ADC

Authentification du serveur

Étant donné que l’appliance NetScaler effectue le déchargement et l’accélération SSL pour le compte d’un serveur Web, elle n’authentifie généralement pas le certificat du serveur Web. Toutefois, vous pouvez authentifier le serveur dans les déploiements qui nécessitent un cryptage SSL de bout en bout.

Dans ce cas, l’appliance devient le client SSL et effectue une transaction sécurisée avec le serveur SSL. Il vérifie qu’une autorité de certification dont le certificat est lié au service SSL a signé le certificat du serveur et vérifie la validité du certificat du serveur.

Pour authentifier le serveur, activez l’authentification du serveur et liez le certificat de l’autorité de certification qui a signé le certificat du serveur au service SSL sur l’appliance ADC. Lorsque vous liez le certificat, vous devez spécifier la liaison en tant qu’option CA.

NetScaler prend en charge la validation de certificats par signature croisée. En d’autres termes, si un certificat est signé par plusieurs émetteurs, la validation est réussie s’il existe au moins un chemin valide vers le certificat racine. Dans les versions 13.1 build 42.x et antérieures, si l’un des certificats de la chaîne de certificats était signé de manière croisée et comportait plusieurs chemins d’accès au certificat racine, l’appliance ne vérifiait qu’un seul chemin. Et si ce chemin n’était pas valide, la validation échouait.

Activer (ou désactiver) l’authentification par certificat de serveur

Vous pouvez utiliser l’interface de ligne de commande et l’interface graphique pour activer et désactiver l’authentification par certificat de serveur.

Activer (ou désactiver) l’authentification par certificat de serveur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour activer l’authentification par certificat de serveur et vérifier la configuration :

set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>
<!--NeedCopy-->

Exemple :

set ssl service ssl-service-1 -serverAuth ENABLED

show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Activer (ou désactiver) l’authentification par certificat de serveur à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Services, puis ouvrez un service SSL.
  2. Dans la section Paramètres SSL, sélectionnez Activer l’authentification du serveur et spécifiez un nom commun.
  3. Dans Paramètres avancés, sélectionnez Certificats et liez un certificat CA au service.

Liez le certificat CA au service à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour lier le certificat CA au service et vérifier la configuration :

bind ssl service <serviceName> -certkeyName <string> -CA

show ssl service <serviceName>
<!--NeedCopy-->

Exemple :

bind ssl service ssl-service-1 -certkeyName samplecertkey -CA

show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      CertKey Name: samplecertkey     CA Certificate          CRLCheck: Optional
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Configuration d’un nom commun pour l’authentification des certificats de serveur

Dans le cadre du chiffrement de bout en bout avec l’authentification du serveur activée, vous pouvez inclure un nom commun dans la configuration d’un service ou d’un groupe de services SSL. Le nom que vous spécifiez est comparé au nom commun figurant dans le certificat du serveur lors d’une liaison SSL. Si les deux noms correspondent, la poignée de main est réussie. Si les noms communs ne correspondent pas, le nom commun spécifié pour le service ou le groupe de services est comparé aux valeurs du champ de nom alternatif du sujet (SAN) du certificat. Si elle correspond à l’une de ces valeurs, la poignée de main est réussie. Cette configuration est particulièrement utile si, par exemple, deux serveurs sont protégés par un pare-feu et que l’un des serveurs usurpe l’identité de l’autre. Si le nom commun n’est pas coché, un certificat présenté par l’un ou l’autre des serveurs est accepté si l’adresse IP correspond.

Remarque : seules les entrées DNS du nom de domaine, de l’URL et de l’identifiant de messagerie figurant dans le champ SAN sont comparées.

Configurer la vérification du nom commun pour un service ou un groupe de services SSL à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour spécifier l’authentification du serveur avec vérification par nom commun et vérifier la configuration :

  1. Pour configurer un nom commun dans un service, tapez :

    set ssl service <serviceName> -commonName <string> -serverAuth ENABLED
    show ssl service <serviceName>
    <!--NeedCopy-->
    
  2. Pour configurer un nom commun dans un groupe de services, tapez :

    set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED
    show ssl serviceGroup <serviceGroupName>
    <!--NeedCopy-->
    

Exemple :

set ssl service svc1 -commonName xyz.com -serverAuth ENABLED

show ssl service svc

     Advanced SSL configuration for Back-end SSL Service svc1:
     DH: DISABLED
     Ephemeral RSA: DISABLED
     Session Reuse: ENABLED Timeout: 300 seconds
     Cipher Redirect: DISABLED
     SSLv2 Redirect: DISABLED
     Server Auth: ENABLED Common Name: www.xyz.com
     SSL Redirect: DISABLED
     Non FIPS Ciphers: DISABLED
     SNI: DISABLED
     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
    1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
    1) Cipher Name: ALL
     Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Configurer la vérification du nom commun pour un service ou un groupe de services SSL à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Services ou accédez à Gestion du trafic > Équilibrage de charge > Groupes de services, puis ouvrez un service ou un groupe de services.
  2. Dans la section Paramètres SSL, sélectionnez Activer l’authentification du serveuret spécifiez un nom commun.
Authentification du serveur