Configuration de l’état des certificats OCSP

La configuration du protocole OCSP (Online Certificate Status Protocol) implique l’ajout d’un répondeur OCSP, la liaison du répondeur OCSP à un certificat signé d’une autorité de certification (CA) et la liaison du certificat et de la clé privée à un serveur virtuel SSL (Secure Sockets Layer). Si vous devez dissocier un certificat et une clé privée différents à un répondeur OCSP que vous avez déjà configuré, vous devez d’abord dissocier le répondeur, puis lier le répondeur à un autre certificat.

Pour configurer OCSP

  1. Sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Répondeur OCSP.

  2. Dans le volet d’informations, cliquez sur Ajouter.

  3. Dans Nom, tapez un nom pour le profil.

  4. Dans URL, tapez l’adresse Web du répondeur OCSP.

    Ce champ est obligatoire. L’adresse Web ne peut pas dépasser 32 caractères.

  5. Pour mettre en cache les réponses OCSP, cliquez sur Cache et dans Délai d’expiration, tapez le nombre de minutes pendant lesquelles Citrix Gateway détient la réponse.

  6. Sous Lots de demandes, cliquez sur Activer.

  7. Dans Délai de traitement par lots, spécifiez la durée, en millisecondes, autorisée pour le traitement par lots d’un groupe de requêtes OCSP.

    Les valeurs peuvent être comprises entre 0 et 10000. La valeur par défaut est 1.

  8. Dans la zone Produit à l’heure, tapez le temps que Citrix Gateway peut utiliser lorsque l’appliance doit vérifier ou accepter la réponse.

  9. Sous Vérification des réponses, sélectionnez Réponses d’approbation si vous souhaitez désactiver les vérifications de signature par le répondeur OCSP.

    Si vous activez les réponses d’approbation, ignorez les étapes 8 et 9.

  10. Dans Certificat, sélectionnez le certificat utilisé pour signer les réponses OCSP.

    Si aucun certificat n’est sélectionné, l’autorité de certification à laquelle le répondeur OCSP est lié est utilisée pour vérifier les réponses.

  11. Dans Délai d’expiration de la demande, tapez le nombre de millisecondes à attendre une réponse OCSP.

    Cette heure inclut le délai de traitement par lots. Les valeurs peuvent être comprises entre 0 et 120000. La valeur par défaut est 2000.

  12. Dans Signature de certificat, sélectionnez le certificat et la clé privée utilisés pour signer les demandes OCSP. Si vous ne spécifiez pas de certificat et de clé privée, les demandes ne sont pas signées.

  13. Pour activer le nombre utilisé une fois (nonce) extension, sélectionnez Nonce.

  14. Pour utiliser un certificat client, cliquez sur Insertion de certificat client.

  15. Cliquez sur Create, puis cliquez sur Close.

Configuration de l’état des certificats OCSP