Authentification avec des certificats clients

Les sites Web qui contiennent du contenu sensible, tels que les sites Web bancaires en ligne ou les sites Web contenant des renseignements personnels sur les employés, nécessitent parfois des certificats client pour l’authentification. Pour configurer l’authentification, l’autorisation et l’audit pour authentifier les utilisateurs sur la base des attributs de certificat côté client, vous activez d’abord l’authentification client sur le serveur virtuel de gestion du trafic et liez le certificat racine au serveur virtuel d’authentification. Ensuite, vous implémentez l’une des deux options. Vous pouvez configurer le type d’authentification par défaut sur le serveur virtuel d’authentification en tant que CERT, ou créer une action de certificat qui définit ce que Citrix ADC doit faire pour authentifier les utilisateurs sur la base d’un certificat client. Dans les deux cas, votre serveur d’authentification doit prendre en charge les listes de révocation de certificats. Vous configurez ADC pour extraire le nom d’utilisateur du champ SubjectCN ou d’un autre champ spécifié dans le certificat client.

Lorsque l’utilisateur tente de se connecter à un serveur virtuel d’authentification pour lequel une stratégie d’authentification n’est pas configurée et qu’une cascade globale n’est pas configurée, les informations de nom d’utilisateur sont extraites du champ spécifié du certificat. Si le champ requis est extrait, l’authentification réussit. Si l’utilisateur ne fournit pas de certificat valide pendant la poignée de main SSL, ou si l’extraction du nom d’utilisateur échoue, l’authentification échoue. Après avoir validé le certificat client, ADC présente une page d’ouverture de session à l’utilisateur.

Les procédures suivantes supposent que vous avez déjà créé une configuration d’authentification, d’autorisation et d’audit fonctionnelle et, par conséquent, elles expliquent uniquement comment activer l’authentification à l’aide de certificats clients. Ces procédures supposent également que vous avez obtenu votre certificat racine et vos certificats client et que vous les avez placés sur ADC dans le répertoire /nsconfig/ssl.

Pour configurer les paramètres de certificat client d’authentification, d’autorisation et d’audit à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué, pour configurer le certificat et vérifier la configuration :

  • add ssl certKey <certkeyName> -cert <certFile> -key <keyFile> -password -inform <inform> -expiryMonitor <expiryMonitor> -notificationPeriod <notificationPeriod>

  • bind ssl certKey <certkeyName> -vServer <certkeyName> -CA -crlCheck Mandatory

  • show ssl certKey [<certkeyName>]

  • set aaa parameter -defaultAuthType CERT

  • show aaa parameter

  • set aaa certParams -userNameField "Subject:CN"

  • show aaa certParams

Pour configurer les paramètres de certificat client d’authentification, d’autorisation et d’audit à l’aide de l’utilitaire de configuration

  1. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels.
  2. Dans le volet d’informations, sélectionnez le serveur virtuel que vous souhaitez configurer pour gérer l’authentification de certificat client, puis cliquez sur Modifier.
  3. Dans la page Configuration, sous Certificats, cliquez sur la flèche droite (>) pour ouvrir la boîte de dialogue d’installation de la clé de certification CA.
  4. Dans la boîte de dialogue Clé de certification CA, cliquez sur Insérer.
  5. Dans la boîte de dialogue Clé de certification - Certificats SSL, cliquez sur Installer.
  6. Dans la boîte de dialogue Installer le certificat, définissez les paramètres suivants, dont les noms correspondent aux noms des paramètres CLI comme indiqué :
    • Nom de la paire de clés de certificat*—CertkeyName
    • Nom du fichier de certificat — certFile
    • Nom du fichier de clé — keyFile
    • Format du certificat — inform
    • Mot de passe — password
    • Bundle de certificats — bundle
    • Notifier à expiration — expiryMonitor
    • Période de notification — notificationPeriod
  7. Cliquez sur Installer, puis sur Fermer.
  8. Dans la boîte de dialogue Clé de certification, dans la liste Certificat, sélectionnez le certificat racine.
  9. Cliquez sur Enregistrer.
  10. Cliquez sur Précédent pour revenir à l’écran de configuration principal.
  11. Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification > CERT.
  12. Dans le volet d’informations, sélectionnez la stratégie que vous souhaitez configurer pour gérer l’authentification de certificat client, puis cliquez sur Modifier.
  13. Dans la boîte de dialogue Configurer la stratégie CERT d’authentification, liste déroulante Serveur, sélectionnez le serveur virtuel que vous venez de configurer pour gérer l’authentification par certificat client.
  14. Cliquez sur OK. Un message apparaît dans la barre d’état indiquant que la configuration s’est terminée correctement.

Support pour notifier le nombre de tentatives de connexion infructueuses

L’appliance Citrix ADC peut désormais consigner le nombre de tentatives de connexion infructueuses effectuées à partir de la dernière connexion réussie. La fonctionnalité fonctionne uniquement si l’option PersistentLoginAttents est activée sur l’appliance. Par défaut, l’option est désactivée sur l’appliance Citrix ADC.

Un administrateur Citrix ADC peut utiliser ces informations pour vérifier si des tentatives non autorisées ont eu lieu sur un compte d’utilisateur externe sécurisé.

Pour utiliser cette fonctionnalité, à l’invite de commandes Citrix ADC, tapez :

set aaa parameter [–maxloginAttempts <value> [-failedLoginTimeout <value>]] -persistentLoginAttempts (ENABLED | DISABLED)

Exemple :

set aaa parameter –maxLoginAttempts 4 –failedLoginTimeout 3 –persistentLoginAttempts ENABLED