Citrix ADC

FAQ SSL

Questions de base

L’accès HTTPS à l’interface graphique échoue sur une instance VPX. Comment puis-je obtenir l’accès ?

Une paire de clés de certificat est requise pour l’accès HTTPS à l’interface graphique. Sur une appliance Citrix ADC, une paire de clés de certificat-clé est automatiquement liée aux services internes. Sur une appliance MPX ou SDX, la taille de clé par défaut est de 1024 octets et sur une instance VPX, la taille de clé par défaut est de 512 octets. Cependant, la plupart des navigateurs aujourd’hui n’acceptent pas une clé inférieure à 1024 octets. Par conséquent, l’accès HTTPS à l’utilitaire de configuration VPX est bloqué.

Citrix vous recommande d’installer une paire de clés de certificat d’au moins 1024 octets et de la lier au service interne pour l’accès HTTPS à l’utilitaire de configuration. Alternativement, mettez à jour le ns-server-certificate à 1024 octets. Vous pouvez utiliser l’accès HTTP à l’utilitaire de configuration ou à l’interface de ligne de commande pour installer le certificat.

Si j’ajoute une licence à une appliance MPX, la liaison de paire de clés de certificat est perdue. Comment résoudre ce problème ?

Si aucune licence n’est présente sur une appliance MPX au démarrage et que vous ajoutez une licence ultérieurement et redémarrez l’appliance, vous risquez de perdre la liaison de certificat. Réinstallez le certificat et liez-le au service interne

Citrix vous recommande d’installer une licence appropriée avant de démarrer l’appliance.

Quelles sont les différentes étapes de la mise en place d’un canal sécurisé pour une transaction SSL ?

La configuration d’un canal sécurisé pour une transaction SSL implique les étapes suivantes :

  1. Le client envoie une requête HTTPS pour un canal sécurisé au serveur.

  2. Après avoir sélectionné le protocole et le chiffrement, le serveur envoie son certificat au client.

  3. Le client vérifie l’authenticité du certificat du serveur.

  4. Si l’une des vérifications échoue, le client affiche la rétroaction correspondante.

  5. Si les chèques réussissent ou si le client décide de continuer même si un chèque échoue, le client crée une clé temporaire et jetable. Cette clé est appelée secret pré-maître et le client crypte cette clé à l’aide de la clé publique du certificat du serveur.

  6. Le serveur, à la réception du secret pré-maître, le déchiffre à l’aide de la clé privée du serveur et génère les clés de session. Le client génère également les clés de session à partir du secret pré-maître. Ainsi, le client et le serveur ont maintenant une clé de session commune, qui est utilisée pour le chiffrement et le déchiffrement des données d’application.

Je comprends que SSL est un processus gourmand en CPU. Quel est le coût du processeur associé au processus SSL ?

Les deux étapes suivantes sont associées au processus SSL :

  • La poignée de main initiale et la configuration du canal sécurisé à l’aide de la technologie de clé publique et privée.

  • Chiffrement de données en bloc à l’aide de la technologie de clé symétrique.

Les deux étapes précédentes peuvent affecter les performances du serveur et nécessitent un traitement intensif du processeur pour les raisons suivantes :

  1. La poignée de main initiale implique la cryptographie de clé public-privé, qui est très intensive en raison des grandes tailles de clés (1024 bits, 2048 bits, 4096 bits).

  2. Le chiffrement et le déchiffrement des données sont également coûteux en termes de calcul, selon la quantité de données qui doivent être chiffrées ou déchiffrées.

Quelles sont les différentes entités d’une configuration SSL ?

Une configuration SSL comporte les entités suivantes :

  • Certificat serveur
  • Certificat d’autorité de certification (CA)
  • Suite de chiffrement qui spécifie les protocoles pour les tâches suivantes :
    • Échange initial de clés
    • Authentification du serveur et du client
    • Algorithme de chiffrement en masse
    • Authentification des messages
  • Authentification client
  • CRL
  • Outil de génération de clé de certificat SSL qui vous permet de créer les fichiers suivants :
    • Demande de certificat
    • Certificat auto-signé
    • Clés RSA
    • Paramètres DH

Je souhaite utiliser la fonctionnalité de déchargement SSL de l’appliance Citrix ADC. Quelles sont les différentes options pour recevoir un certificat SSL ?

Vous devez recevoir un certificat SSL avant de pouvoir configurer l’installation SSL sur l’appliance Citrix ADC. Vous pouvez utiliser l’une des méthodes suivantes pour recevoir un certificat SSL :

  • Demander un certificat à une autorité de certification (AC) autorisée.

  • Utilisez le certificat de serveur existant.

  • Créez une paire de clés de certificat sur l’appliance Citrix ADC.

Remarque : Ce certificat est un certificat de test signé par le test Root-CA généré par l’appliance Citrix ADC. Les certificats de test signés par le test Root-CA ne sont pas acceptés par les navigateurs. Le navigateur envoie un message d’avertissement indiquant que le certificat du serveur ne peut pas être authentifié.

  • À d’autres fins que le test, vous devez fournir un certificat d’autorité de certification valide et une clé d’autorité de certification pour signer le certificat de serveur.

Quelles sont les exigences minimales pour une configuration SSL ?

Les conditions minimales requises pour configurer une configuration SSL sont les suivantes :

  • Obtenez les certificats et les clés.
  • Créez un serveur virtuel SSL d’équilibrage de charge.
  • Liez les services HTTP ou SSL au serveur virtuel SSL.
  • Liez une paire de clés de certificat-clé au serveur virtuel SSL.

Quelles sont les limites pour les différents composants de SSL ?

Les composants SSL ont les limites suivantes :

  • Taille de bits des certificats SSL : 4096.
  • Nombre de certificats SSL : dépend de la mémoire disponible sur l’appliance.
  • Nombre maximal de certificats SSL CA intermédiaires liés : 9 par chaîne.
  • Révocations de liste de révocation de révocation : dépend de la mémoire disponible sur l’appliance.

Quelles sont les différentes étapes impliquées dans le chiffrement des données de bout en bout sur une appliance Citrix ADC ?

Les étapes impliquées dans le processus de chiffrement côté serveur sur une appliance Citrix ADC sont les suivantes :

  1. Le client se connecte au VIP SSL configuré sur l’appliance Citrix ADC sur le site sécurisé.

  2. Après avoir reçu la demande sécurisée, l’appliance déchiffre la demande et applique des techniques de commutation de contenu de couche 4 à 7 et des stratégies d’équilibrage de charge. Ensuite, il sélectionne le meilleur serveur Web back-end disponible pour la demande.

  3. L’appliance Citrix ADC crée une session SSL avec le serveur sélectionné.

  4. Après avoir établi la session SSL, l’appliance chiffre la demande client et l’envoie au serveur Web à l’aide de la session SSL sécurisée.

  5. Lorsque l’appliance reçoit la réponse chiffrée du serveur, elle déchiffre et re-chiffre les données. Ensuite, il envoie les données au client à l’aide de la session SSL côté client.

La technique de multiplexage de l’appliance Citrix ADC permet à l’appliance de réutiliser les sessions SSL établies avec les serveurs Web. Par conséquent, l’appliance évite l’échange de clés gourmand en CPU, connu sous le nom de poignée de main complète. Ce processus réduit le nombre total de sessions SSL sur le serveur et maintient la sécurité de bout en bout.

Certificats et clés

Puis-je placer les fichiers de certificat et de clé à n’importe quel emplacement ? Y a-t-il un emplacement recommandé pour stocker ces fichiers ?

Vous pouvez stocker les fichiers de certificat et de clé sur l’appliance Citrix ADC ou sur un ordinateur local. Toutefois, Citrix vous recommande de stocker les fichiers de certificat et de clé dans le répertoire /nsconfig/ssl de l’appliance Citrix ADC. Le /etc répertoire existe dans la mémoire flash de l’appliance Citrix ADC. Cette action assure la portabilité et facilite la sauvegarde et la restauration des fichiers de certificat sur l’appliance.

Remarque : Assurez-vous que le certificat et les fichiers clés sont stockés dans le même répertoire.

Quelle est la taille maximale de la clé de certificat prise en charge sur l’appliance Citrix ADC ?

Une appliance Citrix ADC exécutant une version logicielle antérieure à la version 9.0 prend en charge une taille maximale de clé de certificat de 2048 bits. Les versions 9.0 et ultérieures prennent en charge une taille maximale de clé de certificat de 4096 bits. Cette limite s’applique aux certificats RSA.

Une appliance MPX prend en charge les certificats de 512 bits jusqu’aux tailles suivantes :

  • Certificat de serveur 4096 bits sur le serveur virtuel

  • Certificat client 4096 bits sur le service

  • Certificat d’autorité de certification 4096 bits (inclut les certificats intermédiaires et racine)

  • Certificat 4096 bits sur le serveur back-end

  • Certificat client 4096 bits (si l’authentification client est activée sur le serveur virtuel)

Une appliance virtuelle prend en charge les certificats de 512 bits jusqu’aux tailles suivantes :

  • Certificat de serveur 4096 bits sur le serveur virtuel

  • Certificat client 4096 bits sur le service

  • Certificat d’autorité de certification 4096 bits (inclut les certificats intermédiaires et racine)

  • Certificat 4096 bits sur le serveur back-end de la version 12.0-56.x. Les versions plus anciennes prennent en charge les certificats 2048 bits.

  • Certificat client 2048 bits (si l’authentification client est activée sur le serveur virtuel) à partir de la version 12.0-56.x.

Quelle est la taille maximale du paramètre DH pris en charge sur l’appliance Citrix ADC ?

L’appliance Citrix ADC prend en charge un paramètre DH de 2048 bits maximum.

Quelle est la longueur maximale de la chaîne de certificats, c’est-à-dire le nombre maximal de certificats dans une chaîne, prise en charge par une appliance Citrix ADC ?

Une appliance Citrix ADC peut envoyer un maximum de 10 certificats dans une chaîne lors de l’envoi d’un message de certificat de serveur. Une chaîne de longueur maximale comprend le certificat de serveur et neuf certificats d’autorité de certification intermédiaire.

Quels sont les différents formats de certificats et de clés pris en charge sur l’appliance Citrix ADC ?

L’appliance Citrix ADC prend en charge les formats de certificat et de clé suivants :

  • Courrier amélioré de confidentialité (PEM)
  • Règle de codage distinctif (DER)

Existe-t-il une limite pour le nombre de certificats et de clés que je peux installer sur l’appliance Citrix ADC ?

Non. Le nombre de certificats et de clés pouvant être installés est limité uniquement par la mémoire disponible sur l’appliance Citrix ADC.

J’ai enregistré les fichiers de certificat et de clé sur l’ordinateur local. Je veux transférer ces fichiers vers l’appliance Citrix ADC à l’aide du protocole FTP. Existe-t-il un mode préféré pour transférer ces fichiers vers l’appliance Citrix ADC ?

Oui. Si vous utilisez le protocole FTP, vous devez utiliser le mode binaire pour transférer les fichiers de certificat et de clé vers l’appliance Citrix ADC.

Remarque : Par défaut, FTP est désactivé. Citrix recommande d’utiliser le protocole SCP pour transférer des fichiers de certificats et de clés. L’utilitaire de configuration utilise implicitement SCP pour se connecter à l’appliance.

Quel est le chemin d’accès par défaut du certificat et de la clé ?

Le chemin d’accès par défaut du certificat et de la clé est ‘/nsconfig/ssl’.

Lors de l’ajout d’un certificat et d’une paire de clés, que se passe-t-il si je ne spécifie pas de chemin absolu vers les fichiers de certificat et de clé ?

Lors de l’ajout d’une paire de clés certificat-clé, spécifiez un chemin absolu vers les fichiers de certificat et de clé. Si vous ne spécifiez pas, l’appliance ADC recherche ces fichiers dans le répertoire par défaut et tente de les charger dans le noyau. Le répertoire par défaut est /nsconfig/ssl. Par exemple, si les fichiers cert1024.pem et rsa1024.pem sont disponibles dans le répertoire /nsconfig/ssl de l’appliance, les deux commandes suivantes réussissent :

add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem

J’ai configuré une configuration haute disponibilité. Je veux implémenter la fonctionnalité SSL sur la configuration. Comment dois-je gérer les fichiers de certificat et de clé dans une configuration haute disponibilité ?

Dans une configuration haute disponibilité, vous devez stocker les fichiers de certificat et de clé sur l’appliance Citrix ADC principale et secondaire. Le chemin d’accès au répertoire des fichiers de certificat et de clé doit être le même sur les deux appliances avant d’ajouter une paire de clés de certificat SSL sur l’appliance principale.

NCipher NShield® HSM

Lors de l’intégration avec NCipher NShield® HSM, devons-nous garder à l’esprit une configuration spécifique lors de l’ajout de l’appliance Citrix ADC à HA ?

Configurez les mêmes périphériques NCipher sur les deux nœuds dans HA. Les commandes de configuration nCipher ne se synchronisent pas dans HA. Pour plus d’informations sur les conditions préalables pour NCipher NShield® HSM, reportez-vous à la section Conditions préalables.

Doit-on intégrer individuellement les deux appliances avec NCipher NShield® HSM et RFS ? Devons-nous effectuer cette action avant ou après la configuration HA ?

Vous pouvez terminer l’intégration avant ou après la configuration HA. Si l’intégration est effectuée après la configuration HA, les clés importées sur le nœud principal avant de configurer le nœud secondaire ne sont pas synchronisées avec le nœud secondaire. Par conséquent, Citrix recommande l’intégration NCipher avant la configuration HA.

Avons-nous besoin d’importer la clé dans les appliances Citrix ADC principale et secondaire, ou les clés sont-elles synchronisées à partir du nœud principal vers le nœud secondaire ?

Si nCipher est intégré sur les deux périphériques avant de former la HA, les clés sont automatiquement synchronisées à partir de RFS dans le processus d’intégration.

Étant donné que le HSM n’est pas sur l’appliance Citrix ADC, mais sur NCipher, qu’advient-il des clés et des certificats lorsqu’un nœud échoue et est remplacé ?

Si un nœud échoue, vous pouvez synchroniser les clés et les certificats avec le nouveau nœud, en intégrant nCipher sur le nouveau nœud. Ensuite, exécutez les commandes suivantes :

sync ha files ssl
force ha sync

Les certificats sont synchronisés et ajoutés si les clés sont synchronisées dans le processus d’intégration de nCipher.

Les chiffrements

Qu’est-ce qu’un chiffrement nul ?

Les chiffrements sans chiffrement sont connus sous le nom de chiffrement NULL. Par exemple, NULL-MD5 est un chiffrement NULL.

Les chiffrements NULL sont-ils activés par défaut pour un VIP SSL ou un service SSL ?

Non. Les chiffrements NULL ne sont pas activés par défaut pour un service VIP SSL ou SSL.

Quelle est la procédure pour supprimer les chiffrements Null ?

Pour supprimer les chiffrements NULL d’un VIP SSL, exécutez la commande suivante :

bind ssl cipher <SSL_VIP> REM NULL

Pour supprimer les chiffrements NULL d’un service SSL, exécutez la commande suivante :

bind ssl cipher <SSL_Service> REM NULL -service

Quels sont les différents alias de chiffrement pris en charge sur l’appliance Citrix ADC ?

Pour répertorier les alias de chiffrement pris en charge par l’appliance, à l’invite de commandes, tapez :

sh cipher

Quelle est la commande pour afficher tous les chiffrements prédéfinis de l’appliance Citrix ADC ?

Pour afficher tous les chiffrements prédéfinis de l’appliance Citrix ADC, dans l’interface de ligne de commande, tapez :

show ssl cipher

Quelle est la commande pour afficher les détails d’un chiffrement individuel de l’appliance Citrix ADC ?

Pour afficher les détails d’un chiffrement individuel de l’appliance Citrix ADC, dans l’interface de ligne de commande, tapez :

show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>

Exemple :

show cipher SSL3-RC4-SHA
     1) Cipher Name: SSL3-RC4-SHA
     Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
    Mac=SHA1
     Done

Quelle est l’importance de l’ajout des chiffrements prédéfinis de l’appliance Citrix ADC ?

L’ajout des chiffrements prédéfinis de l’appliance Citrix ADC entraîne l’ajout des chiffrements NULL à un service SSL VIP ou SSL.

Est-il possible de modifier l’ordre du chiffrement sans les délier d’un groupe de chiffrement sur une appliance Citrix ADC ?

Oui. Il est possible de modifier l’ordre du chiffrement sans délier les chiffrements d’un groupe de chiffrement personnalisé. Toutefois, vous ne pouvez pas modifier la priorité dans les groupes de chiffrement intégrés. Pour modifier la priorité d’un chiffrement lié à une entité SSL, délier d’abord le chiffrement du serveur virtuel, du service ou du groupe de services.

Remarque : Si le groupe de chiffrement lié à une entité SSL est vide, la poignée de connexion SSL échoue car il n’y a pas de chiffrement négocié. Le groupe de chiffrement doit contenir au moins un chiffrement.

ECDSA est-il pris en charge sur l’appliance Citrix ADC ?

ECDSA est pris en charge sur les plates-formes Citrix ADC suivantes. Pour plus de détails sur les versions prises en charge, consultez les tableaux 1 et 2 de la section Suites de chiffrement disponibles sur les appliances Citrix ADC.

  • Appliances Citrix ADC MPX et SDX avec puces N3
  • Citrix ADC MPX 5900/8900/15000/26000
  • Citrix ADC SDX 8900/15000
  • Appliances Citrix ADC VPX

L’appliance Citrix ADC VPX prend en charge les chiffrements AES-GM/SHA2 sur le front-end ?

Oui, les chiffrements AES-GCM/SHA2 sont pris en charge sur l’appliance Citrix ADC VPX. Pour plus d’informations sur les versions prises en charge, reportez-vous à la section Suites de chiffrement disponibles sur les appliances Citrix ADC.

Certificats

Le nom unique d’un certificat client est-il disponible pour la durée de la session utilisateur ?

Oui. Vous pouvez accéder au nom unique du certificat client dans les demandes suivantes pendant la durée de la session utilisateur. C’est-à-dire, même après que la poignée de main SSL est terminée et que le certificat n’est pas envoyé à nouveau par le navigateur. Utilisez une variable et une affectation comme indiqué dans l’exemple de configuration suivant :

Exemple :

add ns variable v2 -type "text(100)"

add ns assignment a1 -variable "$v2" -set       "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"

add rewrite action act1 insert_http_header subject "$v2"  // example: to insert the distinguished name in the header

add rewrite policy pol1 true a1

add rewrite policy pol2 true act1

bind rewrite global pol1 1 next -type RES_DEFAULT

bind rewrite global pol2 2 next -type RES_DEFAULT

set rewrite param -undefAction RESET

Pourquoi dois-je lier le certificat du serveur ?

La liaison des certificats de serveur est la condition de base pour permettre à la configuration SSL de traiter les transactions SSL.

Pour lier le certificat de serveur à un VIP SSL, dans l’interface de ligne de commande, tapez :

bind ssl vserver <vServerName> -certkeyName <cert_name>

Pour lier le certificat de serveur à un service SSL, dans l’interface de ligne de commande, tapez :

bind ssl service <serviceName> -certkeyName <cert_name>

Combien de certificats puis-je lier à un service SSL VIP ou SSL ?

Sur une appliance FIPS Citrix ADC VPX, MPX/SDX (N3) et MPX/SDX 14000 FIPS, vous pouvez lier deux certificats à un serveur virtuel SSL ou à un service SSL si SNI est désactivé. Les certificats doivent être de type RSA et ECDSA chacun. Si SNI est activé, vous pouvez lier plusieurs certificats serveur de type RSA ou ECDSA. Sur un dispositif Citrix ADC MPX (N2) ou MPX 9700 FIPS, si SNI est désactivé, vous ne pouvez lier qu’un seul certificat de type RSA. Si SNI est activé, vous pouvez lier plusieurs certificats de serveur de type RSA uniquement.

SNI prend-il en charge les certificats SAN (Subject Alternative Name) ?

Non. Sur une appliance Citrix ADC, SNI n’est pas pris en charge avec un certificat d’extension SAN.

Que se passe-t-il si je dissocie ou écrase un certificat de serveur ?

Lorsque vous dissociez ou écrasez un certificat de serveur, toutes les connexions et sessions SSL créées à l’aide du certificat existant sont terminées. Lorsque vous remplacez un certificat existant, le message suivant s’affiche :

ERROR:

Warning: Current certificate replaces the previous binding.

Comment installer un certificat intermédiaire sur une appliance Citrix ADC et établir un lien vers un certificat de serveur ?

Consultez l’article sous http://support.citrix.com/article/ctx114146 pour plus d’informations sur l’installation d’un certificat intermédiaire.

Pourquoi est-ce que j’obtiens une erreur « ressource existe déjà » lorsque j’essaie d’installer un certificat sur Citrix ADC ?

Reportez-vous à l’article sur http://support.citrix.com/article/CTX117284 pour obtenir des instructions sur la résolution de l’erreur « ressource déjà existe ».

Je souhaite créer un certificat de serveur sur une appliance Citrix ADC pour tester et évaluer le produit. Quelle est la procédure pour créer un certificat de serveur ?

Effectuez la procédure suivante pour créer un certificat de test.

Remarque : Un certificat créé avec cette procédure ne peut pas être utilisé pour authentifier tous les utilisateurs et navigateurs. Après avoir utilisé le certificat pour le test, vous devez obtenir un certificat de serveur signé par une autorité de certification racine autorisée.

Pour créer un certificat de serveur auto-signé :

  1. Pour créer un certificat d’autorité de certification racine, dans l’interface de ligne de commande, tapez :

    create ssl rsakey /nsconfig/ssl/test-ca.key 1024
    
    create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key
    
    Enter the required information when prompted, and then type the following command:
    
    create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key
    
  2. Effectuez la procédure suivante pour créer un certificat de serveur et le signer avec le certificat d’autorité de certification racine que vous venez de créer

    1. Pour créer la requête et la clé, dans l’interface de ligne de commande, tapez :

      create ssl rsakey /nsconfig/ssl/test-server.key 1024
      
          create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key
      
    2. Entrez les informations requises lorsque vous y êtes invité.

    3. Pour créer un fichier de numéro de série, dans l’interface de ligne de commande, tapez :

      shell
       # echo '01' >
      /nsconfig/ssl/serial.txt
       # exit
      
    4. Pour créer un certificat de serveur signé par le certificat d’autorité de certification racine créé à l’étape 1, dans l’interface de ligne de commande, tapez :

      create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt
      
    5. Pour créer une paire de clés Cert-Key Citrix ADC, qui est l’objet en mémoire qui contient les informations de certificat de serveur pour les touches de connexion SSL et le chiffrement en bloc, à l’interface de ligne de commande, tapez :

      add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key
      
    6. Pour lier la paire de clés de certificat au serveur virtuel SSL, tapez à l’interface de ligne de commande :

      bind ssl vserver <vServerName> -certkeyName <cert_name>
      

J’ai reçu une appliance Citrix ADC sur laquelle le logiciel NetScaler version 9.0 est installé. J’ai remarqué un fichier de licence supplémentaire sur l’appliance. Y a-t-il un changement dans la politique de licence à partir de la version 9.0 du logiciel NetScaler ?

Oui. À partir du logiciel Citrix NetScaler version 9.0, il se peut que l’appliance ne dispose pas d’un seul fichier de licence. Le nombre de fichiers de licence dépend de l’édition de la version du logiciel Citrix ADC. Par exemple, si vous avez installé l’édition Advanced, vous aurez peut-être besoin de fichiers de licence supplémentaires pour bénéficier de toutes les fonctionnalités des différentes fonctionnalités. Toutefois, si vous avez installé l’édition Premium, l’appliance ne possède qu’un seul fichier de licence.

Comment exporter le certificat depuis Internet Information Service (IIS) ?

Il y a plusieurs façons, mais en utilisant la méthode suivante, le certificat et la clé privée appropriés pour le site Web sont exportés. Cette procédure doit être effectuée sur le serveur IIS réel.

  1. Ouvrez l’outil d’administration du Gestionnaire des services Internet (IIS).

  2. Développez le nœud Sites Web et localisez le site Web compatible SSL que vous souhaitez diffuser via l’appliance Citrix ADC.

  3. Cliquez avec le bouton droit sur ce site et cliquez sur Propriétés.

  4. Cliquez sur l’onglet Sécurité du répertoire et, dans la section Communications sécurisées de la fenêtre, sélectionnez la zone Afficher le certificat.

  5. Cliquez sur l’onglet Détails, puis cliquez sur Copier dans un fichier.

  6. Dans la page Bienvenue dans l’Assistant Exportation de certificat, cliquez sur Suivant.

  7. Sélectionnez Oui, exportez la clé privée, puis cliquez sur Suivant.

    Remarque : La clé privée DOIT être exportée pour que le déchargement SSL fonctionne sur Citrix ADC.

  8. Assurez-vous que le bouton radio Échange d’informations personnelles -PKCS #12 est sélectionné et activez uniquement la case à cocher Inclure tous les certificats dans le chemin de certification si possible. Cliquez sur Next.

  9. Entrez un mot de passe et cliquez sur Suivant.

  10. Entrez un nom de fichier et un emplacement, puis cliquez sur Suivant. Donnez au fichier une extension .PFX.

  11. Cliquez sur Terminer.

Comment convertir le certificat PKCS #12 et l’installer sur Citrix ADC ?

  1. Déplacez le fichier de certificat .PFX exporté vers un emplacement à partir duquel il peut être copié vers l’appliance Citrix ADC. C’est-à-dire à une machine qui autorise l’accès SSH à l’interface de gestion d’une appliance Citrix ADC. Copiez le certificat sur l’appliance à l’aide d’un utilitaire de copie sécurisé tel que SCP.

  2. Accédez au shell BSD et convertissez le certificat (par exemple, Cert.pfx) au format .PEM :

    root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM
    
  3. Pour vous assurer que le certificat converti est au format x509 correct, vérifiez que la commande suivante ne produit aucune erreur :

    root@ns# openssl x509 -in cert.PEM -text
    
  4. Vérifiez que le fichier de certificat contient une clé privée. Commencez par lancer la commande suivante :

    root@ns# cat cert.PEM
    
    Verify that the output file includes an RSA PRIVATE KEY section.
    
    -----BEGIN RSA PRIVATE KEY-----
    Mkm^s9KMs9023pz/s...
    -----END RSA PRIVATE KEY-----
    

    Voici un autre exemple de section RSA PRIVATE KEY :

        Bag Attributes
        1.3.6.1.4.1.311.17.2: <No Values>
        localKeyID: 01 00 00 00
        Microsoft CSP Name: Microsoft RSA SChannel Cryptographic
        Provider
        friendlyName:
        4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f
    
        Key Attributes
        X509v3 Key Usage: 10
        -----BEGIN RSA PRIVATE KEY-----
        Proc-Type: 4,ENCRYPTED
        DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968
        pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg
    
        ... (more random characters)
        v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh
    
        5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg==
        -----END RSA PRIVATE KEY-----
    

    Voici une section SERVER CERTIFICATE :

        Bag Attributes
        localKeyID: 01 00 00 00
        friendlyName: AG Certificate
        subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother
        Asiapacific/OU=Support/CN=davemother.food.lan
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK
    
        ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/
    
        MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog=
        -----END CERTIFICATE-----
    

    Voici une section INTERMEDIATE CA CERTIFICATE :

        Bag Attributes: <Empty Attributes>
        subject=/DC=lan/DC=food/CN=hotdog
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8
    
        ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk=
    
        -----END CERTIFICATE-----
    

    D’autres certificats d’autorité de certification intermédiaires peuvent suivre, en fonction du chemin de certification du certificat exporté.

  5. Ouvrez le fichier .PEM dans un éditeur de texte

  6. Recherchez la première ligne du fichier .PEM et la première instance de la ligne suivante, puis copiez ces deux lignes et toutes les lignes entre elles :

    -----END CERTIFICATE-----
    
    Note: Make sure that last copied line is the first
    -----END CERTIFICATE----- line in the .PEM file.
    
    
  7. Collez les lignes copiées dans un nouveau fichier. Appelez le nouveau fichier quelque chose d’intuitif, tel que cert-key.pem. Cette paire de clés de certificat-clé est destinée au serveur hébergeant le service HTTPS. Ce fichier doit contenir à la fois la section intitulée RSA PRIVATE KEY et la section CERTIFICATION SERVEUR dans l’exemple précédent.

    Remarque : Le fichier de paire certificat-clé contient la clé privée et doit être conservé en toute sécurité.

  8. Recherchez les sections suivantes commençant par —BEGIN CERTIFICATE— et se terminant par —END CERTIFICATE—, puis copiez chacune de ces sections dans un nouveau fichier distinct.

    Ces sections correspondent aux certificats des autorités de certification approuvées qui ont été inclus dans le chemin de certification. Ces sections doivent être copiées et collées dans de nouveaux fichiers individuels pour ces certificats. Par exemple, la section CERTIFICAT D’AUTORITÉ DE CERTIFICATION INTERMÉDIAIRE de l’exemple précédent doit être copiée et collée dans un nouveau fichier).

    Pour plusieurs certificats d’autorité de certification intermédiaires dans le fichier d’origine, créez des fichiers pour chaque certificat d’autorité de certification intermédiaire dans l’ordre dans lequel ils apparaissent dans le fichier. Gardez une trace (en utilisant les noms de fichiers appropriés) de l’ordre dans lequel les certificats apparaissent, car ils doivent être liés ensemble dans le bon ordre dans une étape ultérieure.

  9. Copiez le fichier de clé de certificat (cert-key.pem) et tous les fichiers de certificat d’autorité de certification supplémentaires dans le répertoire /nsconfig/ssl de l’appliance Citrix ADC.

  10. Quittez le shell BSD et accédez à l’invite Citrix ADC.

  11. Suivez les étapes décrites dans « Installer les fichiers de clé de certificat sur l’appliance » pour installer la clé/le certificat une fois téléchargé sur l’appareil.

Comment convertir le certificat PKCS #7 et l’installer sur l’appliance Citrix ADC ?

Vous pouvez utiliser OpenSSL pour convertir un certificat PKCS #7 en un format reconnaissable par l’appliance Citrix ADC. La procédure est identique à la procédure pour les certificats PKCS #12, sauf que vous appelez OpenSSL avec des paramètres différents. Les étapes de conversion des certificats PKCS #7 sont les suivantes :

  1. Copiez le certificat sur l’appliance à l’aide d’un utilitaire de copie sécurisé, tel que SCP.

  2. Convertir le certificat (par exemple, Cert.p7b) au format PEM :

    openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem
    
  3. Suivez les étapes 3 à 7 comme décrit dans la réponse pour les certificats PKCS #12. Remarque : Avant de charger le certificat PKCS #7 converti sur l’appliance, vérifiez qu’il contient une clé privée, exactement comme décrit à l’étape 3 pour la procédure PKCS #12. Les certificats PKCS #7, en particulier les certificats exportés depuis IIS, ne contiennent généralement pas de clé privée.

Lorsque je lie un chiffrement à un serveur virtuel ou un service en utilisant la commande bind cipher, le message d’erreur « Commande obsolète » s’affiche. ?

La commande de liaison d’un chiffrement à un serveur virtuel ou un service a changé.

Utilisez la commande bind ssl vserver <vsername> -ciphername <ciphername> pour lier un chiffrement SSL à un serveur virtuel SSL.

Utilisez la commande bind ssl service <serviceName> -ciphername <ciphername> pour lier un chiffrement SSL à un service SSL.

Remarque : Les nouveaux groupes de chiffrement et de chiffrement sont ajoutés à la liste existante et non remplacés.

Pourquoi ne puis-je pas créer un groupe de chiffrement et y lier des chiffrements à l’aide de la commande add cipher ?

La fonctionnalité de la commande add cipher a changé dans la version 10. La commande crée uniquement un groupe de chiffrement. Pour ajouter des chiffrements au groupe, utilisez la commande bind cipher.

OpenSSL

Comment utiliser OpenSSL pour convertir des certificats entre PEM et DER ?

Pour utiliser OpenSSL, vous devez disposer d’une installation fonctionnelle du logiciel OpenSSL et pouvoir exécuter OpenSSL à partir de la ligne de commande.

Les certificats x509 et les clés RSA peuvent être stockés dans plusieurs formats différents.

Deux formats courants sont les suivants :

  • DER (format binaire utilisé principalement par les plates-formes Java et Macintosh)
  • PEM (représentation base64 de DER avec des informations d’en-tête et de pied de page, qui est principalement utilisée par les plates-formes UNIX et Linux).

Une clé et le certificat correspondant, en plus de la racine et des certificats intermédiaires, peuvent également être stockés dans un seul fichier PKCS #12 (.P12, .PFX).

Procédure

Utilisez la commande OpenSSL pour convertir entre les formats comme suit :

  1. Pour convertir un certificat de PEM en DER :

    x509 -in input.crt -inform PEM -out output.crt -outform DER
    
  2. Pour convertir un certificat de DER en PEM :

    x509 -in input.crt -inform DER -out output.crt -outform PEM
    
  3. Pour convertir une clé de PEM en DER :

    rsa -in input.key -inform PEM -out output.key -outform DER
    
  4. Pour convertir une clé de DER en PEM :

    rsa -in input.key -inform DER -out output.key -outform PEM
    

    Remarque : Si la clé que vous importez est chiffrée avec un chiffrement symétrique pris en charge, vous êtes invité à entrer la phrase de passe.

    Remarque : Pour convertir une clé vers ou depuis le format NET (Netscape server) obsolète, remplacez NET par PEM ou DER selon le cas. La clé stockée est chiffrée dans un chiffrement symétrique RC4 faible non salé, de sorte qu’une phrase de passe est demandée. Une phrase de passe vide est acceptable.

Limites du système

Quels sont les chiffres importants à retenir ?

  1. Créer une demande de certificat :

    • Nom du fichier de demande : 63 caractères maximum
    • Nom du fichier clé : 63 caractères maximum
    • Phrase de passe PEM (pour clé chiffrée) : 31 caractères maximum
    • Nom commun : maximum 63 caractères
    • Ville : 127 caractères maximum
    • Nom de l’organisation : 63 caractères maximum
    • Nom de l’état/de la province : 63 caractères maximum
    • Adresse e-mail : maximum 39 caractères
    • Unité organisationnelle : maximum 63 caractères
    • Mot de passe du défi : 20 caractères maximum
    • Nom de l’entreprise : 127 caractères maximum
  2. Créer un certificat :

    • Nom du fichier de certificat : 63 caractères maximum
    • Nom du fichier de demande de certificat : 63 caractères maximum
    • Nom du fichier clé : 63 caractères maximum
    • Phrase de mot de passe PEM : 31 caractères maximum
    • Période de validité : Maximum 3650 jours
    • Nom du fichier de certificat CA : 63 caractères maximum
    • Nom du fichier de clé CA : maximum 63 caractères
    • Phrase de mot de passe PEM : 31 caractères maximum
    • Fichier du numéro de série de l’AC : maximum 63 caractères
  3. Créer et installer un certificat de test de serveur :

    • Nom du fichier de certificat : 31 caractères maximum
    • Nom de domaine complet : 63 caractères maximum
  4. Créer une clé Diffie-Hellman (DH) :
    • Nom de fichier DH (avec chemin) : 63 caractères maximum
    • Taille du paramètre DH : Maximum 2048 bits
  5. Importer la clé PKCS12 :

    • Nom du fichier de sortie : 63 caractères maximum
    • Nom du fichier PKCS12 : 63 caractères maximum
    • Importer le mot de passe : 31 caractères maximum
    • Phrase de mot de passe PEM : 31 caractères maximum
    • Vérifier la phrase secrète PEM : 31 caractères maximum
  6. Exporter PKCS12
    • Nom du fichier PKCS12 : 63 caractères maximum
    • Nom du fichier de certificat : 63 caractères maximum
    • Nom du fichier clé : 63 caractères maximum
    • Exporter le mot de passe : 31 caractères maximum
    • Phrase de mot de passe PEM : 31 caractères maximum
  7. Gestion des CRL :
    • Nom du fichier de certificat CA : 63 caractères maximum
    • Nom du fichier de clé CA : maximum 63 caractères
    • Mot de passe du fichier de clé CA : 31 caractères maximum
    • Nom du fichier d’index : 63 caractères maximum
    • Nom du fichier de certificat : 63 caractères maximum
  8. Créer une clé RSA :
    • Nom du fichier clé : 63 caractères maximum
    • Taille de la clé : 4096 bits maximum
    • Phrase de mot de passe PEM : 31 caractères maximum
    • Vérifier la phrase secrète : 31 caractères maximum
  9. Modifier les paramètres SSL avancés :
    • Taille maximale de la mémoire CRL : 1024 Mo maximum
    • Délai d’expiration du déclencheur de chiffrement (ticks de 10 mS) : 200 maximum
    • Nombre de paquets de déclenchement de chiffrement : 50 maximum
    • Taille du cache OCSP : 512 Mo maximum
  10. Certificat d’installation :
    • Nom de la paire de clés de certificat : 31 caractères maximum
    • Nom du fichier de certificat : 63 caractères maximum
    • Nom du fichier de clé privée : 63 caractères maximum
    • Mot de passe : 31 caractères maximum
    • Période de notification : 100 maximum
  11. Créer un groupe de chiffrement :
    • Nom du groupe de chiffrement : 39 caractères maximum
  12. Créer une liste de révocation de révocation :
    • Nom de la CRL : 31 caractères maximum
    • Fichier CRL : 63 caractères maximum
    • URL : 127 caractères maximum
    • DN de base : 127 caractères maximum
    • DN de liaison : 127 caractères maximum
    • Mot de passe : 31 caractères maximum
    • Jours : Maximum 31
  13. Créer une stratégie SSL :
    • Nom : 127 caractères maximum
  14. Créer une action SSL :
    • Nom : 127 caractères maximum
  15. Créer un répondeur OCSP :
    • Nom : 32 caractères maximum
    • URL : 128 caractères maximum
    • Profondeur de lot : 8 maximum
    • Délai de traitement par lots : 10000 maximum
    • Produit à l’inclinaison temporelle : 86400 maximum
    • Délai d’expiration de la demande : Maximum120000
  16. Créer un serveur virtuel :
    • Nom : 127 caractères maximum
    • URL de redirection : 127 caractères maximum
    • Délai d’expiration du client : Maximum 31536000 secondes
  17. Créer un service :
    • Nom : 127 caractères maximum
    • Délai d’inactivité (secondes) : Client : Maximum 31536000 Serveur : Maximum 31536000
  18. Créer un groupe de services :
    • Nom du groupe de services : 127 caractères maximum
    • ID du serveur : Maximum 4294967295
    • Délai d’inactivité (secondes) : Client : Valeur maximale 31536000 Serveur : Maximum 31536000
  19. Créer un moniteur :
    • Nom : 31 caractères maximum
  20. Créer un serveur :
    • Nom du serveur : 127 caractères maximum
    • Nom de domaine : 255 caractères maximum
    • Résoudre la nouvelle tentative : Maximum 20939 secondes
FAQ SSL