Certificats de site globaux

Un certificat de site global est un certificat de serveur à usage spécial dont la longueur de clé est supérieure à 128 bits. Un certificat de site global se compose d’un certificat de serveur et d’un certificat CA intermédiaire. Vous devez importer le certificat de site global et sa clé à partir du serveur vers l’appliance Citrix ADC.

Fonctionnement des certificats de site globaux

Les versions d’exportation des navigateurs utilisent le chiffrement 40 bits pour initier des connexions aux serveurs Web SSL. Le serveur répond aux demandes de connexion en envoyant son certificat. Le client et le serveur décident ensuite d’une force de chiffrement basée sur le type de certificat serveur :

  • Si le certificat de serveur est un certificat normal et non un certificat de site global, le client d’exportation et le serveur terminent la liaison SSL et utilisent le chiffrement 40 bits pour le transfert de données.
  • Si le certificat de serveur est un certificat de site global (et si la fonctionnalité client d’exportation est prise en charge par le navigateur), le client d’exportation met automatiquement à niveau le chiffrement 128 bits pour le transfert de données.

Si le certificat de serveur est un certificat de site global, le serveur envoie son certificat, accompagné du certificat CA intermédiaire qui l’accompagne. Le navigateur valide d’abord le certificat CA intermédiaire en utilisant l’un des certificats CA racine qui sont normalement inclus dans les navigateurs Web. Une fois le certificat intermédiaire validé, le navigateur utilise le certificat intermédiaire CA pour valider le certificat serveur. Une fois le serveur validé, le navigateur renégocie (met à niveau) la connexion SSL au chiffrement 128 bits.

Avec Server Gated Cryptography (SGC) de Microsoft, si le serveur Microsoft IIS est configuré avec un certificat SGC, exportez les clients qui reçoivent le certificat renégocient pour utiliser le chiffrement 128 bits.

Importer un certificat de site global

Pour importer un certificat de site global, exportez d’abord le certificat et la clé de serveur à partir du serveur Web. Les certificats de site global sont généralement exportés dans un format binaire. Par conséquent, avant d’importer le certificat de site global, convertissez le certificat et la clé au format PEM.

Pour importer un certificat de site global

  1. À l’aide d’un éditeur de texte, copiez le certificat serveur et le certificat CA intermédiaire dans deux fichiers distincts.

    Le certificat codé PEM individuel commencera par l’en-tête ----- BEGIN CERTIFICATE----- et se terminera par le code de fin -----END CERTIFICATE-----.

  2. Utilisez un client SFTP pour transférer le certificat de serveur, le certificat CA intermédiaire et la clé de serveur vers l’appliance Citrix ADC.

  3. Utilisez la commande OpenSSL suivante pour identifier le certificat serveur et le certificat CA intermédiaire à partir des deux fichiers distincts.

    Remarque : Vous pouvez lancer l’interface OpenSSL à partir de l’utilitaire de configuration. Dans le volet de navigation, cliquez sur SSL. Dans le volet d’informations, sous Outils, cliquez sur Ouvrir l’interface SSL.

    openssl x509 -in >path of the CA cert file< text X509v3 Basic Constraints: CA:TRUE
                X509v3 Key Usage:
                    Certificate Sign, CRL Sign
                Netscape Cert Type:
                    SSL CA, S/MIME CA
    
    openssl x509 -in >path of the server certificate file< -text
    
    X509v3 Basic Constraints:
                    CA:FALSE
                Netscape Cert Type:
                    SSL Server
    
    
  4. À l’invite du shell FreeBSD, entrez la commande suivante :

    openssl x509 -in cert.pem -text | more
    

    cert.pem est l’un des deux fichiers de certificat.

    Lisez le champ Objet dans la sortie de la commande. Par exemple, les opérations suivantes peuvent être effectuées :

    Subject: C=US, ST=Oregon, L=Portland, O=mycompany, Inc., OU=IT, CN=www.mycompany.com
    

    Si le champ CN de l’objet correspond au nom de domaine de votre site Web, il s’agit du certificat serveur et l’autre certificat est le certificat CA intermédiaire.

  5. Utilisez le certificat du serveur et sa clé privée) pour créer une paire de clés de certificat sur l’appliance Citrix ADC. Pour plus d’informations sur la création d’une paire de clés de certificat sur Citrix ADC, reportez-vous à la section Ajouter une paire de clés de certificat.

  6. Ajoutez le certificat CA intermédiaire sur l’appliance Citrix ADC. Utilisez le certificat de serveur que vous avez créé à l’étape 4 pour signer ce certificat intermédiaire. Pour plus d’informations sur la création d’un certificat CA intermédiaire sur Citrix ADC, reportez-vous à la section Générer un certificat de test.