-
-
Configuration de Citrix ADC pour Citrix Virtual Apps and Desktops
-
Préférence de zone optimisée pour l'équilibrage de la charge du serveur global (GSLB)
-
Déploiement d'une plateforme de publicité numérique sur AWS avec Citrix ADC
-
Amélioration de l'analyse des flux de clics dans AWS à l'aide de Citrix ADC
-
Citrix ADC dans un cloud privé géré par Microsoft Windows Azure Pack et Cisco ACI
-
-
Déployer une instance de Citrix ADC VPX sur AWS
-
Installer une instance Citrix ADC VPX sur le cloud VMware sur AWS
-
Installer une instance Citrix ADC VPX sur des serveurs Microsoft Hyper-V
-
Installer une instance Citrix ADC VPX sur la plate-forme Linux-KVM
-
Provisionnement de l'appliance virtuelle Citrix ADC à l'aide d'OpenStack
-
Provisionnement de l'appliance virtuelle Citrix ADC à l'aide de Virtual Machine Manager
-
Configuration des appliances virtuelles Citrix ADC pour utiliser l'interface réseau SR-IOV
-
Configuration des appliances virtuelles Citrix ADC pour utiliser l'interface réseau PCI
-
Provisioning de l'appliance virtuelle Citrix ADC à l'aide du programme virsh
-
Provisioning de l'appliance virtuelle Citrix ADC avec SR-IOV, sur OpenStack
-
Configuration d'une instance Citrix ADC VPX sur KVM pour utiliser les interfaces hôtes OVS DPDK
-
Déployer une instance de Citrix ADC VPX sur AWS
-
Serveurs d'équilibrage de charge dans différentes zones de disponibilité
-
Haute disponibilité dans toutes les zones de disponibilité AWS
-
Déployer une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS
-
Ajout d'un service de mise à l'échelle automatique AWS back-end
-
Configurer une instance Citrix ADC VPX pour utiliser l'interface réseau SR-IOV
-
Configurer une instance Citrix ADC VPX pour utiliser la mise en réseau améliorée avec AWS ENA
-
Déployer une instance de Citrix ADC VPX sur Microsoft Azure
-
Architecture réseau pour les instances Citrix ADC VPX sur Microsoft Azure
-
Configurer plusieurs adresses IP pour une instance autonome Citrix ADC VPX
-
Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau
-
Configurer une instance Citrix ADC VPX pour utiliser la mise en réseau accélérée Azure
-
Configurer les nœuds HA-INC à l'aide du modèle de haute disponibilité Citrix avec Azure ILB
-
Ajouter des paramètres de mise à l'échelle automatique Azure
-
Configurer GSLB sur une configuration haute disponibilité active en veille
-
Configurer des pools d'adresses (IIP) pour une appliance Citrix Gateway
-
Scripts PowerShell supplémentaires pour le déploiement Azure
-
Déployer une instance Citrix ADC VPX sur Google Cloud Platform
-
Déployer une paire haute disponibilité VPX sur Google Cloud Platform
-
Déployer une paire VPX haute disponibilité avec des adresses IP privées sur Google Cloud Platform
-
Ajouter un service de mise à l'échelle automatique GCP back-end
-
Prise en charge de la mise à l'échelle VIP pour l'instance Citrix ADC VPX sur GCP
-
-
Automatiser le déploiement et les configurations de Citrix ADC
-
Solutions pour les fournisseurs de services de télécommunication
-
Trafic de plan de contrôle d'équilibrage de charge basé sur les protocoles Diameter, SIP et SMPP
-
Utilisation de la bande passante à l'aide de la fonctionnalité de redirection de cache
-
Optimisation TCP de Citrix ADC
-
Authentification, autorisation et audit du trafic des applications
-
Fonctionnement de l'authentification, de l'autorisation et de l'audit
-
Composants de base de la configuration d'authentification, d'autorisation et d'audit
-
Autorisation de l'accès des utilisateurs aux ressources applicatives
-
Citrix ADC en tant que proxy du service de fédération Active Directory
-
Citrix Gateway sur site en tant que fournisseur d'identité pour Citrix Cloud
-
Prise en charge de la configuration de l'attribut de cookie SameSite
-
Configuration d'authentification, d'autorisation et d'audit pour les protocoles couramment utilisés
-
Résoudre les problèmes liés à l'authentification et à l'autorisation
-
-
-
Prise en charge de la configuration Citrix ADC dans la partition d'administration
-
Prise en charge de VXLAN pour les partitions d'administration
-
Prise en charge de SNMP pour les partitions d'administration
-
Prise en charge des journaux d'audit pour les partitions d'administration
-
Afficher les adresses PMAC configurées pour la configuration VLAN partagée
-
-
-
-
Configuration de l'expression de stratégie avancée : Mise en route
-
Expressions de stratégie avancées : utilisation de dates, d'heures et de nombres
-
Expressions de stratégie avancées : analyse des données HTTP, TCP et UDP
-
Expressions de stratégie avancées : analyse des certificats SSL
-
Expressions de stratégie avancées : adresses IP et MAC, débit, ID VLAN
-
Expressions de stratégie avancées : fonctions d'analyse de flux
-
Référence aux expressions - Expressions de stratégie avancées
-
Résumé d'exemples d'expressions et de stratégies de syntaxe par défaut
-
Didacticiel exemples de stratégies de syntaxe par défaut pour la réécriture
-
Migration des règles Apache mod_rewrite vers la syntaxe par défaut
-
-
-
Traduire l'adresse IP de destination d'une requête vers l'adresse IP d'origine
-
-
Prise en charge de la configuration de Citrix ADC dans un cluster
-
-
-
Groupes de nœuds pour les configurations spotted et striped partielles
-
Suppression du nœud d'un cluster déployé à l'aide de l'agrégation de liens de cluster
-
Surveillance des itinéraires pour les itinéraires dynamiques dans le cluster
-
Surveillance de la configuration du cluster à l'aide de MIB SNMP avec liaison SNMP
-
Surveillance des échecs de propagation des commandes dans un déploiement de cluster
-
Prise en charge de MSR pour les nœuds inactifs dans une configuration de cluster spotted
-
Liaison d'interface VRRP dans un cluster actif à nœud unique
-
Scénarios de configuration et d'utilisation du cluster
-
Migration d'une configuration HA vers une configuration de cluster
-
Interfaces communes pour le client et le serveur et interfaces dédiées pour le backplane
-
Commutateur commun pour le client, le serveur et le backplane
-
Commutateur commun pour le client et le serveur et commutateur dédié pour le backplane
-
Services de surveillance dans un cluster à l'aide de la surveillance des chemins
-
Opérations prises en charge sur des nœuds de cluster individuels
-
-
-
Configurer les enregistrements de ressources DNS
-
Créer des enregistrements MX pour un serveur d'échange de messagerie
-
Créer des enregistrements NS pour un serveur faisant autorité
-
Créer des enregistrements NAPTR pour le domaine des télécommunications
-
Créer des enregistrements PTR pour les adresses IPv4 et IPv6
-
Créer des enregistrements SOA pour les informations faisant autorité
-
Créer des enregistrements TXT pour contenir du texte descriptif
-
Configurer Citrix ADC en tant que résolveur de stub adapté à la sécurité sans validation
-
Prise en charge des trames Jumbo pour DNS pour gérer les réponses de grandes tailles
-
Configurer la mise en cache négative des enregistrements DNS
-
-
Équilibrage de charge globale des serveurs
-
Configurer les entités GSLB individuellement
-
Cas d'utilisation : Déploiement d'un groupe de services d'échelle automatique basé sur l'adresse IP
-
-
Remplacer le comportement de proximité statique en configurant les emplacements préférés
-
Configurer la sélection du service GSLB à l'aide du changement de contenu
-
Configurer GSLB pour les requêtes DNS avec les enregistrements NAPTR
-
Exemple de configuration parent-enfant complète à l'aide du protocole d'échange de mesures
-
-
Équilibrer la charge du serveur virtuel et des états de service
-
Protéger une configuration d'équilibrage de charge contre les défaillances
-
-
Configurer des serveurs virtuels d'équilibrage de charge sans session
-
Réécriture des ports et des protocoles pour la redirection HTTP
-
Insérer l'adresse IP et le port d'un serveur virtuel dans l'en-tête de requête
-
Utiliser une adresse IP source spécifiée pour la communication backend
-
Définir une valeur de délai d'attente pour les connexions client inactives
-
Utiliser un port source à partir d'une plage de ports spécifiée pour la communication backend
-
Configurer la persistance de l'IP source pour les communications backend
-
-
Paramètres avancés d'équilibrage de charge
-
Protéger les applications sur les serveurs protégés contre les surtensions de trafic
-
Activer le nettoyage des connexions de serveur virtuel et de service
-
Activer ou désactiver la session de persistance sur les services TROFS
-
Activer la vérification de l'état TCP externe pour les serveurs virtuels UDP
-
Maintenir la connexion client pour plusieurs demandes client
-
Utiliser l'adresse IP source du client lors de la connexion au serveur
-
Définir une limite de nombre de requêtes par connexion au serveur
-
Définir une valeur de seuil pour les moniteurs liés à un service
-
Définir une valeur de délai d'attente pour les connexions client inactives
-
Définir une valeur de délai d'attente pour les connexions au serveur inactif
-
Définir une limite sur l'utilisation de la bande passante par les clients
-
Configurer les moniteurs dans une configuration d'équilibrage de charge
-
Configurer l'équilibrage de charge pour les protocoles couramment utilisés
-
Cas d'utilisation 3 : Configurer l'équilibrage de charge en mode de retour direct du serveur
-
Cas d'utilisation 4 : Configurer les serveurs LINUX en mode DSR
-
Cas d'utilisation 5 : Configurer le mode DSR lors de l'utilisation de TOS
-
Cas d'utilisation 7 : Configurer l'équilibrage de charge en mode DSR à l'aide d'IP sur IP
-
Cas d'utilisation 8 : Configurer l'équilibrage de charge en mode à un bras
-
Cas d'utilisation 9 : Configurer l'équilibrage de charge en mode Inline
-
Cas d'utilisation 10 : Équilibrage de la charge des serveurs du système de détection d'intrusion
-
Cas d'utilisation 11 : Isolation du trafic réseau à l'aide de stratégies d'écoute
-
Cas d'utilisation 12 : Configurer XenDesktop pour l'équilibrage de charge
-
Cas d'utilisation 13 : Configurer XenApp pour l'équilibrage de charge
-
Cas d'utilisation 14 : Assistant ShareFile pour l'équilibrage de charge Citrix ShareFile
-
-
Configurer pour source de trafic de données Citrix ADC FreeBSD à partir d'une adresse SNIP
-
Déchargement et accélération SSL
-
Prise en charge du protocole TLSv1.3 tel que défini dans la RFC 8446
-
Suites de chiffrement disponibles sur les appliances Citrix ADC
-
Matrice de prise en charge des certificats de serveur sur l'appliance ADC
-
Prise en charge de nCipher NShield® HSM
-
Configurer l'intégration ADC-nCipher
-
Prise en charge du module de sécurité matérielle du réseau Gemalto SafeNet
-
-
-
-
Authentification et autorisation pour les utilisateurs du système
-
Configuration des utilisateurs, des groupes d'utilisateurs et des stratégies de commande
-
Réinitialisation du mot de passe administrateur par défaut (nsroot)
-
Configuration de l'authentification des utilisateurs externes
-
Authentification basée sur la clé SSH pour les administrateurs Citrix ADC
-
Authentification à deux facteurs pour les utilisateurs système
-
-
-
Configuration d'un tunnel de connecteur CloudBridge entre deux centres de données
-
Configuration de CloudBridge Connector entre Datacenter et AWS Cloud
-
Configuration d'un tunnel de connecteur CloudBridge entre un centre de données et Azure Cloud
-
Configuration du tunnel Connector CloudBridge entre Datacenter et SoftLayer Enterprise Cloud
-
-
Points à prendre en considération pour une configuration de haute disponibilité
-
Restriction du trafic de synchronisation haute disponibilité à un VLAN
-
Configuration des nœuds haute disponibilité dans différents sous-réseaux
-
Limitation des basculements causés par les moniteurs de routage en mode non-INC
-
Comprendre le calcul de la vérification de l'état de haute disponibilité
-
Gestion des messages de pulsation haute disponibilité sur une appliance Citrix ADC
-
Suppression et remplacement d'un Citrix ADC dans une configuration haute disponibilité
-
Merci pour vos commentaires.
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Configurer l’intégration ADC-nCipher
L’organigramme suivant illustre les tâches que vous devez effectuer pour utiliser NCipher HSM avec un Citrix ADC :
Comme indiqué dans l’organigramme précédent, vous effectuez les tâches suivantes :
- Activez la configuration à distance push sur le HSM.
- Configurez ADC pour qu’il utilise le HSM nCipher.
- Ajoutez l’adresse NSIP sur le HSM.
- Configurez l’autorisation d’accès pour ADC sur le RFS.
- Configurez le démarrage automatique de l’
Hardserverau démarrage. - Inscrire le HSM sur ADC.
- Ajoutez des détails RFS sur ADC.
- Synchronisez ADC avec le RFS.
- Vérifiez que nCipher HSM est inscrit avec succès sur ADC.
- (Facultatif) Créez une clé HSM RSA.
- Configurez les entités sur Citrix ADC.
- Ajoutez la clé HSM.
- Ajoutez une paire de clés de certificat à l’aide de la clé HSM.
- Ajoutez un serveur virtuel.
- Ajoutez un objet serveur.
- Ajoutez un service.
- Liez le service au serveur virtuel.
- Liez la paire de clés de certificat au serveur virtuel.
- Vérifiez la configuration.
Configurer le NCipher HSM
Spécifiez l’adresse IP du RFS sur le NCipher HSM afin qu’il accepte la configuration que le RFS lui place. Utilisez le panneau avant NShield Connect sur le HSM NCipher pour effectuer la procédure suivante.
Spécifiez l’adresse IP d’un ordinateur distant sur le NCipher HSM
- Accédez à Configuration du système > Options du fichier de configuration > Autoriser la transmission automatique.
- Sélectionnez ONet spécifiez l’adresse IP de l’ordinateur (RFS) à partir duquel accepter la configuration.
Activer la poussée de la configuration distante sur le HSM
Spécifiez l’adresse IP du RFS sur le NCipher HSM afin qu’il accepte la configuration que le RFS lui place. Utilisez le panneau avant NShield Connect sur le HSM NCipher pour effectuer la procédure suivante.
Spécifiez l’adresse IP d’un ordinateur distant sur le NCipher HSM
- Accédez à Configuration du système > Options du fichier de configuration > Autoriser la transmission automatique.
- Sélectionnez ONet spécifiez l’adresse IP de l’ordinateur (RFS) à partir duquel accepter la configuration.
Configurer ADC pour utiliser le NCipher HSM
Exemples de valeurs utilisées dans cette documentation :
Adresse NSIP=10.217.2.43
NCipher Adresse IP HSM = 10.217.2.112
Adresse IP RFS = 10.217.2.6
Ajouter l’adresse NSIP sur le HSM
Généralement, vous utilisez le panneau avant de nShield Connect pour ajouter des clients au HSM. Pour plus d’informations, consultez le Guide de démarrage rapide de nShield Connect.
Vous pouvez également utiliser le RFS pour ajouter ADC en tant que client au HSM. Pour ajouter ADC, vous devez ajouter l’adresse NSIP dans la configuration HSM sur le RFS, puis pousser la configuration vers le HSM. Avant de pouvoir pousser la configuration, vous devez connaître le numéro de série électronique (ESN) du HSM.
Pour obtenir le numéro ESN de votre HSM, exécutez la commande suivante sur le RFS :
root@ns# /opt/nfast/bin/anonkneti <nCipher HSM IP address>
Exemple :
root@ns# /opt/nfast/bin/anonkneti 10.217.2.112
BD17-C807-58D9 5e30a698f7bab3b2068ca90a9488dc4e6c78d822
Le numéro ESN est BD17-C807-58D9.
Une fois que vous avez le numéro ESN, utilisez un éditeur, tel que vi, pour modifier le fichier de configuration HSM sur le RFS.
vi /opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
Dans la hs_clients section, ajoutez les entrées suivantes :
# Amount of data in bytes to encrypt with a session key before session key# renegotiation, or 0 for unlimitied. (default=1024\*1024\*8b=8Mb).
# datalimit=INT
addr=10.217.2.43
clientperm=unpriv
keyhash=0000000000000000000000000000000000000000
esn=
timelimit=86400
datalimit=8388608
-----
Remarque : Incluez un ou plusieurs traits d’union comme délimiteurs pour ajouter plusieurs entrées dans la même section.
Pour pousser la configuration vers le HSM, exécutez la commande suivante sur le RFS :
/opt/nfast/bin/cfg-pushnethsm --address=<nCipher HSM IP address> --force /opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
Exemple :
/opt/nfast/bin/cfg-pushnethsm --address=10.217.2.112 --force
/opt/nfast/kmdata/hsm-BD17-C807-58D9/config/config
Configurer l’autorisation d’accès pour ADC sur le RFS
Pour configurer l’autorisation d’accès pour ADC sur le RFS, exécutez la commande suivante sur le RFS :
/opt/nfast/bin/rfs-setup --force -g --write-noauth <NetScaler IP address>
Exemple :
[root@localhost bin]# /opt/nfast/bin/rfs-setup --force -g --write-noauth 10.217.2.43
Adding read-only remote_file_system entries
Ensuring the directory /opt/nfast/kmdata/local exists
Adding new writable remote_file_system entries
Ensuring the directory /opt/nfast/kmdata/local/sync-store exists
Saving the new config file and configuring the hardserver
Done
Vérifiez que ADC peut atteindre à la fois le HSM RFS et NCipher à l’aide du port 9004.
Configurer le démarrage automatique hardserver de l’
Créez un fichier, puis redémarrez l’appliance. Désormais, chaque fois que vous redémarrez l’appliance et si ce fichier est trouvé, le Hardserver est automatiquement démarré.
À l’invite shell, tapez :
touch /var/opt/nfast/bin/thales_hsm_is_enrolled
À l’invite de commandes, tapez :
reboot
Inscrire le HSM sur ADC
Changer le répertoire en /var/opt/nfast/bin.
Pour ajouter des détails HSM dans la configuration ADC, exécutez la commande suivante sur ADC :
nethsmenroll --force <Thales_nShield_Connect_ip_address> $(anonkneti <Thales_nShield_Connect_ip_address>)
Exemple :
root@ns# ./nethsmenroll --force 10.217.2.112 $(anonkneti 10.217.2.112)
OK configuring hardserver's nethsm imports
Cette étape ajoute les entrées suivantes après la ligne # NToken_ESn=ESN dans la nethsm_imports section du fichier /var/opt/nfast/kmdata/config.
…
local_module=0
remote_ip=10.217.2.112
remote_port=9004
remote_esn=BD17-C807-58D9
keyhash=5e30a698f7bab3b2068ca90a9488dc4e6c78d822
timelimit=86400
datalimit=8388608
privileged=0
privileged_use_high_port=0
ntoken_esn=
Changez le répertoire en /var/opt/nfast/bin et exécutez la commande suivante sur ADC :
touch "thales_hsm_is_enrolled"
Remarque : Pour supprimer un HSM inscrit sur ADC, tapez :
./nethsmenroll –-remove <NETHSM-IP>
Ajouter des détails RFS sur ADC
Pour ajouter des détails RFS, changez le répertoire par /var/opt/nfast/bin/, puis exécutez la commande suivante :
./rfs-sync --no-authenticate --setup <rfs_ip_address>
Exemple :
./rfs-sync --no-authenticate --setup 10.217.2.6
No current RFS synchronization configuration.
Configuration successfully written; new config details:
Using RFS at 10.217.2.6:9004: not authenticating.
Cette étape ajoute les entrées suivantes après la ligne # local_esn=ESN dans la rfs_sync_client section du fichier /var/opt/nfast/kmdata/config/config.
……
remote_ip=10.217.2.6
remote_port=9004
use_kneti=no
local_esn=
Remarque : Pour supprimer un RFS inscrit sur ADC, tapez :
./rfs_sync –remove
Synchroniser ADC avec le RFS
Pour synchroniser tous les fichiers, changez le répertoire en /var/opt/nfast/bin, puis exécutez la commande suivante sur le ADC :
./rfs-sync –-update
Cette commande récupère tous les fichiers World, les fichiers modules et les fichiers clés du répertoire /opt/nfast/kmdata/local du RFS et les place dans le répertoire /var/opt/nfast/kmdata/local de ADC. Citrix vous recommande de copier manuellement les fichiers World, les fichiers Module_xxxx_xxxx, où XXXX_XXXX correspond à l’ESN du HSM inscrit, et uniquement les fichiers de clé et de certificat RSA requis.
Vérifiez que le HSM nCipher est correctement inscrit sur ADC
Après avoir synchronisé ADC avec le RFS, procédez comme suit :
- Vérifiez que le local
Hardserverest opérationnel et en cours d’exécution. (Serveur nCipher en cours d’exécution). - Obtenez l’état des HSM configurés et vérifiez que les valeurs du champ n_modules (nombre de modules) et des champs d’informations km ne sont pas nulles.
- Vérifiez que le HSM est correctement inscrit et qu’il est utilisable (état 0 x 2 utilisable) par ADC.
- Charger les tests en utilisant
sigtestexécuter correctement.
Modifiez le répertoire en /var/opt/nfast/bin, et à l’invite shell, exécutez les commandes suivantes :
root@ns# ./chkserv root@ns# ./nfkminfo root@ns# ./sigtest
Voir Annexe pour un exemple.
Créer une clé HSM RSA
Seules les clés RSA sont prises en charge en tant que clés HSM.
Remarque : Ignorez cette étape si des clés sont déjà présentes dans le /opt/nfast/kmdata/local dossier sur le RFS.
Créez une clé RSA, un certificat auto-signé et une demande de signature de certificat (CSR). Envoyez le CSR à une autorité de certification pour obtenir un certificat de serveur.
Les fichiers suivants sont créés dans l’exemple suivant :
- Incorporer la clé RSA : key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78
- Certificat auto-signé : example_selfcert
- Demande de signature de certificat : example_req
Remarque : la generatekey commande est prise en charge dans le strict FIPS 140-2 Niveau 3 Security World. Un jeu de cartes d’administrateur (ACS) ou un jeu de cartes d’opérateur (OCS) est nécessaire pour contrôler de nombreuses opérations, y compris la création de clés et d’OCS. Lorsque vous exécutez la generatekey commande, vous êtes invité à insérer une carte ACS ou OCS. Pour plus d’informations sur FIPS 140-2 Niveau 3 Security World, consultez le Guide de l’utilisateur de nShield Connect.
L’exemple suivant utilise Level-2 Security World. Dans l’exemple, les commandes sont en caractères gras.
Exemple :
[root@localhost bin]# ./generatekey embed
size: Key size? (bits, minimum 1024) [1024] > 2048
OPTIONAL: pubexp: Public exponent for RSA key (hex)? []
>
embedsavefile: Filename to write key to? []
> example
plainname: Key name? [] > example
x509country: Country code? [] > US
x509province: State or province? [] > CA
x509locality: City or locality? [] > Santa Clara
x509org: Organisation? [] > Citrix
x509orgunit: Organisation unit? [] > NS
x509dnscommon: Domain name? [] > www.citrix.com
x509email: Email address? [] > example@citrix.com
nvram: Blob in NVRAM (needs ACS)? (yes/no) [no] >
digest: Digest to sign cert req with? (md5, sha1, sha256, sha384, sha512)
[default sha1] > sha512
key generation parameters:
operation Operation to perform generate
application Application embed
verify Verify security of key yes
type Key type RSA
size Key size 2048
pubexp Public exponent for RSA key (hex)
embedsavefile Filename to write key to example
plainname Key name example
x509country Country code US
x509province State or province CA
x509locality City or locality Santa Clara
x509org Organisation Citrix
x509orgunit Organisation unit NS
x509dnscommon Domain name www.citrix.com
x509email Email address example@citrix.com
nvram Blob in NVRAM (needs ACS) no
digest Digest to sign cert req with sha512
Key successfully generated.
Path to key: /opt/nfast/kmdata/local/key_embed_2ed5428aaeae1e159bdbd63f25292c7113ec2c78
You have new mail in /var/spool/mail/root
Résultats :
Vous avez créé un CSR (example_req), un certificat auto-signé (example_selfcert) et un fichier de jeton de clé d’application au format intégré (/opt/nfast/kmdata/local/key_embed_2ed5428aae1e159bdbd63f25292c7113ec2c78)
Étant donné que ADC ne prend en charge que les clés au format simple, vous devez convertir la clé intégrée en une clé simple.
Pour convertir la clé intégrée en une clé simple, exécutez la commande suivante sur le RFS :
[root@localhost bin]# ./generatekey -r simple
from-application: Source application? (embed, simple) [embed] > embed
from-ident: Source key identifier? (c6410ca00af7e394157518cb53b2db46ff18ce29,
2ed5428aaeae1e159bdbd63f25292c7113ec2c78)
[default c6410ca00af7e394157518cb53b2db46ff18ce29]
> 2ed5428aaeae1e159bdbd63f25292c7113ec2c78
ident: Key identifier? [] > examplersa2048key
plainname: Key name? [] > examplersa2048key
key generation parameters:
operation Operation to perform retarget
application Application simple
verify Verify security of key yes
from-application Source application embed
from-ident Source key identifier 2ed5428aaeae1e159bdbd63f25292c7113ec2c78
ident Key identifier examplersa2048key
plainname Key name examplersa2048key
Key successfully retargetted.
Path to key: /opt/nfast/kmdata/local/key_simple_examplersa2048key
Important :
Lorsque vous y êtes invité, entrez 2ed5428aaeae1e159bdbd63f25292c7113ec2c78 comme clé d’intégration.
Résultats :
Une clé avec le préfixe key_simple (par exemple key_simple_examplersa2048key) est créée.
Remarque : examplersa2048key est l’identificateur de clé (ident) et est appelé nom de clé HSM sur ADC. Un identificateur de clé est unique. Tous les fichiers simples ont le préfixe key_simple.
Configurer les entités sur ADC
Avant que ADC puisse traiter le trafic, vous devez effectuer les opérations suivantes :
- Activer les fonctionnalités.
- Ajoutez une adresse IP de sous-réseau (SNIP).
- Ajoutez la clé HSM à ADC.
- Ajoutez une paire de clés de certificat à l’aide de la clé HSM.
- Ajoutez un serveur virtuel.
- Ajoutez un objet serveur.
- Ajoutez un service.
- Liez le service au serveur virtuel.
- Liez la paire de clés de certificat au serveur virtuel.
- Vérifiez la configuration.
Activer les fonctionnalités sur ADC
Les licences doivent être présentes sur ADC avant de pouvoir activer une fonctionnalité.
Activer une fonctionnalité à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez les commandes suivantes :
enable feature lb
enable feature ssl
Activer une fonctionnalité à l’aide de l’interface graphique
Accédez à Système > Paramètres et, dans le groupe Modes et fonctionnalités, sélectionnez Configurer les fonctionnalités de base, puis sélectionnez Déchargement SSL.
Ajouter une adresse IP de sous-réseau
Pour plus d’informations sur les adresses IP de sous-réseau, reportez-vous à la section Configuration des adresses IP de sous-réseau.
Ajoutez une adresse SNIP et vérifiez la configuration à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez les commandes suivantes :
add ns ip <IPAddress> <netmask> -type SNIP
show ns ip
Exemple :
add ns ip 192.168.17.253 255.255.248.0 -type SNIP
Done
show ns ip
Ipaddress Traffic Domain Type Mode Arp Icmp Vserver State
--------- -------------- ---- ---- --- ---- ------- ------
1) 192.168.17.251 0 NetScaler IP Active Enabled Enabled NA Enabled
2) 192.168.17.252 0 VIP Active Enabled Enabled Enabled Enabled
3) 192.168.17.253 0 SNIP Active Enabled Enabled NA Enabled
Done
Ajouter une adresse SNIP et vérifier la configuration à l’aide de l’interface graphique
Accédez à Système > Réseau > IP, ajoutez une adresse IP et sélectionnez le Type IP comme IP de sous-réseau.
Copiez la clé HSM et le certificat dans ADC
Utilisez un utilitaire de transfert de fichiers sécurisé pour copier en toute sécurité la clé (key_simple_examplersa2048key) dans le dossier /var/opt/nfast/kmdata/local et le certificat (exemple_selfcert) dans le dossier /nsconfig/ssl de ADC.
Ajouter la clé sur ADC
Toutes les clés ont un préfixe clé-simple. Lorsque vous ajoutez la clé à ADC, utilisez l’ident comme nom de clé HSM. Par exemple, si la clé que vous avez ajoutée est KEY_Simple_XXXX, le nom de la clé HSM est XXXX.
Important :
- Le nom de la clé HSM doit être le même que l’ident que vous avez spécifié lorsque vous avez converti une clé intégrée dans un format de clé simple.
- Les clés doivent être présentes dans le
/var/opt/nfast/kmdata/local/répertoire de ADC.
Ajouter une clé HSM à l’aide de l’interface de ligne de commande
À l’invite du shell, exécutez la commande suivante :
add ssl hsmKey <hsmKeyName> -key <string>
Exemple :
add ssl hsmKey examplersa2048key –key key_simple_examplersa2048key
Done
Ajouter une clé HSM à l’aide de l’interface graphique
Accédez à Gestion du trafic > SSL > HSM et ajoutez une clé HSM.
Ajouter une paire de clés de certificat sur ADC
Pour plus d’informations sur les paires certificat-clé, reportez-vous à la section Ajouter ou mettre à jour une paire de clés de certificat.
Ajouter une paire de clés de certificat à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
add ssl certKey <certkeyName> -cert <string> -hsmKey <string>
Exemple :
add ssl certKey key22 -cert example_selfcert -hsmKey examplersa2048key
Done
Ajouter une paire de clés de certificat à l’aide de l’interface graphique
Accédez à Gestion du trafic > SSL > Certificatset ajoutez une paire certificat-clé.
Ajouter un serveur virtuel
Pour plus d’informations sur un serveur virtuel, reportez-vous à la section Configuration du serveur virtuel SSL.
Configurer un serveur virtuel SSL à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
add lb vserver <name> <serviceType> <IPAddress> <port>
Exemple :
add lb vserver v1 SSL 192.168.17.252 443
Configurer un serveur virtuel SSL à l’aide de l’interface graphique
Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, créez un serveur virtuel et spécifiez le protocole en tant que protocole SSL.
Ajouter un objet serveur
Avant de pouvoir ajouter un objet serveur sur ADC, assurez-vous que vous avez créé un serveur principal. L’exemple suivant utilise le module Python HTTP Server intégré sur un système Linux.
Exemple :
%python –m SimpleHTTPServer 80
Ajouter un objet serveur à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
add server <name> <IPAddress>
Exemple :
add server s1 192.168.17.246
Ajouter un objet serveur à l’aide de l’interface graphique
Accédez à Gestion du trafic > Équilibrage de charge > Serveurset ajoutez un serveur.
Ajouter un service
Pour de plus amples informations, consultez la section Configuration des services.
Configurer un service à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
add service <name> <serverName> <serviceType> <port>
Exemple :
add service sr1 s1 HTTP 80
Configurer un service à l’aide de l’interface graphique
Accédez à Gestion du trafic > Équilibrage de charge > Serviceset créez un service.
Liez le service au serveur virtuel
Pour de plus amples informations, consultez la section Lier des services au serveur virtuel SSL.
Lier un service à un serveur virtuel à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
bind lb vserver <name> <serviceName>
Exemple :
bind lb vserver v1 sr1
Lier un service à un serveur virtuel à l’aide de l’interface graphique
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
- Ouvrez un serveur virtuel, puis cliquez dans le volet Services pour lier un service au serveur virtuel.
Liez la paire de clés de certificat au serveur virtuel sur ADC
Pour de plus amples informations, consultez la section Lier la paire de clés de certificat au serveur virtuel SSL.
Liez une paire de clés de certificat à un serveur virtuel à l’aide de l’interface de ligne de commande
À l’invite de commandes, exécutez la commande suivante :
bind ssl vserver <vServerName> -certkeyName <string>
Exemple :
bind ssl vserver v1 -certkeyName key22
Warning: Current certificate replaces the previous binding
Liez une paire de clés de certificat à un serveur virtuel à l’aide de l’interface graphique
- Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
- Ouvrez un serveur virtuel SSL et, dans Paramètres avancés, cliquez sur Certificat SSL.
- Liez un certificat de serveur au serveur virtuel.
Vérifier la configuration
Pour afficher la configuration à l’aide de l’interface de ligne de commande :
À l’invite de commandes, exécutez les commandes suivantes :
show lb vserver <name>
show ssl vserver <vServerName>
Exemple :
show lb vserver v1
v1 (192.168.17.252:443) - SSL Type: ADDRESS
State: UP
Last state change was at Wed Oct 29 03:11:11 2014
Time since last state change: 0 days, 00:01:25.220
Effective State: UP
Client Idle Timeout: 180 sec
Down state flush: ENABLED
Disable Primary Vserver On Down : DISABLED
Appflow logging: ENABLED
No. of Bound Services : 1 (Total) 1 (Active)
Configured Method: LEASTCONNECTION
Current Method: Round Robin, Reason: Bound service's state changed to UP
Mode: IP
Persistence: NONE
Vserver IP and Port insertion: OFF
Push: DISABLED Push VServer:
Push Multi Clients: NO
Push Label Rule: none
L2Conn: OFF
Skip Persistency: None
IcmpResponse: PASSIVE
RHIstate: PASSIVE
New Service Startup Request Rate: 0 PER_SECOND, Increment Interval: 0
Mac mode Retain Vlan: DISABLED
DBS_LB: DISABLED
Process Local: DISABLED
Traffic Domain: 0
1) sr1 (192.168.17.246: 80) - HTTP State: UP Weight: 1
Done
sh ssl vserver v1
Advanced SSL configuration for VServer v1:
DH: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: DISABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: DISABLED TLSv1.2: DISABLED
Push Encryption Trigger: Always
Send Close-Notify: YES
ECC Curve: P_256, P_384, P_224, P_521
1) CertKey Name: key22 Server Certificate
1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
Pour afficher la configuration à l’aide de l’interface graphique :
Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, puis double-cliquez sur un serveur virtuel SSL pour l’ouvrir et afficher la configuration.
Merci pour vos commentaires.
Partager
Partager
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.