FAQ SSL

Questions de base

L’accès HTTPS à l’interface graphique échoue sur une instance VPX. Comment puis-je obtenir l’accès ?

Une paire de clés de certificat est requise pour l’accès HTTPS à l’interface graphique. Sur un Citrix ADC, une paire de clés de certificat est automatiquement liée aux services internes. Sur une appliance MPX ou SDX, la taille de clé par défaut est de 1024 octets et sur une instance VPX, la taille de clé par défaut est de 512 octets. Cependant, la plupart des navigateurs aujourd’hui n’acceptent pas une clé inférieure à 1024 octets. Par conséquent, l’accès HTTPS à l’utilitaire de configuration VPX est bloqué.

Citrix recommande d’installer une paire de clés de certificat d’au moins 1024 octets et de la lier au service interne pour l’accès HTTPS à l’utilitaire de configuration ou de mettre à jour le certificat ns-server-1024 octets. Vous pouvez utiliser l’accès HTTP à l’utilitaire de configuration ou à l’interface de ligne de commande pour installer le certificat.

Si j’ajoute une licence à une appliance MPX, la liaison de paire de clés de certificat est perdue. Comment résoudre ce problème ?

Si aucune licence n’est présente sur une appliance MPX au démarrage et que vous ajoutez une licence ultérieurement et redémarrez l’appliance, vous risquez de perdre la liaison de certificat. Vous devez réinstaller le certificat et le lier au service interne

Citrix vous recommande d’installer une licence appropriée avant de démarrer l’appliance.

Quelles sont les différentes étapes de la mise en place d’un canal sécurisé pour une transaction SSL ?

La configuration d’un canal sécurisé pour une transaction SSL implique les étapes suivantes :

  1. Le client envoie une requête HTTPS pour un canal sécurisé au serveur.

  2. Après avoir sélectionné le protocole et le chiffrement, le serveur envoie son certificat au client.

  3. Le client vérifie l’authenticité du certificat du serveur.

  4. Si l’une des vérifications échoue, le client affiche la rétroaction correspondante.

  5. Si les contrôles réussissent ou si le client décide de continuer même en cas d’échec d’une vérification, le client crée une clé temporaire jetable appelée le secret pré-maître et la crypte à l’aide de la clé publique du certificat du serveur.

  6. Le serveur, à la réception du secret pré-maître, le déchiffre à l’aide de la clé privée du serveur et génère les clés de session. Le client génère également les clés de session à partir du secret pré-maître. Ainsi, le client et le serveur ont maintenant une clé de session commune, qui est utilisée pour le chiffrement et le déchiffrement des données d’application.

Je comprends que SSL est un processus gourmand en CPU. Quel est le coût du processeur associé au processus SSL ?

Les deux étapes suivantes sont associées au processus SSL :

  • La poignée de main initiale et la configuration du canal sécurisé à l’aide de la technologie de clé publique et privée.

  • Chiffrement de données en masse à l’aide de la technologie de clé asymétrique.

Les deux étapes précédentes peuvent affecter les performances du serveur et nécessitent un traitement intensif du processeur pour les raisons suivantes :

  1. La poignée de main initiale implique la cryptographie à clé publique privée, qui est très gourmande de CPU en raison de grandes tailles de clés (1024 bits, 2048 bits, 4096 bits).

  2. Le chiffrement et le déchiffrement des données sont également coûteux sur le plan informatique, en fonction de la quantité de données à chiffrer ou à déchiffrer.

Quelles sont les différentes entités d’une configuration SSL ?

Une configuration SSL comporte les entités suivantes :

  • Certificat serveur
  • Certificat d’autorité de certification (CA)
  • Suite de chiffrement qui spécifie les protocoles pour les tâches suivantes :
    • Échange initial de clés
    • Authentification du serveur et du client
    • Algorithme de chiffrement en masse
    • Authentification des messages
  • Authentification client
  • CRL
  • Outil de génération de clé de certificat SSL qui vous permet de créer les fichiers suivants :
    • Demande de certificat
    • Certificat auto-signé
    • Clés RSA et DSA
    • Paramètres DH

Je souhaite utiliser la fonctionnalité de déchargement SSL de l’appliance Citrix ADC. Quelles sont les différentes options pour recevoir un certificat SSL ?

Vous devez recevoir un certificat SSL avant de pouvoir configurer l’installation SSL sur l’appliance Citrix ADC. Vous pouvez utiliser l’une des méthodes suivantes pour recevoir un certificat SSL :

  • Demander un certificat à une autorité de certification autorisée.

  • Utilisez le certificat de serveur existant.

  • Créez une paire de clés de certificat sur l’appliance Citrix ADC.

Remarque : Il s’agit d’un certificat de test signé par la racine CA de test générée par l’appliance Citrix ADC. Les certificats de test signés par ce Root-CA ne sont pas acceptés par les navigateurs. Le navigateur envoie un message d’avertissement indiquant que le certificat du serveur ne peut pas être authentifié.

  • À d’autres fins que le test, vous devez fournir un certificat d’autorité de certification valide et une clé d’autorité de certification pour signer le certificat de serveur.

Quelles sont les exigences minimales pour une configuration SSL ?

Les conditions minimales requises pour configurer une configuration SSL sont les suivantes :

  • Obtenez les certificats et les clés.
  • Créez un serveur virtuel SSL d’équilibrage de charge.
  • Liez les services HTTP ou SSL au serveur virtuel SSL.
  • Liez la paire de clés de certificat au serveur virtuel SSL.

Quelles sont les limites pour les différents composants de SSL ?

Les composants SSL ont les limites suivantes :

  • Taille de bits des certificats SSL : 4096.
  • Nombre de certificats SSL : dépend de la mémoire disponible sur l’appliance.
  • Nombre maximal de certificats SSL CA intermédiaires liés : 9 par chaîne.
  • Révocations de liste de révocation de révocation : dépend de la mémoire disponible sur l’appliance.

Quelles sont les différentes étapes impliquées dans le chiffrement des données de bout en bout sur une appliance Citrix ADC ?

Les étapes impliquées dans le processus de chiffrement côté serveur sur une appliance Citrix ADC sont les suivantes :

  1. Le client se connecte au VIP SSL configuré sur l’appliance Citrix ADC sur le site sécurisé.

  2. Après avoir reçu la demande sécurisée, l’appliance déchiffre la demande, applique des techniques de commutation de contenu de couche 4-7 et des stratégies d’équilibrage de charge, et sélectionne le meilleur serveur Web backend disponible pour la demande.

  3. L’appliance Citrix ADC crée une session SSL avec le serveur sélectionné.

  4. Après avoir établi la session SSL, l’appliance chiffre la demande client et l’envoie au serveur Web à l’aide de la session SSL sécurisée.

  5. Lorsque l’appliance reçoit la réponse chiffrée du serveur, elle déchiffre et chiffre à nouveau les données et envoie les données au client à l’aide de la session SSL côté client.

La technique de multiplexage de l’appliance Citrix ADC permet à l’appliance de réutiliser les sessions SSL établies avec les serveurs Web. Par conséquent, l’appliance évite l’échange de clés gourmand en CPU, connu sous le nom de poignée de main complète. Ce processus réduit le nombre total de sessions SSL sur le serveur et maintient la sécurité de bout en bout.

Certificats et clés

Puis-je placer les fichiers de certificat et de clé à n’importe quel emplacement ? Y a-t-il un emplacement recommandé pour stocker ces fichiers ?

Vous pouvez stocker les fichiers de certificat et de clé sur l’appliance Citrix ADC ou sur un ordinateur local. Toutefois, Citrix vous recommande de stocker les fichiers de certificat et de clé dans le répertoire /nsconfig/ssl de l’appliance Citrix ADC. Le répertoire /etc existe dans la mémoire flash de l’appliance Citrix ADC. Cela garantit la portabilité et facilite la sauvegarde et la restauration des fichiers de certificat sur l’appliance.

Remarque : Assurez-vous que le certificat et les fichiers clés sont stockés dans le même répertoire.

Quelle est la taille maximale de la clé de certificat prise en charge sur l’appliance Citrix ADC ?

Une appliance Citrix ADC exécutant une version logicielle antérieure à la version 9.0 prend en charge une taille maximale de clé de certificat de 2048 bits. Les versions 9.0 et ultérieures prennent en charge une taille maximale de clé de certificat de 4096 bits. Cette limite s’applique aux certificats RSA et DSA.

Une appliance MPX prend en charge les certificats de 512 bits jusqu’aux tailles suivantes :

  • Certificat de serveur 4096 bits sur le serveur virtuel

  • Certificat client 4096 bits sur le service

  • Certificat d’autorité de certification 4096 bits (inclut les certificats intermédiaires et racine)

  • Certificat 4096 bits sur le serveur back-end

  • Certificat client 4096 bits (si l’authentification client est activée sur le serveur virtuel)

Une appliance virtuelle prend en charge les certificats de 512 bits jusqu’aux tailles suivantes :

  • Certificat de serveur 4096 bits sur le serveur virtuel

  • Certificat client 4096 bits sur le service

  • Certificat d’autorité de certification 4096 bits (inclut les certificats intermédiaires et racine)

  • Certificat 4096 bits sur le serveur back-end de la version 12.0-56.x. Les versions plus anciennes prennent en charge les certificats 2048 bits.

  • Certificat client 2048 bits (si l’authentification client est activée sur le serveur virtuel) à partir de la version 12.0-56.x.

Quelle est la taille maximale du paramètre DH pris en charge sur l’appliance Citrix ADC ?

L’appliance Citrix ADC prend en charge un paramètre DH de 2048 bits maximum.

Quelle est la longueur maximale de la chaîne de certificats, c’est-à-dire le nombre maximal de certificats dans une chaîne, prise en charge par une appliance Citrix ADC ?

Une appliance Citrix ADC peut envoyer un maximum de 10 certificats dans une chaîne lors de l’envoi d’un message de certificat de serveur. Une chaîne de longueur maximale comprend le certificat de serveur et neuf certificats d’autorité de certification intermédiaire.

Quels sont les différents formats de certificats et de clés pris en charge sur l’appliance Citrix ADC ?

L’appliance Citrix ADC prend en charge les formats de certificat et de clé suivants :

  • Privacy Enhanced Mail (PEM)
  • Règle de codage distinctif (DER)

Existe-t-il une limite pour le nombre de certificats et de clés que je peux installer sur l’appliance Citrix ADC ?

Non. Le nombre de certificats et de clés pouvant être installés est limité uniquement par la mémoire disponible sur l’appliance Citrix ADC.

J’ai enregistré les fichiers de certificat et de clé sur l’ordinateur local. Je veux transférer ces fichiers vers l’appliance Citrix ADC à l’aide du protocole FTP. Existe-t-il un mode préféré pour transférer ces fichiers vers l’appliance Citrix ADC ?

Oui. Si vous utilisez le protocole FTP, vous devez utiliser le mode binaire pour transférer les fichiers de certificat et de clé vers l’appliance Citrix ADC.

Remarque : Par défaut, FTP est désactivé. Citrix recommande d’utiliser le protocole SCP pour transférer des fichiers de certificats et de clés. L’utilitaire de configuration utilise implicitement SCP pour se connecter à l’appliance.

Quel est le chemin d’accès par défaut du certificat et de la clé ?

Le chemin d’accès par défaut du certificat et de la clé est ‘/nsconfig/ssl’.

Lors de l’ajout d’un certificat et d’une paire de clés, que se passe-t-il si je ne spécifie pas de chemin absolu vers les fichiers de certificat et de clé ?

Lorsque vous ajoutez un certificat et une paire de clés, si vous ne spécifiez pas de chemin absolu vers les fichiers de certificat et de clé, l’appliance Citrix ADC recherche les fichiers spécifiés dans le répertoire par défaut /nsconfig/ssl et tente de les charger dans le noyau. Par exemple, si les fichiers cert1024.pem et rsa1024.pem sont disponibles dans le répertoire /nsconfig/ssl de l’appliance, les deux commandes suivantes réussissent :

add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem

J’ai configuré une configuration haute disponibilité. Je veux implémenter la fonctionnalité SSL sur la configuration. Comment gérer les fichiers de certificat et de clé dans une configuration haute disponibilité ?

Dans une configuration haute disponibilité, vous devez stocker les fichiers de certificat et de clé sur l’appliance Citrix ADC principale et secondaire. Le chemin d’accès au répertoire des fichiers de certificat et de clé doit être le même sur les deux appliances avant d’ajouter une paire de clés de certificat SSL sur l’appliance principale.

Thales nShield® HSM

Lors de l’intégration avec Thales nShield® HSM, devons-nous garder à l’esprit une configuration spécifique lors de l’ajout de l’appliance Citrix ADC à HA ?

Vous devez configurer les mêmes périphériques Thales sur les deux nœuds en HA. Les commandes de configuration Thales ne se synchronisent pas en HA. Pour plus d’informations sur les conditions requises pour Thales nShield® HSM, reportez-vous à la sectionConditions préalables.

Doit-on intégrer individuellement les deux appareils avec Thales nShield® HSM et RFS ? Devons-nous le faire avant ou après la configuration HA ?

Vous pouvez terminer l’intégration avant ou après la configuration HA. Toutefois, si l’intégration est effectuée après la configuration HA, les clés importées sur le nœud principal avant la configuration du nœud secondaire ne sont pas synchronisées avec le nœud secondaire. Par conséquent, Citrix recommande l’intégration de Thales avant la configuration HA.

Doit-on importer la clé dans les appliances Citrix ADC primaire et secondaire, ou les clés sont-elles synchronisées entre le nœud primaire et le nœud secondaire ?

Si Thales est intégré sur les deux appareils avant de former la HA, les clés sont automatiquement synchronisées à partir de RFS dans le processus d’intégration.

Étant donné que le HSM ne se trouve pas sur l’appliance Citrix ADC, mais sur Thales, que se passe-t-il des clés et des certificats lorsqu’un nœud échoue et est remplacé ?

Si un nœud échoue, il est possible de synchroniser les clés et les certificats avec le nouveau nœud, en intégrant d’abord Thales sur le nouveau nœud, puis en exécutant les commandes suivantes :

sync ha files ssl
force ha sync

Les certificats sont synchronisés et ajoutés si les clés sont synchronisées dans le processus d’intégration de Thales.

Les chiffrements

Qu’est-ce qu’un chiffrement nul ?

Les chiffrements sans chiffrement sont connus sous le nom de chiffrement NULL. Par exemple, NULL-MD5 est un chiffrement NULL.

Les chiffrements NULL sont-ils activés par défaut pour un VIP SSL ou un service SSL ?

Non. Les chiffrements NULL ne sont pas activés par défaut pour un service VIP SSL ou SSL.

Quelle est la procédure pour supprimer les chiffrements Null ?

Pour supprimer les chiffrements NULL d’un VIP SSL, exécutez la commande suivante :

bind ssl cipher <SSL_VIP> REM NULL

Pour supprimer les chiffrements NULL d’un service SSL, exécutez la commande suivante :

bind ssl cipher <SSL_Service> REM NULL -service

Quels sont les différents alias de chiffrement pris en charge sur l’appliance Citrix ADC ?

Pour répertorier les alias de chiffrement pris en charge par l’appliance, à l’invite de commandes, tapez :

sh cipher

Quelle est la commande pour afficher tous les chiffrements prédéfinis de l’appliance Citrix ADC ?

Pour afficher tous les chiffrements prédéfinis de l’appliance Citrix ADC, dans l’interface de ligne de commande, tapez :

show ssl cipher

Quelle est la commande pour afficher les détails d’un chiffrement individuel de l’appliance Citrix ADC ?

Pour afficher les détails d’un chiffrement individuel de l’appliance Citrix ADC, dans l’interface de ligne de commande, tapez :

show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>

Exemple :

show cipher SSL3-RC4-SHA
     1) Cipher Name: SSL3-RC4-SHA
     Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
    Mac=SHA1
     Done

Quelle est l’importance de l’ajout des chiffrements prédéfinis de l’appliance Citrix ADC ?

L’ajout des chiffrements prédéfinis de l’appliance Citrix ADC entraîne l’ajout des chiffrements NULL à un service SSL VIP ou SSL.

Certificats

Le nom unique d’un certificat client est-il disponible pour la durée de la session utilisateur ?

Oui. Vous pouvez accéder au nom unique du certificat client dans les requêtes suivantes pendant la durée de la session utilisateur, c’est-à-dire même une fois la poignée de main SSL terminée et que le certificat n’est pas envoyé à nouveau par le navigateur. Pour ce faire, utilisez une variable et une affectation comme indiqué dans l’exemple de configuration suivant :

Exemple :

add ns variable v2 -type "text(100)"

add ns assignment a1 -variable "$v2" -set       "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"

add rewrite action act1 insert_http_header subject "$v2"  // example: to insert the distinguished name in the header

add rewrite policy pol1 true a1

add rewrite policy pol2 true act1

bind rewrite global pol1 1 next -type RES_DEFAULT

bind rewrite global pol2 2 next -type RES_DEFAULT

set rewrite param -undefAction RESET

Pourquoi dois-je lier le certificat du serveur ?

La liaison des certificats de serveur est la condition de base pour permettre à la configuration SSL de traiter les transactions SSL.

Pour lier le certificat de serveur à un VIP SSL, dans l’interface de ligne de commande, tapez :

bind ssl vserver <vServerName> -certkeyName <cert_name>

Pour lier le certificat de serveur à un service SSL, dans l’interface de ligne de commande, tapez :

bind ssl service <serviceName> -certkeyName <cert_name>

Combien de certificats puis-je lier à un service SSL VIP ou SSL ?

Sur une appliance virtuelle Citrix ADC, vous pouvez lier un maximum de trois certificats à un service SSL VIP ou SSL, un de type RSA, ECDSA et DSA. Sur une appliance Citrix ADC MPX (N2) ou MPX-FIPS, si SNI est activé, vous pouvez lier plusieurs certificats de serveur de type RSA. Si SNI est désactivé, vous pouvez lier un certificat de type RSA au maximum. Sur une appliance Citrix ADC MPX (N3) et Citrix ADC MPX/SDX FIPS, vous pouvez lier un maximum de deux certificats à un service SSL VIP ou SSL, un de type RSA et ECDSA.

Remarque : les certificats DSA ne sont pas pris en charge sur les plates-formes MPX ou MPX-FIPS.

SNI prend-il en charge les certificats SAN (Subject Alternative Name) ?

Non. Sur une appliance Citrix ADC, SNI n’est pas pris en charge avec un certificat d’extension SAN.

Que se passe-t-il si je dissocie ou écrase un certificat de serveur ?

Lorsque vous dissociez ou écrasez un certificat de serveur, toutes les connexions et sessions SSL créées à l’aide du certificat existant sont terminées. Lorsque vous remplacez un certificat existant, le message suivant s’affiche :

ERROR:

Warning: Current certificate replaces the previous binding.

Comment installer un certificat intermédiaire sur Citrix ADC et créer un lien vers un certificat de serveur ?

Consultez l’article à l’adresse http://support.citrix.com/article/ctx114146 pour plus d’informations sur l’installation d’un certificat intermédiaire.

Pourquoi est-ce que j’obtiens une erreur « ressource existe déjà » lorsque j’essaie d’installer un certificat sur le Citrix ADC ?

Consultez l’article sur http://support.citrix.com/article/CTX117284 pour obtenir des instructions sur la résolution de l’erreur « ressource existe déjà ».

Je souhaite créer un certificat de serveur sur une appliance Citrix ADC pour tester et évaluer le produit. Quelle est la procédure pour créer un certificat de serveur ?

Effectuez la procédure suivante pour créer un certificat de test.

Remarque : Un certificat créé avec cette procédure ne peut pas être utilisé pour authentifier tous les utilisateurs et navigateurs. Après avoir utilisé le certificat pour le test, vous devez obtenir un certificat de serveur signé par une autorité de certification racine autorisée.

Pour créer un certificat de serveur auto-signé :

  1. Pour créer un certificat d’autorité de certification racine, dans l’interface de ligne de commande, tapez :

    create ssl rsakey /nsconfig/ssl/test-ca.key 1024
    
    create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key
    
    Enter the required information when prompted, and then type the following command:
    
    create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key
    
  2. Effectuez la procédure suivante pour créer un certificat de serveur et le signer avec le certificat d’autorité de certification racine que vous venez de créer

    1. Pour créer la requête et la clé, dans l’interface de ligne de commande, tapez :

      create ssl rsakey /nsconfig/ssl/test-server.key 1024
      
          create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key
      
    2. Entrez les informations requises lorsque vous y êtes invité.

    3. Pour créer un fichier de numéro de série, dans l’interface de ligne de commande, tapez :

      shell
       # echo '01' >
      /nsconfig/ssl/serial.txt
       # exit
      
    4. Pour créer un certificat de serveur signé par le certificat d’autorité de certification racine créé à l’étape 1, dans l’interface de ligne de commande, tapez :

      create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt
      
    5. Pour créer une clé de certification Citrix ADC, qui est l’objet en mémoire qui contient les informations de certificat de serveur pour les poignées de main SSL et le chiffrement en bloc, dans l’interface de ligne de commande, tapez :

      add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key
      
    6. Pour lier l’objet certkey au serveur virtuel SSL, à l’interface de ligne de commande, tapez :

      bind ssl vserver <vServerName> -certkeyName <cert_name>
      

J’ai reçu une appliance Citrix ADC sur laquelle le logiciel NetScaler version 9.0 est installé. J’ai remarqué un fichier de licence supplémentaire sur l’appliance. Y a-t-il un changement dans la politique de licence à partir de la version 9.0 du logiciel NetScaler ?

Oui. À partir du logiciel Citrix NetScaler version 9.0, il se peut que l’appliance ne dispose pas d’un seul fichier de licence. Le nombre de fichiers de licence dépend de l’édition de la version du logiciel Citrix ADC. Par exemple, si vous avez installé l’édition Advanced, vous pouvez avoir besoin de fichiers de licence supplémentaires pour toutes les fonctionnalités des différentes fonctionnalités. Toutefois, si vous avez installé l’édition Premium, l’appliance ne possède qu’un seul fichier de licence.

Comment exporter le certificat depuis Internet Information Service (IIS) ?

Il existe plusieurs façons de le faire, mais en utilisant la méthode suivante, le certificat et la clé privée appropriés pour le site Web sont exportés. Cette procédure doit être effectuée sur le serveur IIS réel.

  1. Ouvrez l’outil d’administration du Gestionnaire des services Internet (IIS).

  2. Développez le nœud Sites Web et recherchez le site Web compatible SSL que vous souhaitez servir via l’appliance Citrix ADC.

  3. Cliquez avec le bouton droit sur ce site Web, puis cliquez sur Propriétés.

  4. Cliquez sur l’onglet Sécurité du répertoire et, dans la section Communications sécurisées de la fenêtre, sélectionnez la zone Afficher le certificat.

  5. Cliquez sur l’onglet Détails, puis cliquez sur Copier dans un fichier.

  6. Dans la page Bienvenue dans l’Assistant Exportation de certificat, cliquez sur Suivant.

  7. Sélectionnez Oui, exportez la clé privée et cliquez sur Suivant.

    Remarque : La clé privée DOIT être exportée pour que le déchargement SSL fonctionne sur Citrix ADC.

  8. Assurez-vous que le bouton radio Échange d’informations personnelles -PKCS #12 est sélectionné et activez uniquement la case à cocher Inclure tous les certificats dans le chemin de certification si possible. Cliquez sur Suivant.

  9. Entrez un mot de passe et cliquez sur Suivant.

  10. Entrez un nom de fichier et un emplacement, puis cliquez sur Suivant. Donnez au fichier une extension .PFX.

  11. Cliquez sur Terminer.

Comment convertir le certificat PKCS #12 et l’installer sur Citrix ADC ?

  1. Déplacez le fichier de certificat .PFX exporté vers un emplacement à partir duquel il peut être copié vers Citrix ADC (c’est-à-dire vers une machine qui autorise SSH à accéder à l’interface de gestion d’une appliance Citrix ADC). Copiez le certificat sur l’appliance à l’aide d’un utilitaire de copie sécurisé tel que SCP.

  2. Accédez au shell BSD et convertissez le certificat (par exemple, Cert.pfx) au format .PEM :

    root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM
    
  3. Pour vous assurer que le certificat converti est au format x509 correct, vérifiez que la commande suivante ne produit aucune erreur :

    root@ns# openssl x509 -in cert.PEM -text
    
  4. Vérifiez que le fichier de certificat contient une clé privée. Commencez par lancer la commande suivante :

    root@ns# cat cert.PEM
    
    Verify that the output file includes an RSA PRIVATE KEY section.
    
    -----BEGIN RSA PRIVATE KEY-----
    Mkm^s9KMs9023pz/s...
    -----END RSA PRIVATE KEY-----
    

    Voici un autre exemple de section RSA PRIVATE KEY :

        Bag Attributes
        1.3.6.1.4.1.311.17.2: <No Values>
        localKeyID: 01 00 00 00
        Microsoft CSP Name: Microsoft RSA SChannel Cryptographic
        Provider
        friendlyName:
        4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f
    
        Key Attributes
        X509v3 Key Usage: 10
        -----BEGIN RSA PRIVATE KEY-----
        Proc-Type: 4,ENCRYPTED
        DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968
        pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg
    
        ... (more random characters)
        v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh
    
        5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg==
        -----END RSA PRIVATE KEY-----
    

    Voici une section CERTIFICAT DE SERVEUR :

        Bag Attributes
        localKeyID: 01 00 00 00
        friendlyName: AG Certificate
        subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother
        Asiapacific/OU=Support/CN=davemother.food.lan
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK
    
        ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/
    
        MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog=
        -----END CERTIFICATE-----
    

    Voici une section CERTIFICAT DE CA INTERMÉDIAIRE :

        Bag Attributes: <Empty Attributes>
        subject=/DC=lan/DC=food/CN=hotdog
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8
    
        ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk=
    
        -----END CERTIFICATE-----
    

    D’autres certificats d’autorité de certification intermédiaire peuvent suivre, selon le chemin de certification du certificat exporté.

  5. Ouvrez le fichier .PEM dans un éditeur de texte

  6. Recherchez la première ligne du fichier .PEM et la première instance de la ligne suivante, puis copiez ces deux lignes et toutes les lignes entre elles :

    -----END CERTIFICATE-----
    
    Note: Make sure that last copied line is the first
    -----END CERTIFICATE----- line in the .PEM file.
    
    
  7. Collez les lignes copiées dans un nouveau fichier. Appelez le nouveau fichier quelque chose d’intuitif, tel que cert-key.pem. Il s’agit de la paire de clés de certificat pour le serveur hébergeant le service HTTPS. Ce fichier doit contenir à la fois la section intitulée RSA PRIVATE KEY et la section intitulée SERVER CERTIFICATE dans l’exemple ci-dessus.

    Remarque : Le fichier de paire de clés de certificat contient la clé privée et doit donc être sécurisé.

  8. Recherchez les sections suivantes commençant par —BEGIN CERTIFICATE— et se terminant par —END CERTIFICATE—, puis copiez chacune de ces sections dans un nouveau fichier distinct.

    Ces sections correspondent aux certificats des autorités de certification approuvées qui ont été inclus dans le chemin de certification. Ces sections doivent être copiées et collées dans de nouveaux fichiers individuels pour ces certificats. Par exemple, la section INTERMEDIATE CA CERTIFICATE de l’exemple ci-dessus doit être copiée et collée dans un nouveau fichier).

    Pour plusieurs certificats d’autorité de certification intermédiaire dans le fichier d’origine, créez de nouveaux fichiers pour chaque certificat d’autorité de certification intermédiaire dans l’ordre dans lequel ils apparaissent dans le fichier. Gardez une trace (en utilisant les noms de fichiers appropriés) de l’ordre dans lequel les certificats apparaissent, car ils doivent être liés dans l’ordre correct dans une étape ultérieure.

  9. Copiez le fichier de clé de certificat (cert-key.pem) et tous les fichiers de certificat d’autorité de certification supplémentaires dans le répertoire /nsconfig/ssl de l’appliance Citrix ADC.

  10. Quittez le shell BSD et accédez à l’invite Citrix ADC.

  11. Suivez les étapes décrites dans « Installer les fichiers de clé de certificat sur l’appliance » pour installer la clé/le certificat une fois téléchargé sur l’appareil.

Comment convertir le certificat PKCS #7 et l’installer sur l’appliance Citrix ADC ?

Vous pouvez utiliser OpenSSL pour convertir un certificat PKCS #7 en un format reconnaissable par l’appliance Citrix ADC. La procédure est identique à la procédure pour les certificats PKCS #12, sauf que vous appelez OpenSSL avec des paramètres différents. Les étapes de conversion des certificats PKCS #7 sont les suivantes :

  1. Copiez le certificat sur l’appliance à l’aide d’un utilitaire de copie sécurisé, tel que SCP.

  2. Convertir le certificat (par exemple, Cert.P7b) au format PEM :

    openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem
    
  3. Suivez les étapes 3 à 7 comme décrit dans la réponse pour les certificats PKCS #12. Remarque : Avant de charger le certificat PKCS #7 converti sur l’appliance, assurez-vous de vérifier qu’il contient une clé privée, exactement comme décrit à l’étape 3 pour la procédure PKCS #12. Les certificats PKCS #7, en particulier ceux exportés depuis IIS, ne contiennent généralement pas de clé privée.

Lorsque je lie un chiffrement à un serveur virtuel ou un service en utilisant la commande bind cipher, le message d’erreur « Commande obsolète » s’affiche. ?

La commande de liaison d’un chiffrement à un serveur virtuel ou un service a changé.

Utilisez la commande bind ssl vserver <vsername> -ciphername <ciphername> pour lier un chiffrement SSL à un serveur virtuel SSL.

Utilisez la commande bind ssl service <serviceName> -ciphername <ciphername> pour lier un chiffrement SSL à un service SSL.

Remarque : Les nouveaux groupes de chiffrement et de chiffrement sont ajoutés à la liste existante et non remplacés.

Pourquoi ne puis-je pas créer un nouveau groupe de chiffrement et y lier des chiffrements en utilisant la commande add cipher ?

La fonctionnalité de la commande add cipher a changé dans la version 10. La commande crée uniquement un groupe de chiffrement. Pour ajouter des chiffrements au groupe, utilisez la commande bind cipher.

OpenSSL

Comment utiliser OpenSSL pour convertir des certificats entre PEM et DER ?

Pour utiliser OpenSSL, vous devez disposer d’une installation fonctionnelle du logiciel OpenSSL et pouvoir exécuter OpenSSL à partir de la ligne de commande.

Les certificats x509 et les clés RSA peuvent être stockés dans un certain nombre de formats différents.

Deux formats courants sont DER (un format binaire utilisé principalement par les plates-formes Java et Macintosh) et PEM (une représentation base64 de DER avec des informations d’en-tête et de pied de page, qui est principalement utilisée par les plates-formes UNIX et Linux). Il existe également un format NET (Netscape server) obsolète qui a été utilisé par les versions antérieures d’IIS (jusqu’à 4.0 inclus) et divers autres formats moins courants qui ne sont pas couverts dans cet article.

Une clé et le certificat correspondant, ainsi que la racine et tous les certificats intermédiaires, peuvent également être stockés dans un seul fichier PKCS #12 (.P12, .PFX).

Procédure

Utilisez la commande Openssl pour convertir entre les formats comme suit :

  1. Pour convertir un certificat de PEM en DER :

    x509 -in input.crt -inform PEM -out output.crt -outform DER
    
  2. Pour convertir un certificat de DER en PEM :

    x509 -in input.crt -inform DER -out output.crt -outform PEM
    
  3. Pour convertir une clé de PEM en DER :

    rsa -in input.key -inform PEM -out output.key -outform DER
    
  4. Pour convertir une clé de DER en PEM :

    rsa -in input.key -inform DER -out output.key -outform PEM
    

    Remarque : Si la clé que vous importez est chiffrée avec un chiffrement symétrique pris en charge, vous êtes invité à entrer la phrase de passe.

    Remarque : Pour convertir une clé vers ou depuis le format NET (Netscape server) obsolète, remplacez NET par PEM ou DER selon le cas. La clé stockée est chiffrée dans un chiffrement symétrique RC4 non salé faible, donc une phrase de passe sera demandée. Une phrase de passe vide est acceptable.

Limites du système

Quels sont les chiffres importants à retenir ?

  1. Créer une demande de certificat :

    • Nom du fichier de demande : 63 caractères maximum
    • Nom du fichier clé : 63 caractères maximum
    • Phrase de passe PEM (pour clé chiffrée) : 31 caractères maximum
    • Nom commun : maximum 63 caractères
    • Ville : 127 caractères maximum
    • Nom de l’organisation : 63 caractères maximum
    • Nom de l’état/de la province : 63 caractères maximum
    • Adresse e-mail : maximum 39 caractères
    • Unité organisationnelle : maximum 63 caractères
    • Mot de passe du défi : 20 caractères maximum
    • Nom de l’entreprise : 127 caractères maximum
  2. Créer un certificat :

    • Nom du fichier de certificat : 63 caractères maximum
    • Nom du fichier de demande de certificat : 63 caractères maximum
    • Nom du fichier clé : 63 caractères maximum
    • Phrase de mot de passe PEM : 31 caractères maximum
    • Période de validité : Maximum 3650 jours
    • Nom du fichier de certificat CA : 63 caractères maximum
    • Nom du fichier de clé CA : maximum 63 caractères
    • Phrase de mot de passe PEM : 31 caractères maximum
    • Fichier du numéro de série de l’AC : maximum 63 caractères
  3. Créer et installer un certificat de test de serveur :

    • Nom du fichier de certificat : 31 caractères maximum
    • Nom de domaine complet : 63 caractères maximum
  4. Créer une clé Diffie-Hellman (DH) :
    • Nom de fichier DH (avec chemin d’accès) : 63 caractères maximum
    • Taille du paramètre DH : Maximum 2048 bits
  5. Importer la clé PKCS12 :

    • Nom du fichier de sortie : 63 caractères maximum
    • Nom du fichier PKCS12 : 63 caractères maximum
    • Importer le mot de passe : 31 caractères maximum
    • Phrase de mot de passe PEM : 31 caractères maximum
    • Vérifier la phrase secrète PEM : 31 caractères maximum
  6. Exporter PKCS12
    • Nom du fichier PKCS12 : 63 caractères maximum
    • Nom du fichier de certificat : 63 caractères maximum
    • Nom du fichier clé : 63 caractères maximum
    • Exporter le mot de passe : 31 caractères maximum
    • Phrase de mot de passe PEM : 31 caractères maximum
  7. Gestion des CRL :
    • Nom du fichier de certificat CA : 63 caractères maximum
    • Nom du fichier de clé CA : maximum 63 caractères
    • Mot de passe du fichier de clé CA : 31 caractères maximum
    • Nom du fichier d’index : 63 caractères maximum
    • Nom du fichier de certificat : 63 caractères maximum
  8. Créer une clé RSA :
    • Nom du fichier clé : maximum 63 caractères
    • Taille de la clé : 4096 bits maximum
    • Phrase de mot de passe PEM : 31 caractères maximum
    • Vérifier la phrase secrète : 31 caractères maximum
  9. Créer une clé DSA :
    • Nom du fichier clé : maximum 63 caractères
    • Taille de la clé : 4096 bits maximum
    • Phrase de mot de passe PEM : 31 caractères maximum
    • Vérifier la phrase secrète : 31 caractères maximum
  10. Modifier les paramètres SSL avancés :
    • Taille maximale de la mémoire CRL : 1024 Mo maximum
    • Délai d’expiration du déclencheur de chiffrement (ticks de 10 mS) : 200 maximum
    • Nombre de paquets de déclenchement de chiffrement : 50 maximum
    • Taille du cache OCSP : 512 Mo maximum
  11. Certificat d’installation :
    • Nom de la paire de clés de certificat : 31 caractères maximum
    • Nom du fichier de certificat : 63 caractères maximum
    • Nom du fichier de clé privée : 63 caractères maximum
    • Mot de passe : 31 caractères maximum
    • Période de notification : 100 maximum
  12. Créer un groupe de chiffrement :
    • Nom du groupe de chiffrement : 39 caractères maximum
  13. Créer une liste de révocation de révocation :
    • Nom de la CRL : 31 caractères maximum
    • Fichier CRL : 63 caractères maximum
    • URL : 127 caractères maximum
    • DN de base : 127 caractères maximum
    • DN de liaison : 127 caractères maximum
    • Mot de passe : 31 caractères maximum
    • Jour (s) : Maximum 31
  14. Créer une stratégie SSL :
    • Nom : 127 caractères maximum
  15. Créer une action SSL :
    • Nom : 127 caractères maximum
  16. Créer un répondeur OCSP :
    • Nom : 32 caractères maximum
    • URL : 128 caractères maximum
    • Profondeur de lot : 8 maximum
    • Délai de traitement par lots : 10000 maximum
    • Produit à l’inclinaison temporelle : 86400 maximum
    • Délai d’expiration de la demande : Maximum120000
  17. Créer un serveur virtuel :
    • Nom : 127 caractères maximum
    • URL de redirection : 127 caractères maximum
    • Délai d’expiration du client : Maximum 31536000 secondes
  18. Créer un service :
    • Nom : 127 caractères maximum
    • Délai d’inactivité (secondes) : Client : Maximum 31536000 Serveur : Maximum 31536000
  19. Créer un groupe de services :
    • Nom du groupe de services : 127 caractères maximum
    • ID du serveur : Maximum 4294967295
    • Délai d’inactivité (secondes) : Client : Valeur maximale 31536000 Serveur : Maximum 31536000
  20. Créer un moniteur :
    • Nom : 31 caractères maximum
  21. Créer un serveur :
    • Nom du serveur : 127 caractères maximum
    • Nom de domaine : 255 caractères maximum
    • Résoudre la nouvelle tentative : Maximum 20939 secondes