Créer et utiliser des certificats SSL sur une appliance Citrix ADC

Procédez comme suit pour créer un certificat et le lier à un serveur virtuel SSL.

  • Créez une clé privée.
  • Créez une demande de signature de certificat (CSR).
  • Soumettez le CSR à une autorité de certification.
  • Créez une paire de clés de certificat.
  • Liez la paire de clés de certificat à un serveur virtuel SSL

Le diagramme suivant illustre le flux de bout en bout.

Flux de bout en bout

Créer une clé privée

La clé privée est la partie la plus importante d’un certificat numérique. Par définition, cette clé ne doit être partagée avec personne et doit être conservée en toute sécurité sur l’appliance Citrix ADC. Toutes les données chiffrées avec la clé publique ne peuvent être déchiffrées qu’à l’aide de la clé privée.

Le certificat que vous recevez de l’autorité de certification est valide uniquement avec la clé privée utilisée pour créer le CSR. La clé est requise pour ajouter le certificat à l’appliance Citrix ADC.

Important :

Veillez à limiter l’accès à votre clé privée. Toute personne ayant accès à votre clé privée peut déchiffrer vos données SSL. Note :

La longueur du nom de clé SSL autorisée inclut la longueur du nom de chemin absolu si le chemin est inclus dans le nom de la clé.

Créer une clé privée RSA à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl rsakey <keyFile> <bits> [-exponent ( 3 | F4 )] [-keyform (DER | PEM )] [-des | -des3 | -aes256] {-password } [-pkcs8]

Exemple :

create rsakey RSA_Key 2048 -aes256 -password 123456 -pkcs8

Créer une clé privée RSA à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL .

  2. Dans le groupe Clés SSL , sélectionnez Créer une clé RSA .

    Créer une clé RSA

  3. Entrez des valeurs pour les paramètres suivants et cliquez sur Créer.

    • Key Filename - Nom du fichier de clé RSA et éventuellement chemin d’accès au fichier de clé RSA. /nsconfig/ssl/ est le chemin par défaut.
    • Taille de la clé : taille, en bits, de la clé RSA. Peut varier de 512 bits à 4096 bits.
    • Valeur exposante publique - Exponent public pour la clé RSA. L’exposant fait partie de l’algorithme de chiffrement et est requis pour créer la clé RSA.
    • Format de clé : format dans lequel le fichier de clé RSA est stocké sur l’appliance.
    • Algorithme d’encodage PEM - Cryptez la clé RSA générée à l’aide de l’algorithme AES 256, DES ou Triple-DES (DES3).
    • Passe secrète PEM - Saisissez éventuellement une phrase de passage pour la clé.

    Saisir des valeurs

Créer une demande de signature de certificat

Utilisez la clé privée pour créer une demande de signature de certificat et soumettre à une autorité de certification.

Créer une demande de signature de certificat à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl certreq <reqFile> -keyFile <input_filename> | -fipsKeyName <string>) [-keyForm (DER | PEM) {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName <string> -organizationUnitName <string> -localityName <string> -commonName <string> -emailAddress <string> {-challengePassword } -companyName <string> -digestMethod ( SHA1 | SHA256 )

Exemple :

create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256

Créer une demande de signature de certificat à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL .
  2. Dans Certificat SSL , cliquez sur Créer une demande de signature de certificat (CSR) .

    Créer une demande de signature de certificat

  3. Entrez des valeurs pour les paramètres suivants, puis cliquez sur Créer.

    • Nom du fichier de demande - Nom de la demande de signature de certificat (CSR) et éventuellement chemin d’accès à celle-ci. /nsconfig/ssl/ est le chemin par défaut.

    • Key Filename - Nom de la clé privée utilisée pour créer la demande de signature de certificat et, éventuellement, chemin d’accès à la clé privée. La clé privée peut être soit une clé RSA, soit une clé DSA. La clé doit être présente dans le stockage local de l’appliance. /nsconfig/ssl est le chemin par défaut.

    • Nom commun

    • Nom de l’organisation

    • État

    • Pays

    Saisissez des valeurs pour CSR

Soumettre le CSR à l’autorité de certification

La plupart des autorités de certification acceptent les envois de certificats par courriel. L’autorité de certification renvoie un certificat valide à l’adresse e-mail à partir de laquelle vous soumettez le CSR.

Ajouter une paire de clés de certificat

Installez le certificat signé reçu de l’autorité de certification.

Remarque : les certificats et les clés sont stockés dans le répertoire /nsconfig/ssl par défaut. Si vos certificats ou clés sont stockés dans un autre emplacement, vous devez fournir le chemin d’accès absolu aux fichiers de l’appliance Citrix ADC.

Ajouter une paire de clés de certificat à l’aide de l’interface de ligne de commande

add ssl certKey <certkeyName> -cert <string>[(-key <string> [-password]) | -fipsKey <string>] [-inform ( DER | PEM )] [<passplain>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]]

show ssl certKey [<certkeyName>]

Exemple :

add ssl certKey rsa_certkeypair -cert server_cert.pem -key RSA_Key.pem -password ssl -expiryMonitor ENABLED -notificationPeriod 30
 Done

Ajouter une paire de clés de certificat à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > Certificats > Serveur.

    Installation du certificat

  2. Entrez des valeurs pour les paramètres suivants et cliquez sur Installer.

    • Nom de la paire de clés de certificat - Nom du certificat et de la paire de clés privées.

    • Nom du fichier de certificat - Certificat signé reçu de l’autorité de certification.

    • Nom du fichier de clé - Nom du fichier de clé privée et éventuellement chemin d’accès au fichier de clé privée utilisé pour former la paire de clés de certificat.

    valeurs de type

Liez la paire de clés de certificat à un serveur virtuel SSL

Important : associez tous les certificats intermédiaires à ce certificat avant de lier le certificat à un serveur virtuel SSL. Pour plus d’informations sur la liaison de certificats, reportez-vous à la sectionCréer une chaîne de certificats.

Le certificat utilisé pour le traitement des transactions SSL doit être lié au serveur virtuel qui reçoit les données SSL. Si plusieurs serveurs virtuels reçoivent des données SSL, une paire de clés de certificat valide doit être liée à chacun d’eux.

Liez une paire de clés de certificat SSL à un serveur virtuel à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour lier une paire de clés de certificat SSL à un serveur virtuel et vérifier la configuration :

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName> -CA -skipCAName
show ssl vserver <vServerName>

Exemple :

bind ssl vs vs1 -certkeyName cert2 -CA -skipCAName
 Done
sh ssl vs vs1

 Advanced SSL configuration for VServer vs1:

 DH: DISABLED

 Ephemeral RSA: ENABLED Refresh Count: 0

 Session Reuse: ENABLED Timeout: 120 seconds

 Cipher Redirect: DISABLED

 SSLv2 Redirect: DISABLED

 ClearText Port: 0

 Client Auth: DISABLED

 SSL Redirect: DISABLED

 Non FIPS Ciphers: DISABLED

 SNI: DISABLED

 OCSP Stapling: DISABLED

 HSTS: DISABLED

 IncludeSubDomains: NO

 HSTS Max-Age: 0

 SSLv2: DISABLED SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED

 Push Encryption Trigger: Always

 Send Close-Notify: YES

 Strict Sig-Digest Check: DISABLED

ECC Curve: P_256, P_384, P_224, P_521

 1) CertKey Name: cert1 CA Certificate OCSPCheck: Optional CA_Name Sent
 2) CertKey Name: cert2 CA Certificate OCSPCheck: Optional CA_Name Skipped
 1) Cipher Name: DEFAULT

Description: Default cipher list with encryption strength >= 128bit
Done

Liez une paire de clés de certificat SSL à un serveur virtuel à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels et ouvrez un serveur virtuel SSL. Cliquez dans la section Certificat .

    Lier un certificat au serveur virtuel

  2. Cliquez sur la flèche pour sélectionner la paire de clés de certificat.

    Cliquez sur la flèche pour sélectionner une paire de clés de certificat

  3. Sélectionnez la paire de clés de certificat dans la liste.

    Sélectionner une paire de clés de certificat

  4. Liez la paire de clés de certificat au serveur virtuel.

    Liez le certificat au serveur virtuel