Citrix ADC

Listes de révocation de certificats

Un certificat émis par une autorité de certification reste généralement valide jusqu’à sa date d’expiration. Toutefois, dans certaines circonstances, l’AC peut révoquer le certificat délivré avant la date d’expiration. Par exemple, lorsque la clé privée d’un propriétaire est compromise, le nom d’une société ou d’un particulier change, ou l’association entre le sujet et l’autorité de certification change.

Une liste de révocation de certificats (CRL) identifie les certificats non valides par numéro de série et émetteur.

Les autorités de certification délivrent régulièrement des CRL. Vous pouvez configurer l’appliance Citrix ADC pour qu’elle utilise une liste de révocation de certificats pour bloquer les demandes client qui présentent des certificats non valides.

Si vous disposez déjà d’un fichier CRL provenant d’une autorité de certification, ajoutez-le à l’appliance Citrix ADC. Vous pouvez configurer les options d’actualisation. Vous pouvez également configurer Citrix ADC pour qu’il synchronise automatiquement le fichier CRL à un intervalle spécifié, à partir d’un emplacement Web ou d’un emplacement LDAP. L’appliance prend en charge les listes de révocation des droits de révocation au format PEM ou DER. Veillez à spécifier le format de fichier du fichier CRL ajouté à l’appliance Citrix ADC.

Si vous avez utilisé ADC en tant qu’autorité de certification pour créer des certificats utilisés dans les déploiements SSL, vous pouvez également créer une liste de révocation de certificats pour révoquer un certificat particulier. Cette fonctionnalité peut être utilisée, par exemple, pour s’assurer que les certificats auto-signés créés sur Citrix ADC ne sont pas utilisés dans un environnement de production ou au-delà d’une date particulière.

Remarque :

Par défaut, les listes de révocation de révocation des droits de révocation sont stockées dans le répertoire /var/netscaler/ssl de l’appliance Citrix ADC.

Créer une liste de réréréquis sur l’appliance ADC

Étant donné que vous pouvez utiliser l’appliance ADC pour agir en tant qu’autorité de certification et créer des certificats auto-signés, vous pouvez également révoquer les certificats suivants :

  • Certificats que vous avez créés.
  • Certificats dont vous possédez le certificat CA.

L’appliance doit révoquer les certificats non valides avant de créer une liste de révocation de certificats pour ces certificats. L’appliance stocke les numéros de série des certificats révoqués dans un fichier d’index et met à jour le fichier chaque fois qu’elle révoque un certificat. Le fichier d’index est automatiquement créé la première fois qu’un certificat est révoqué.

Révoquer un certificat ou créer une liste de révocation de certificats à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande suivante :

create ssl crl <CAcertFile> <CAkeyFile> <indexFile> (-revoke <input_filename> | -genCRL <output_filename>)

Exemple :

create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -revoke Invalid-1

create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -genCRL CRL-1

Révoquer un certificat ou créer une liste de révocation de certificats à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL et, dans le groupe Mise en route, sélectionnez Gestion des CRL.
  2. Entrez les détails du certificat et, dans la liste Choisir une opération, sélectionnez Révoquer le certificatou Générer une liste de révocation de certificats.

Ajouter une liste de révocation de révocation existante à ADC

Avant de configurer la liste de révocation des droits de révocation sur l’appliance Citrix ADC, assurez-vous que le fichier de révocation de révocation des droits de révocation est stocké localement sur l’appliance Citrix ADC. Dans une configuration HA, le fichier CRL doit être présent sur les deux appliances ADC, et le chemin d’accès au répertoire du fichier doit être le même sur les deux appliances.

Ajouter une liste de révocation de révocation de révocation sur Citrix ADC à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour ajouter une liste de révocation de révocation de révocation sur Citrix ADC et vérifiez la configuration :

add ssl crl <crlName> <crlPath> [-inform (DER | PEM)]

show ssl crl [<crlName>]

Exemple :

> add ssl crl crl-one /var/netscaler/ssl/CRL-one -inform PEM

Done

> show ssl crl crl-one

            Name: crl-one   Status: Valid,  Days to expiration: 29
            CRL Path: /var/netscaler/ssl/CRL-one
            Format: PEM     CAcert: samplecertkey
            Refresh: DISABLED
            Version: 1
            Signature Algorithm: sha1WithRSAEncryption
            Issuer:  C=US,ST=California,L=Santa Clara,O=NetScaler Inc.,OU=SSL Acceleration,CN=www.ns.com/emailAddress=support@Citrix ADC appliance.com
            Last_update:Jun 15 10:53:53 2010 GMT
            Next_update:Jul 15 10:53:53 2010 GMT

    1)      Serial Number: 00
            Revocation Date:Jun 15 10:51:16 2010 GMT
     Done

Ajouter une liste de révocation de révocation de révocation sur le Citrix ADC à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL > CRL, puis ajoutez une CRL.

Configurer les paramètres d’actualisation de la liste de révocation des droits de révocation

Une CRL est générée et publiée par une autorité de certification périodiquement ou, parfois, immédiatement après la révocation d’un certificat particulier. Citrix vous recommande de mettre régulièrement à jour les listes de révocation de certificats sur l’appliance Citrix ADC afin de vous protéger contre les clients qui tentent de se connecter à des certificats non valides.

L’appliance Citrix ADC peut actualiser les listes de révocation des droits de révocation à partir d’un emplacement Web ou d’un répertoire LDAP. Lorsque vous spécifiez des paramètres d’actualisation et un emplacement Web ou un serveur LDAP, la CRL n’a pas besoin d’être présente sur le disque dur local au moment de l’exécution de la commande. La première actualisation stocke une copie sur le disque dur local, dans le chemin spécifié par le paramètre Fichier CRL. Le chemin d’accès par défaut pour stocker la liste de révocation des droits de révocation est /var/netscaler/ssl.

Remarque : Dans les versions 10.0 et ultérieures, la méthode d’actualisation d’une liste de révocation de révocation de révocation de révocation n’est pas incluse par défaut. Spécifiez une méthode HTTP ou LDAP. Si vous effectuez une mise à niveau à partir d’une version antérieure vers la version 10.0 ou ultérieure, vous devez ajouter une méthode et exécuter à nouveau la commande.

Configurer l’actualisation automatique des CRL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour configurer l’actualisation automatique de la CRL et vérifier la configuration :

set ssl crl <crlName> [-refresh ( ENABLED | DISABLED )] [-CAcert <string>] [-server <ip_addr|ipv6_addr|*> | -url <URL>] [-method ( HTTP | LDAP )] [-port <port>] [-baseDN <string>] [-scope ( Base | One )] [-interval <interval>] [-day <positive_integer>] [-time <HH:MM>][-bindDN <string>] {-password } [-binary ( YES | NO )]

show ssl crl [<crlName>]

Exemple :

    set CRL crl1  -refresh enabled -method ldap -inform DER -CAcert ca1 -server 10.102.192.192 -port 389 -scope base -baseDN "cn=clnt_rsa4_multicert_der,ou=eng,o=ns,c=in" -time 00:01

    set ssl crl crl1 -refresh enabled -method http -cacert ca1 -port 80 -time 00:10 -url http://10.102.192.192/crl/ca1.crl


    > sh crl

    1)         Name: crl1        Status: Valid,     Days to expiration: 355
                CRL Path: /var/netscaler/ssl/crl1
                Format: PEM      CAcert: ca1
                Refresh: ENABLED          Method: HTTP
                URL: http://10.102.192.192/crl/ca1.crl                 Port:80
                Refresh Time: 00:10
                Last Update: Successful, Date:Tue Jul  6 14:38:13 2010
    Done

Configurer l’actualisation automatique des CRL à l’aide de LDAP ou HTTP à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > CRL.
  2. Ouvrez une liste de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation.

Remarque

Si la nouvelle CRL a été actualisée dans le référentiel externe avant son heure de mise à jour réelle, tel que spécifié par le champ Heure de dernière mise à jour de la liste de rétention, vous devez effectuer les opérations suivantes : Actualisez

immédiatement la CRL sur le dispositif Citrix ADC.

Pour afficher l’heure de la dernière mise à jour, sélectionnez la liste de révocation des droits de révocation, puis cliquez sur Détails.

Synchroniser les listes de révocation

L’appliance Citrix ADC utilise la liste de révocation de certificats distribuée la plus récente pour empêcher les clients ayant des certificats révoqués d’accéder à des ressources sécurisées.

Si les listes de révocation de révocation de révocation de révocation Citrix ADC révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation de ré Vous pouvez configurer l’appliance pour qu’elle mette à jour automatiquement les listes de régénération à un intervalle d’actualisation spécifié.

L’appliance tient à jour une liste interne des listes de révocation des droits de révocation qui doivent être mises à jour à intervalles réguliers. À ces intervalles spécifiés, l’appliance analyse la liste des listes de révocation de révocation qui doivent être mises à jour. Il se connecte ensuite au serveur LDAP distant ou au serveur HTTP, récupère les LCR les plus récentes, puis met à jour la liste des listes de CRL locale avec les nouvelles LCR.

Remarque :

Si la vérification de la liste de révocation de certificats est définie sur obligatoire lorsque le certificat de l’autorité de certification est lié au serveur virtuel et que l’actualisation initiale échoue, l’action suivante est entreprise pour les connexions :

Toutes les connexions d’authentification client avec le même émetteur que la liste de révocation de certificats sont rejetées comme REVOKED jusqu’à ce que la liste de révocation de certificats est actualisé avec succès.

Vous pouvez spécifier l’intervalle auquel l’actualisation de la liste de révocation de révocation doit être effectuée. Vous pouvez également spécifier l’heure exacte.

Synchroniser l’actualisation automatique de CRL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande suivante :

set ssl crl <crlName> [-interval <interval>] [-day <integer>] [-time <HH:MM>]

Exemple :

set ssl crl CRL-1 -refresh ENABLE -interval MONTHLY -days 10 -time 12:00

Synchroniser l’actualisation des listes de révocation des droits de révocation à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL > CRL.
  2. Ouvrez une liste de révocation de révocation de révocation de révocation de révocation de révocation de révocationde révocation de révocation de révocation de

Effectuer l’authentification du client à l’aide d’une liste de révocation de certificats

Si une liste de révocation de certificats est présente sur une appliance Citrix ADC, une vérification de révocation de certificats est effectuée, que la vérification de révocation de certificats soit définie sur obligatoire ou facultative.

Le succès ou l’échec d’une poignée de main dépend d’une combinaison des facteurs suivants :

  • Règle pour la vérification des CRL
  • Règle de vérification du certificat client
  • État de la liste de révocation de certificats configurée pour le certificat de l’autorité de certification

Le tableau suivant répertorie les résultats des combinaisons possibles pour une poignée de main impliquant un certificat révoqué.

Tableau 1. Résultat d’une poignée de main avec un client à l’aide d’un certificat révoqué

Règle pour la vérification des CRL Règle de vérification du certificat client État de la liste de révocation de certificats configurée pour le certificat de l’autorité de certification Résultat d’une poignée de main avec un certificat révoqué
Facultatif Facultatif Manquant Réussi
Facultatif Obligatoire Manquant Réussi
Facultatif Obligatoire Présent Échec
Obligatoire Facultatif Manquant Réussi
Obligatoire Obligatoire Manquant Échec
Obligatoire Facultatif Présent Réussi
Obligatoire Obligatoire Présent Échec
Optionnel/Obligatoire Facultatif Expiré Réussi
Optionnel/Obligatoire Obligatoire Expiré Échec

Remarque :

  • La vérification des CRL est facultative par défaut. Pour passer de facultatif à obligatoire ou inversement, vous devez d’abord délier le certificat du serveur virtuel SSL, puis le lier à nouveau après avoir modifié l’option.

  • Dans la sortie de la commande sh ssl vserver, OCSP check : optional implique qu’une vérification CRL est également facultative. Les paramètres de vérification des CRL sont affichés dans la sortie de la sh ssl vserver commande uniquement si la vérification CRL est définie sur obligatoire. Si la vérification des CRL est définie sur facultative, les détails de la vérification des LCR n’apparaissent pas.

Pour configurer la vérification des CRL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande suivante :

bind ssl vserver <vServerName> -certkeyName <string> [(-CA -crlCheck ( Mandatory | Optional ))]
sh ssl vserver

Exemple :

bind ssl vs v1 -certkeyName ca -CA -crlCheck mandatory
> sh ssl vs v1

Advanced SSL configuration for VServer v1:

DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: ENABLED Client Cert Required: Mandatory
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Push Encryption Trigger: Always
Send Close-Notify: YES

ECC Curve: P_256, P_384, P_224, P_521

1) CertKey Name: ca CA Certificate CRLCheck: Mandatory CA_Name Sent

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done

Configurer la vérification des CRL à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuelset ouvrez un serveur virtuel SSL.
  2. Cliquez dans la section Certificats.
  3. Sélectionnez un certificat et, dans la liste OCSP et CRL Check, sélectionnez CRL Obligatoire.

Résultat d’une poignée de main avec un certificat révoqué ou valide

Règle pour la vérification des CRL Règle de vérification du certificat client État de la liste de révocation de certificats configurée pour le certificat de l’autorité de certification Résultat d’une poignée de main avec un certificat révoqué Résultat d’une poignée de main avec un certificat valide
Obligatoire Obligatoire Présent Échec Réussi
Obligatoire Obligatoire Expiré Échec Échec
Obligatoire Obligatoire Manquant Échec Échec
Obligatoire Obligatoire Indéfini Échec Échec
Facultatif Obligatoire Présent Échec Réussi
Facultatif Obligatoire Expiré Réussi Réussi
Facultatif Obligatoire Manquant Réussi Réussi
Facultatif Obligatoire Indéfini Réussi Réussi
Obligatoire Facultatif Présent Réussi Réussi
Obligatoire Facultatif Expiré Réussi Réussi
Obligatoire Facultatif Manquant Réussi Réussi
Obligatoire Facultatif Indéfini Réussi Réussi
Facultatif Facultatif Présent Réussi Réussi
Facultatif Facultatif Expiré Réussi Réussi
Facultatif Facultatif Manquant Réussi Réussi
Facultatif Facultatif Indéfini Réussi Réussi