Citrix Gateway

Configuration de certificats intermédiaires

Un certificat intermédiaire est un certificat qui va entre Citrix Gateway (le certificat du serveur) et un certificat racine (généralement installé sur la machine utilisateur). Un certificat intermédiaire fait partie d’une chaîne.

Certaines organisations délèguent l’émission des certificats pour résoudre les problèmes liés à la dispersion géographique de leurs unités ou pour appliquer des politiques d’émission différentes selon leurs secteurs d’activité.

La responsabilité de l’émission des certificats peut être déléguée en configurant des autorités de certification subordonnées. Les CA peuvent signer leurs propres certificats (c’est-à-dire qu’ils seront auto-signés) ou bien ces certificats peuvent être signés par une autre CA. La norme X.509 inclut un modèle de mise en place d’une hiérarchie de CA. Dans ce modèle, comme illustré dans la figure suivante, l’autorité de certification racine se trouve en haut de la hiérarchie et est un certificat auto-signé par l’autorité de certification. Les CA directement subordonnées à la CA racine disposent de certificats CA signés par la CA racine. Les CA situées sous les CA subordonnées dans la hiérarchie disposent de certificats signés par les CA subordonnées.

Figure 1. Modèle X.509 illustrant la structure hiérarchique d’une chaîne de certificats numériques classique

Affiche un diagramme de la structure hiérarchique d'une chaîne de certificats numériques type.

Si un certificat de serveur est signé par une CA avec un certificat auto-signé, la chaîne de certificats compte exactement deux certificats : le certificat de l’entité finale et le certificat d’autorité de certification racine. Si le certificat d’un utilisateur ou d’un serveur est signé par un certificat de CA intermédiaire, la chaîne de certificats est plus longue.

La figure suivante montre que les deux premiers éléments sont le certificat de l’entité finale (ici gwy01.entreprise.com) et le certificat de la CA intermédiaire, dans cet ordre. Le certificat de la CA intermédiaire est suivi du certificat de la CA correspondante. Cette liste se poursuit jusqu’à ce que le dernier certificat dans la liste soit celui d’une CA racine. Chaque certificat de la chaîne atteste de l’identité du certificat précédent.

Figure 2. Chaîne de certificats numériques classique

Affiche une chaîne de certificats numériques typique.

Pour installer un certificat intermédiaire

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Certificats.
  2. Dans le volet d’informations, cliquez sur Installer.
  3. Dans Nom de paire de clés de certificat, tapez le nom du certificat.
  4. Sous Détails, dans Nom du fichier de certificat, cliquez sur Parcourir (Appliance) et dans la liste déroulante, sélectionnez Local ou Appliance.
  5. Accédez au certificat sur votre ordinateur (Local) ou sur Citrix Gateway (Appliance).
  6. Dans Format de certificat, sélectionnez PEM.
  7. Cliquez sur Installer, puis sur Fermer.

Lorsque vous installez un certificat intermédiaire sur Citrix Gateway, vous n’avez pas besoin de spécifier la clé privée ou un mot de passe.

Une fois le certificat installé sur l’appliance, le certificat doit être lié au certificat du serveur.

Pour lier un certificat intermédiaire à un certificat de serveur

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Certificats.
  2. Dans le volet d’informations, sélectionnez le certificat de serveur, puis dans Action, cliquez sur Lien.
  3. En regard de Nom de certificat de l’autorité de certification, sélectionnez le certificat intermédiaire dans la liste, puis cliquez sur OK.
Configuration de certificats intermédiaires