Listes de révocation de certificats

De temps à autre, les autorités de certification délivrent des listes de révocation de certificats (LCR). Les listes de révocation de certificats contiennent des informations sur les certificats qui ne peuvent plus être approuvés. Par exemple, supposons qu’Ann quitte XYZ Corporation. L’entreprise peut placer le certificat d’Ann sur une LCR pour l’empêcher de signer des messages avec cette clé.

De même, vous pouvez révoquer un certificat si une clé privée est compromise ou si ce certificat a expiré et qu’un nouveau certificat est en cours d’utilisation. Avant de faire confiance à une clé publique, assurez-vous que le certificat n’apparaît pas sur une liste de révocation de certificats.

Citrix Gateway prend en charge les deux types de CRL suivants :

  • LCR qui répertorient les certificats qui sont révoqués ou qui ne sont plus valides
  • Online Certificate Status Protocol (OSCP), un protocole Internet utilisé pour obtenir le statut de révocation des certificats X.509

Pour ajouter une liste de révocation de révocation de révocation

Avant de configurer la liste de révocation de révocation de révocation sur le dispositif Citrix Gateway, assurez-vous que le fichier de liste de révocation de révocation de révocation de licences est stocké localement sur le dispositif. Dans le cas d’une configuration de haute disponibilité, le fichier CRL doit être présent sur les deux appliances Citrix Gateway et le chemin d’accès au fichier doit être le même sur les deux appliances.

Si vous devez actualiser la liste de révocation de révocation de révocation, vous pouvez utiliser les paramètres suivants :

  • Nom de la liste de révocation de certificats : nom de la liste de révocation de certificats ajoutée sur le Citrix ADC. 31 caractères maximum.
  • Fichier CRL : nom du fichier CRL ajouté sur le Citrix ADC. Citrix ADC recherche par défaut le fichier CRL dans le répertoire /var/netscaler/ssl. 63 caractères maximum.
  • URL : 127 caractères maximum
  • DN de base : 127 caractères maximum
  • DN de liaison : 127 caractères maximum
  • Mot de passe : 31 caractères maximum
  • Jour (s) : Maximum 31
  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez SSL, puis cliquez sur CRL.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la boîte de dialogue Ajouter une liste de révocation de révocation de révocation de révocation de révocation, spécifiez les valeurs suivantes :
    • Nom de la liste de révocation de révocation de révocation
    • Fichier CRL
    • Format (facultatif)
    • Certificat CA (facultatif)
  4. Cliquez sur Créer, puis sur Fermer. Dans le volet d’informations de la liste de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation que vous venez de configurer et vérifiez que les paramètres qui s’affichent en bas de l’

Pour configurer l’actualisation automatique des LCR à l’aide de LDAP ou HTTP dans l’utilitaire de configuration

Une liste de révocation de certificats est générée et publiée par une autorité de certification périodiquement ou, dans certains cas, immédiatement après la révocation d’un certificat particulier. Citrix recommande que vous mettiez régulièrement à jour les listes de révocation de certificats sur l’appliance Citrix Gateway pour la protection contre les clients qui tentent de se connecter à des certificats qui ne sont pas valides.

l’appliance Citrix Gateway peut actualiser les listes de révocation de révocation à partir d’un emplacement Web ou d’un répertoire LDAP. Lorsque vous spécifiez des paramètres d’actualisation et un emplacement Web ou un serveur LDAP, la liste de révocation de révocation de régénération ne doit pas être présente sur le disque dur local au moment de l’exécution de la commande. La première actualisation stocke une copie sur le disque dur local, dans le chemin spécifié par le paramètre Fichier CRL. Le chemin par défaut pour stocker la liste de révocation de certificats est /var/netscaler/ssl.

Paramètres d’actualisation de la liste de révocation de révocation de régénération

  • Nom de la liste de révocation de révocation de révocation

    Nom de la liste de révocation de régénération en cours sur Citrix Gateway.

  • Activer l’actualisation automatique de la liste de révocation de révocation de régénération

    Activer ou désactiver l’actualisation automatique des LCR.

  • Certificat CA

    Le certificat de l’autorité de certification qui a délivré la liste de révocation de certificats. Ce certificat d’autorité de certification doit être installé sur l’appliance. Citrix ADC peut actualiser les listes de révocation de certificats uniquement à partir des autorités de certification dont les certificats sont installés dessus.

  • Méthode

    Protocole permettant d’obtenir l’actualisation de la liste de révocation de révocation de révocation à partir d’un serveur Web (HTTP) ou d’un serveur LDAP. Valeurs possibles : HTTP, LDAP. Par défaut : HTTP.

  • Champ d’application

    Étendue de l’opération de recherche sur le serveur LDAP. Si la portée spécifiée est Base, la recherche est au même niveau que le DN de base. Si la portée spécifiée est One, la recherche s’étend à un niveau au-dessous du DN de base.

  • IP du serveur

    Adresse IP du serveur LDAP à partir duquel la liste de révocation de révocation de révocation est récupérée. Sélectionnez IPv6 pour utiliser une adresse IP IPv6.

  • Port

    Numéro de port sur lequel le serveur LDAP ou HTTP communique.

  • URL

    URL de l’emplacement Web à partir duquel la liste de révocation de révocation de révocation est récupérée.

  • DN de base

    DN de base utilisé par le serveur LDAP pour rechercher l’attribut CRL. Remarque : Citrix recommande d’utiliser l’attribut DN de base au lieu du nom de l’émetteur du certificat d’autorité de certification pour rechercher la liste de révocation de certificats dans le serveur LDAP. Le champ Nom de l’émetteur peut ne pas correspondre exactement au DN de la structure d’annuaire LDAP.

  • DN de liaison

    Attribut DN de liaison utilisé pour accéder à l’objet CRL dans le référentiel LDAP. Les attributs DN de liaison sont les informations d’identification d’administrateur du serveur LDAP. Configurez ce paramètre pour restreindre l’accès non autorisé aux serveurs LDAP.

  • Mot de passe

    Mot de passe administrateur utilisé pour accéder à l’objet CRL dans le référentiel LDAP. Ceci est requis si l’accès au référentiel LDAP est restreint, c’est-à-dire que l’accès anonyme n’est pas autorisé.

  • Intervalle

    Intervalle auquel l’actualisation de la liste de révocation de révocation de révocation doit être effectuée. Pour une actualisation instantanée de la liste de révocation de révocation de révocation de régénération, spécifiez l’intervalle MAINTENANT. Valeurs possibles : MENSUEL, DAILY, SEMAINE, MAINTENANT, NONE.

  • Jours

    Le jour où l’actualisation de la liste de révocation de révocation de révocation doit être effectuée. L’option n’est pas disponible si intervalle est défini sur DAIN.

  • C’est l’heure

    Heure exacte au format 24 heures à laquelle l’actualisation de la liste de révocation de révocation de révocation doit être effectuée.

  • Binaire

    Définissez le mode de récupération des LCR basé sur LDAP sur binaire. Valeurs possibles : OUI, NON. Par défaut : NO.

  1. Dans le volet de navigation, développez SSL, puis cliquez sur CRL.
  2. Sélectionnez la liste de révocation de révocation de régénération configurée pour laquelle vous souhaitez actualiser les paramètres, puis cliquez sur Ouvrir.
  3. Sélectionnez l’option Activer l’actualisation automatique de la liste de révocation de révocation.
  4. Dans le groupe Paramètres de régénération automatique de la liste de révocation de régénération, spécifiez des valeurs pour les paramètres suivants : Remarque : Un astérisque (*) indique un paramètre obligatoire.
    • Méthode
    • Binaire
    • Champ d’application
    • IP du serveur
    • Port *
    • URL
    • DN de base *
    • Nom unique de liaison
    • Mot de passe
    • Intervalle
    • Jour (s)
    • C’est l’heure
  5. Cliquez sur Créer. Dans le volet CRL, sélectionnez la liste de révocation de révocation de révocation que vous venez de configurer et vérifiez que les paramètres qui apparaissent en bas de l’écran sont corrects.