Créer un certificat

Une autorité de certification (CA) est une entité qui émet des certificats numériques à utiliser dans la cryptographie à clé publique. Les certificats émis ou signés par une autorité de certification sont automatiquement approuvés par les applications, telles que les navigateurs Web, qui effectuent des transactions SSL. Ces applications tiennent à jour une liste des autorités de certification qu’elles ont confiance. Si le certificat utilisé pour la transaction sécurisée est signé par l’une des autorités de certification de confiance, l’application procède à la transaction.

Pour obtenir un certificat SSL auprès d’une autorité de certification autorisée, vous devez créer une clé privée, utiliser cette clé pour créer une demande de signature de certificat (CSR) et soumettre le CSR à l’autorité de certification. Les seuls caractères spéciaux autorisés dans les noms de fichiers sont le trait de soulignement et le point.

Pour importer un certificat et une clé existants, reportez-vous à la section Importer un certificat.

Créer une clé privée

La clé privée est la partie la plus importante d’un certificat numérique. Par définition, cette clé ne doit être partagée avec personne et doit être conservée en toute sécurité sur l’appliance Citrix ADC. Toutes les données chiffrées avec la clé publique ne peuvent être déchiffrées qu’à l’aide de la clé privée.

L’appliance prend en charge deux algorithmes de chiffrement, RSA et DSA, pour la création de clés privées. Vous pouvez soumettre l’un ou l’autre type de clé privée à l’autorité de certification. Le certificat que vous recevez de l’autorité de certification est valide uniquement avec la clé privée utilisée pour créer le CSR, et la clé est requise pour ajouter le certificat à l’appliance Citrix ADC.

Attention : Veillez à limiter l’accès à votre clé privée. Toute personne ayant accès à votre clé privée peut déchiffrer vos données SSL.

Remarque :

  • À partir de la version 12.1 build 49.x, vous pouvez utiliser l’algorithme AES256 avec le format de clé PEM pour chiffrer une clé privée sur l’appliance. AES avec clé 256 bits est plus efficace et plus sûr sur le plan mathématique que la clé 56 bits de DES.

  • À partir de la version 12.1 build 50.x, vous pouvez créer une clé RSA ou DSA au format PKCS #8.

Tous les certificats et clés SSL sont stockés dans le dossier /nsconfig/ssl de l’appliance. Pour plus de sécurité, vous pouvez utiliser l’algorithme DES (Data Encryption Standard) ou triple DES (3DES) pour chiffrer la clé privée stockée sur l’appliance.

Remarque :

La longueur du nom de clé SSL autorisée inclut la longueur du nom de chemin absolu si le chemin est inclus dans le nom de la clé.

Créer une clé privée RSA à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl rsakey <keyFile> <bits> [-exponent ( 3 | F4 )] [-keyform (DER | PEM )] [-des | -des3 | -aes256] {-password } [-pkcs8]

Exemple :

create rsakey testkey 2048 -aes256 -password 123456 -pkcs8

Créer une clé privée RSA à l’aide de l’interface graphique

Accédez à Traffic Management > SSL et, dans le groupe SSL Keys, sélectionnez Créer une clé RSA et créez une clé RSA.

Pour sélectionner l’algorithme de codage AES256 dans une clé RSA à l’aide de l’interface graphique :

  1. Accédez à Gestion du trafic > SSL > Fichiers SSL > Créer une clé RSA.

  2. Dans Format de clé, sélectionnez PEM.

  3. Dans PEM Encoding Algorithm, sélectionnez AES256.

  4. Sélectionnez PKCS8.

Créer une clé privée DSA à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl dsakey <keyfile> <bits> [-keyform (DER | PEM)] [-pkcs8]

Exemple :

create ssl dsakey Key-DSA-1 2048 -keyform PEM

Créer une clé privée DSA à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL et, dans le groupe Clés SSL, sélectionnez Créer une clé DSA et créez une clé DSA.
  2. Pour créer une clé au format PKCS #8, sélectionnez PKCS8.

Prise en charge de l’algorithme de digest SHA 256 dans une demande de signature de certificat

La demande de signature de certificat (CSR) est une collection d’informations, y compris le nom de domaine, d’autres détails importants de l’entreprise et la clé privée à utiliser pour créer le certificat. Pour éviter de générer un certificat non valide, assurez-vous que les détails que vous fournissez sont exacts.

L’appliance Citrix ADC prend en charge la création d’un CSR signé avec l’algorithme de résumé SHA1 par défaut. Dans les versions précédentes, pour créer un CSR signé avec l’algorithme de digest SHA256, vous deviez utiliser OpenSSL.

L’appliance prend en charge la création d’un CSR signé à l’aide de l’algorithme de résumé SHA256. L’algorithme de hachage de chiffrement utilisé dans SHA256 le rend plus fort que SHA1.

Créer une demande de signature de certificat à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

create ssl certreq <reqFile> -keyFile <input_filename> | -fipsKeyName <string>) [-keyForm (DER | PEM) {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName <string> -organizationUnitName <string> -localityName <string> -commonName <string> -emailAddress <string> {-challengePassword } -companyName <string> -digestMethod ( SHA1 | SHA256 )

Exemple :

create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256

Créer une demande de signature de certificat à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL.
  2. Dans Certificat SSL, cliquez sur Créer une demande de signature de certificat (CSR).
  3. Dans Méthode de synthèse, sélectionnez SHA256.

Prise en charge du nom alternatif du sujet dans une demande de signature de certificat

Le champ de nom alternatif de sujet (SAN) d’un certificat vous permet d’associer plusieurs valeurs, telles que des noms de domaine et des adresses IP, à un seul certificat. En d’autres termes, vous pouvez sécuriser plusieurs domaines, tels que www.example.com, www.example1.com, www.example2.com, avec un seul certificat.

Certains navigateurs, tels que Google Chrome, ne prennent plus en charge le nom commun dans une demande de signature de certificat (CSR). Ils appliquent le SAN dans tous les certificats de confiance publique.

L’appliance Citrix ADC prend en charge l’ajout de valeurs SAN lors de la création d’un CSR. Vous pouvez envoyer un CSR avec une entrée SAN à une autorité de certification pour obtenir un certificat signé avec l’entrée SAN. Lorsque l’appliance reçoit une demande, elle recherche un nom de domaine correspondant dans les entrées SAN du certificat de serveur. Si une correspondance est trouvée, il envoie le certificat au client et termine la poignée de main SSL. Vous pouvez utiliser l’interface de ligne de commande ou l’interface graphique pour créer un CSR avec des valeurs SAN.

Remarque :

L’appliance Citrix ADC traite uniquement les valeurs SAN basées sur le DNS.

Créez un CSR avec le nom alternatif de l’objet à l’aide de l’interface de ligne de commande

create ssl certReq <reqFile> (-keyFile <input_filename> | -fipsKeyName <string>) [-subjectAltName <string>] [-keyform ( DER | PEM )  {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName <string> [-organizationUnitName <string>] [-localityName <string>] [-commonName <string>] [-emailAddress <string>] {-challengePassword } [-companyName <string>] [-digestMethod ( SHA1 | SHA256 )]

Paramètres :

SubjectAltName : Le nom alternatif du sujet (SAN) est une extension de X.509 qui permet d’associer diverses valeurs à un certificat de sécurité à l’aide d’un champ SubjectAltName. Ces valeurs sont appelées « Subject Alternative Names » (SAN). Les noms comprennent :

  1. Adresses IP (préfixe avec « IP : » Exemple : IP:198.51.10.5 IP:192.0.2.100)

  2. Noms DNS (Préfixe avec « DNS : » Exemple : DNS : www.example.com DNS : www.example.org DNS : www.example.net)

Dans l’interface de ligne de commande, entrez des valeurs entre guillemets. Séparer deux valeurs par un espace. Les guillemets ne sont pas obligatoires dans l’interface graphique. Longueur maximale : 127

Exemple :

create certReq test1.csr -keyFile test1.ky -countryName IN -stateName Kar -organizationName citrix -commonName ctx.com -subjectAltName "DNS:*.example.com DNS:www.example.org DNS:www.example.net"

Remarque :

Sur une appliance FIPS, vous devez remplacer le nom du fichier de clé par le nom de clé FIPS si vous créez la clé FIPS directement sur l’appliance.

create certReq <csrname> -fipsKeyName fipskey.ky -countryName IN -stateName Kar -organizationName citrix -commonName ctx.com -subjectAltName "DNS:www.example.com DNS:www.example.org DNS:www.example.net"

Créer un CSR à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > Fichiers SSL.
  2. Dans l’onglet CSR, cliquez sur Créer une demande de signature de certificat (CSR).
  3. Entrez les valeurs et cliquez sur Créer.

Limitations

Pour utiliser SAN lors de la création d’un certificat SSL, vous devez spécifier explicitement les valeurs SAN. Les valeurs ne sont pas lues automatiquement à partir du fichier CSR.

Soumettre le CSR à l’AC

La plupart des autorités de certification acceptent les soumissions de certificats par courriel. L’autorité de certification retournera un certificat valide à l’adresse e-mail à partir de laquelle vous soumettez le CSR.

Générer un certificat de test

Remarque :

Pour générer un certificat de test de serveur, reportez-vous à la section Génération d’un certificat de test de serveur.

L’appliance Citrix ADC dispose d’une suite d’outils CA intégrée que vous pouvez utiliser pour créer des certificats auto-signés à des fins de test.

Attention : Étant donné que ces certificats sont signés par l’appliance Citrix ADC elle-même, et non par une autorité de certification réelle, vous ne devez pas les utiliser dans un environnement de production. Si vous tentez d’utiliser un certificat auto-signé dans un environnement de production, les utilisateurs reçoivent un avertissement « certificat non valide » chaque fois que le serveur virtuel est accédé.

L’appliance prend en charge la création des types de certificats suivants

  • Certificats de CA racine
  • Certificats de CA intermédiaire
  • Certificats d’utilisateur final
    • certificats de serveur
    • certificats clients

Avant de générer un certificat, créez une clé privée et utilisez-la pour créer une demande de signature de certificat (CSR) sur l’appliance. Ensuite, au lieu d’envoyer le CSR à une autorité de certification, utilisez Citrix ADC CA Tools pour générer un certificat.

Créer un certificat à l’aide d’un assistant

  1. Accédez à Gestion du trafic > SSL.
  2. Dans le volet d’informations, sous Mise en route, sélectionnez l’Assistant correspondant au type de certificat que vous souhaitez créer.
  3. Suivez les instructions à l’écran.

Créer un certificat racine CA à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande suivante :

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM )] [-days <positive_integer>]

Dans l’exemple suivant, csreq1 est le CSR et rsa1 est la clé privée créée précédemment.

Exemple :

create ssl cert cert1 csreq1 ROOT_CERT -keyFile rsa1 -keyForm PEM -days 365

  Done

Créer un certificat CA intermédiaire à l’aide de l’interface de ligne de commande

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM )] [-days <positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey <input_filename>] [-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]

Dans l’exemple suivant, csr1 est le CSR créé précédemment. Cert1 et rsakey1 sont le certificat et la clé correspondante du certificat auto-signé (Root-CA), et pvtkey1 est la clé privée du certificat CA intermédiaire.

Exemple :

create ssl cert certsy csr1 INTM_CERT -CAcert cert1 -CAkey rsakey1 -CAserial 23
Done

create ssl rsakey pvtkey1 2048 -exponent F4 -keyform PEM
Done

Créer un certificat racine CA à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL et, dans le groupe Mise en route, sélectionnez Assistant Certificat CA racine et configurez un certificat d’autorité de certification racine.

Créer un certificat CA intermédiaire à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL et, dans le groupe Mise en route, sélectionnez Assistant Certificat CA intermédiaire et configurez un certificat CA intermédiaire.

Créer un certificat d’utilisateur final

Un certificat d’utilisateur final peut être un certificat client ou un certificat de serveur. Pour créer un certificat d’utilisateur final de test, spécifiez le certificat d’autorité de certification intermédiaire ou le certificat d’autorité de certification racine auto-signé.

Remarque :

Pour créer un certificat d’utilisateur final pour une utilisation en production, spécifiez un certificat d’autorité de certification approuvée et envoyez le CSR à une autorité de certification (CA).

Créer un certificat d’utilisateur final de test à l’aide de l’interface de ligne de commande

create ssl cert <certFile> <reqFile> <certType> [-keyFile <input_filename>] [-keyform ( DER | PEM )] [-days<positive_integer>] [-certForm ( DER | PEM )] [-CAcert <input_filename>] [-CAcertForm ( DER | PEM )] [-CAkey<input_filename>] [-CAkeyForm ( DER | PEM )] [-CAserial <output_filename>]

S’il n’y a pas de certificat intermédiaire, utilisez les valeurs de certificat (cert1) et de clé privée (rsakey1) du certificat racine CA dans CACert et CAKey.

Exemple :

create ssl cert cert12 csr1 SRVR_CERT -CAcert cert1 -CAkey rsakey1 -CAserial 23

Done

S’il existe un certificat intermédiaire, utilisez les valeurs de certificat (certsy) et de clé privée (pvtkey1) du certificat intermédiaire dans CACert et CAKey.

Exemple :

create ssl cert cert12 csr1 SRVR_CERT -CAcert certsy -CAkey pvtkey1 -CAserial 23

Done