Citrix ADC

Authentification du serveur

Étant donné que l’appliance Citrix ADC effectue le déchargement et l’accélération SSL pour le compte d’un serveur Web, l’appliance n’authentifie généralement pas le certificat du serveur Web. Toutefois, vous pouvez authentifier le serveur dans les déploiements nécessitant un chiffrement SSL de bout en bout.

Dans ce cas, l’appliance devient le client SSL, effectue une transaction sécurisée avec le serveur SSL, vérifie qu’une autorité de certification dont le certificat est lié au service SSL a signé le certificat du serveur et vérifie la validité du certificat du serveur.

Pour authentifier le serveur, vous devez d’abord activer l’authentification du serveur, puis lier le certificat de l’autorité de certification qui a signé le certificat du serveur au service SSL sur l’appliance Citrix ADC. Lorsque vous liez le certificat, vous devez spécifier l’option de liaison en tant qu’autorité de certification.

Activer (ou désactiver) l’authentification de certificat du serveur

Vous pouvez utiliser l’interface de ligne de commande et l’interface graphique pour activer et désactiver l’authentification par certificat de serveur.

Activer (ou désactiver) l’authentification de certificat de serveur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour activer l’authentification par certificat de serveur et vérifier la configuration :

set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>

Exemple :

set ssl service ssl-service-1 -serverAuth ENABLED
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done

Activer (ou désactiver) l’authentification de certificat de serveur à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Services et ouvrez un service SSL.
  2. Dans la section Paramètres SSL, sélectionnez Activer l’authentification du serveur et spécifiez un nom commun.
  3. Dans Paramètres avancés, sélectionnez Certificats et liez un certificat d’autorité de certification au service.

Liez le certificat de l’autorité de certification au service à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour lier le certificat d’autorité de certification au service et vérifier la configuration :

bind ssl service <serviceName> -certkeyName <string> -CA

show ssl service <serviceName>

Exemple :

bind ssl service ssl-service-1 -certkeyName samplecertkey -CA
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      CertKey Name: samplecertkey     CA Certificate          CRLCheck: Optional
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done

Configurer un nom commun pour l’authentification de certificat de serveur

Dans le cryptage de bout en bout avec l’authentification du serveur activée, vous pouvez inclure un nom commun dans la configuration d’un service ou d’un groupe de services SSL. Le nom que vous spécifiez est comparé au nom commun dans le certificat de serveur lors d’une poignée de main SSL. Si les deux noms correspondent, la poignée de main réussit. Si les noms communs ne correspondent pas, le nom commun spécifié pour le service ou le groupe de services est comparé aux valeurs du champ SAN (Subject Alternative name) du certificat. Si elle correspond à l’une de ces valeurs, la poignée de main réussit. Cette configuration est particulièrement utile s’il y a, par exemple, deux serveurs derrière un pare-feu et l’un des serveurs usurpent l’identité de l’autre. Si le nom commun n’est pas coché, un certificat présenté par l’un ou l’autre serveur est accepté si l’adresse IP correspond.

Remarque : seules les entrées DNS de nom de domaine, d’URL et d’ID de messagerie dans le champ SAN sont comparées.

Configurer la vérification de nom commun pour un service ou un groupe de services SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour spécifier l’authentification du serveur avec la vérification du nom commun et vérifier la configuration :

  1. Pour configurer un nom commun dans un service, tapez :

    set ssl service <serviceName> -commonName <string> -serverAuth ENABLED
    show ssl service <serviceName>
    
  2. Pour configurer un nom commun dans un groupe de services, tapez :

    set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED
    show ssl serviceGroup <serviceGroupName>
    

Exemple :

> set ssl service svc1 -commonName xyz.com -serverAuth ENABLED
show ssl service svc

     Advanced SSL configuration for Back-end SSL Service svc1:
     DH: DISABLED
     Ephemeral RSA: DISABLED
     Session Reuse: ENABLED Timeout: 300 seconds
     Cipher Redirect: DISABLED
     SSLv2 Redirect: DISABLED
     Server Auth: ENABLED Common Name: www.xyz.com
     SSL Redirect: DISABLED
     Non FIPS Ciphers: DISABLED
     SNI: DISABLED
     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
    1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
    1) Cipher Name: ALL
     Description: Predefined Cipher Alias
Done

Configurer la vérification de nom commun pour un service ou un groupe de services SSL à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Services ou Accédez à Gestion du trafic > Équilibrage de charge > Groupes de services, puis ouvrez un service ou un groupe de services.
  2. Dans la section Paramètres SSL, sélectionnez Activer l’authentification du serveur et spécifiez un nom commun.

Authentification du serveur