Almacén de certificados de intercepción SSL

Un certificado SSL, que es una parte integral de cualquier transacción SSL, es un formulario de datos digitales (X509) que identifica a una empresa (dominio) o a un individuo. Una entidad emisora de certificados (CA) emite un certificado SSL. Una CA puede ser privada o pública. Las aplicaciones que realizan transacciones SSL confían en los certificados emitidos por entidades emisoras de certificados públicas, como Verisign. Estas aplicaciones mantienen una lista de CA en las que confían.

Como proxy de reenvío, un dispositivo Citrix Secure Web Gateway (SWG) realiza el cifrado y descifrado del tráfico entre un cliente y un servidor. Actúa como un servidor para el cliente (usuario) y como un cliente para el servidor. Antes de que un dispositivo pueda procesar el tráfico HTTPS, debe validar la identidad de un servidor para evitar transacciones fraudulentas. Por lo tanto, como cliente del servidor de origen, el dispositivo debe verificar el certificado del servidor de origen antes de aceptarlo. Para verificar el certificado de un servidor, todos los certificados (por ejemplo, certificados raíz e intermedios) que se utilizan para firmar y emitir el certificado de servidor deben estar presentes en el dispositivo. Un conjunto predeterminado de certificados de CA está preinstalado en un dispositivo. Citrix SWG puede utilizar estos certificados para verificar casi todos los certificados de servidor de origen comunes. Este conjunto predeterminado no se puede modificar. Sin embargo, si su implementación requiere certificados de CA adicionales, puede crear un paquete de dichos certificados e importar el paquete al dispositivo. Un paquete también puede contener un único certificado.

Al importar un paquete de certificados al dispositivo, el dispositivo lo descarga desde la ubicación remota y, tras comprobar que el paquete contiene sólo certificados, lo instala en el dispositivo. Debe aplicar un paquete de certificados antes de poder usarlo para validar un certificado de servidor. También puede exportar un paquete de certificados para editarlo o almacenarlo en una ubicación sin conexión como copia de seguridad.

Importar y aplicar un paquete de certificados de CA en el dispositivo mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

import ssl certBundle <name> <src>
apply ssl certBundle <name>
show ssl certBundle

ARGINOS:

nombre:

          Nombre para asignar al paquete de certificados importado. Debe comenzar con un carácter alfanumérico o de subrayado ASCII (_) y debe contener sólo caracteres ASCII alfanuméricos, subrayado, hash (#), punto (.), espacio, dos puntos (:), en (@), igual a (=) y guión (-). El siguiente requisito sólo se aplica a la CLI:

Si el nombre incluye uno o más espacios, encierre el nombre entre comillas dobles o simples (por ejemplo, “mi archivo” o ‘mi archivo’).

Longitud máxima: 31

src:

          URL que especifica el protocolo, el host y la ruta de acceso, incluido el nombre de archivo, al paquete de certificados que se va a importar o exportar. Por ejemplo, `http://www.example.com/cert_bundle_file`.

NOTA: La importación falla si el objeto que se va a importar está en un servidor HTTPS que requiere autenticación de certificado de cliente para el acceso.

Longitud máxima: 2047

Ejemplo:

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
apply ssl certBundle swg-certbundle
show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done

Importar y aplicar un paquete de certificados de CA en el dispositivo mediante la GUI de Citrix SWG

  1. Vaya a Secure Web Gateway > Introducción > Paquetes de certificados.
  2. Lleve a cabo una de las siguientes acciones:
    • Seleccione un paquete de certificados de la lista.
    • Para agregar un nuevo paquete de certificados, haga clic en “+” y especifique un nombre y una URL de origen. Haga clic en Aceptar.
  3. Haga clic en Aceptar.

Quitar un paquete de certificados de CA del dispositivo mediante la CLI

En el símbolo del sistema, escriba:

remove certBundle <cert bundle name>

Ejemplo:

remove certBundle mytest-cacert

Exportar un paquete de certificados de CA desde el dispositivo mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

export certBundle <cert bundle name> <Path to export>

ARGINOS:

nombre:

          Nombre para asignar al paquete de certificados importado. Debe comenzar con un carácter alfanumérico o de subrayado ASCII (_) y debe  contener sólo caracteres ASCII alfanuméricos, subrayado, hash (#), punto (.), espacio, dos puntos (:), en (@), igual a (=) y guión (-). El siguiente requisito sólo se aplica a la CLI:

Si el nombre incluye uno o más espacios, encierre el nombre entre comillas dobles o simples (por ejemplo, “mi archivo” o ‘mi archivo’).

Longitud máxima: 31

src:

          URL que especifica el protocolo, el host y la ruta de acceso, incluido el nombre de archivo, al paquete de certificados que se va a importar o exportar. Por ejemplo, `http://www.example.com/cert_bundle_file`.

NOTA: La importación falla si el objeto que se va a importar está en un servidor HTTPS que requiere autenticación de certificado de cliente para el acceso.

Longitud máxima: 2047

Ejemplo:

export certBundle mytest-cacert http://192.0.2.20/

Limitación

Los paquetes de certificados no se admiten en una configuración de clúster ni en un dispositivo con particiones.