicitud de firma de certificación

El dispositivo puede generar un certificado sin firmar y crear una solicitud de firma de certificado (CSR). A continuación, la entidad emisora de certificados puede descargar la CSR desde el dispositivo, firmarla y cargarla de nuevo en el dispositivo en formatos PEM o DER. Se utiliza como certificado de identidad para el dispositivo. Para crear una CSR para un dispositivo, proporcione el nombre común del dispositivo, los detalles de la organización y la dirección.

Solicitud de firma de certificados

Administrador de listas de revocación de certificados

Una lista de revocación de certificados (CRL) es una lista publicada de números de serie de certificados que ya no son válidos en la red. El archivo CRL se descarga periódicamente y se almacena localmente en todo el dispositivo. Cuando se autentica un certificado, el respondedor examina la CRL para ver si el certificado de iniciadores ya se revocó. Citrix SD-WAN admite actualmente CRL de la versión 1 en formato PEM y DER.

Para habilitar CRL, seleccione la opción CRL habilitada. Proporcione la ubicación en la que se mantiene el archivo CRL. Las ubicaciones HTTP, HTTPS y FTP son compatibles. Especifique el intervalo de tiempo para comprobar y descargar el archivo CRL, el intervalo es de 1 a 1440 minutos.

Lista de revocación de certificados

Nota

El período de reautenticación para una ruta de acceso virtua1 puede ser de 10 a 15 minutos, si el intervalo de actualización de CRL se establece en una duración más corta, la lista de CRL actualizada puede incluir un número de serie activo actualmente. Hacer que un certificado revocado activamente esté disponible en la red durante un corto período de tiempo.

Autenticación con certificados