Almacén de certificados de intercepción SSL

Un certificado SSL, que es una parte integral de cualquier transacción SSL, es un formulario de datos digitales (X509) que identifica a una empresa (dominio) o a un individuo. Una entidad emisora de certificados (CA) emite un certificado SSL. Una CA puede ser privada o pública. Las aplicaciones que llevan a cabo transacciones SSL confían en los certificados emitidos por las CA públicas, como Verisign. Estas aplicaciones mantienen una lista de CA en las que confían.

Como proxy de reenvío, un dispositivo Citrix Secure Web Gateway (SWG) realiza cifrado y descifrado del tráfico entre un cliente y un servidor. Actúa como un servidor para el cliente (usuario) y como un cliente para el servidor. Antes de que un dispositivo pueda procesar el tráfico HTTPS, debe validar la identidad de un servidor para evitar transacciones fraudulentas. Por lo tanto, como cliente del servidor de origen, el dispositivo debe comprobar el certificado del servidor de origen antes de aceptarlo. Para comprobar el certificado de un servidor, todos los certificados (por ejemplo, certificados raíz e intermedios) que se utilizan para firmar y emitir el certificado de servidor deben estar presentes en el dispositivo. Un conjunto predeterminado de certificados de CA está preinstalado en un dispositivo. Citrix SWG puede utilizar estos certificados para verificar casi todos los certificados comunes del servidor de origen. Este conjunto predeterminado no se puede modificar. Sin embargo, si la implementación requiere más certificados de CA, puede crear un paquete de dichos certificados e importarlo al dispositivo. Un paquete también puede contener un solo certificado.

Al importar un paquete de certificados al dispositivo, el dispositivo descarga el paquete desde la ubicación remota y, tras comprobar que el paquete contiene solo certificados, lo instala en el dispositivo. Debe aplicar un paquete de certificados antes de poder utilizarlo para validar un certificado de servidor. También puede exportar un paquete de certificados para modificarlo o almacenarlo en una ubicación sin conexión como copia de seguridad.

Importe y aplique un paquete de certificados de CA en el dispositivo mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

import ssl certBundle <name> <src>
<!--NeedCopy-->
apply ssl certBundle <name>
<!--NeedCopy-->
show ssl certBundle
<!--NeedCopy-->

ARGUMENTOS:

Nombre:

Nombre que se va a asignar al paquete de certificados importados. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi archivo” o “mi archivo”).

Longitud máxima: 31

src:

URL que especifica el protocolo, el host y la ruta de acceso, incluido el nombre de archivo, al paquete de certificados que se va a importar o exportar. Por ejemplo, http://www.example.com/cert\_bundle\_file.

NOTA: La importación falla si el objeto que se va a importar está en un servidor HTTPS que requiere autenticación de certificado de cliente para el acceso.

Longitud máxima: 2047

Ejemplo:

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
<!--NeedCopy-->
apply ssl certBundle swg-certbundle
<!--NeedCopy-->
show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done
<!--NeedCopy-->

Importar y aplicar un paquete de certificados de CA en el dispositivo mediante la GUI de Citrix SWG

  1. Vaya a Secure Web Gateway > Introducción > Paquetes de certificados.
  2. Lleve a cabo una de las siguientes acciones:
    • Seleccione un paquete de certificados de la lista.
    • Para agregar un nuevo paquete de certificados, haga clic en “+” y especifique un nombre y una dirección URL de origen. Haga clic en OK.
  3. Haga clic en OK.

Quitar un paquete de certificados de CA del dispositivo mediante la CLI

En el símbolo del sistema, escriba:

remove certBundle <cert bundle name>
<!--NeedCopy-->

Ejemplo:

remove certBundle mytest-cacert
<!--NeedCopy-->

Exportar un paquete de certificados de CA desde el dispositivo mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

export certBundle <cert bundle name> <Path to export>
<!--NeedCopy-->

ARGUMENTOS:

Nombre:

Nombre que se va a asignar al paquete de certificados importados. Debe comenzar con un carácter alfanumérico o de subrayado (_) ASCII y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o más espacios, enciérrelo entre comillas dobles o simples (por ejemplo, “mi archivo” o “mi archivo”).

Longitud máxima: 31

src:

URL que especifica el protocolo, el host y la ruta de acceso, incluido el nombre de archivo, al paquete de certificados que se va a importar o exportar. Por ejemplo, http://www.example.com/cert\_bundle\_file.

NOTA: La importación falla si el objeto que se va a importar está en un servidor HTTPS que requiere autenticación de certificado de cliente para el acceso.

Longitud máxima: 2047

Ejemplo:

export certBundle mytest-cacert http://192.0.2.20/
<!--NeedCopy-->

Importar, aplicar y verificar un paquete de certificados de CA desde el almacén de certificados de CA de Mozilla

En el símbolo del sistema, escriba:

> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done
<!--NeedCopy-->

Para aplicar el paquete, escriba:

> apply certbundle mozilla_public_ca
Done
<!--NeedCopy-->

Para verificar el paquete de certificados en uso, escriba:

> sh certbundle | grep mozilla
    Name : mozilla_public_ca (Inuse)
<!--NeedCopy-->

Limitación

Los paquetes de certificados no se admiten en una instalación de clúster ni en un dispositivo con particiones.