Certificats pour l’équilibrage de la charge de travail

Cette section fournit des informations sur deux tâches facultatives pour sécuriser les certificats :

  • Configuration de HASH (0x2c1a078) pour vérifier un certificat d’une autorité de confiance

  • Configuration de HASH (0x2c1a078) pour vérifier le certificat auto-signé Citrix WLB par défaut

Synthèse

HASH (0x2c1a078) et l’équilibrage de la charge de travail communiquent via HTTPS. Par conséquent, lors de la configuration de l’équilibrage de la charge de travail, l’assistant crée automatiquement un certificat de test auto-signé. Ce certificat de test auto-signé permet à l’équilibrage de charge de travail d’établir une connexion SSL à HASH (0x2c1a078).

Note :

Le certificat auto-signé est un espace réservé pour faciliter la communication HTTPS et ne provient pas d’une autorité de certification approuvée. Pour plus de sécurité, nous vous recommandons d’utiliser un certificat signé par une autorité de certification de confiance.

Par défaut, l’équilibrage de la charge de travail crée automatiquement cette connexion SSL avec HASH (0x2c1a078). Vous n’avez pas besoin d’effectuer des configurations de certificat pendant ou après la configuration pour l’équilibrage de la charge de travail pour créer cette connexion SSL.

Toutefois, pour utiliser un certificat d’une autre autorité de certification, tel qu’un certificat signé d’une autorité commerciale, vous devez configurer l’équilibrage de la charge de travail et HASH (0x2c1a078) pour l’utiliser.

Quel que soit le certificat utilisé par équilibrage de charge de travail, par défaut, HASH (0x2c1a078) ne valide pas l’identité du certificat avant d’établir la connexion à l’équilibrage de charge de travail. Pour configurer HASH (0x2c1a078) pour rechercher un certificat spécifique, vous devez exporter le certificat racine utilisé pour signer le certificat, le copier dans HASH (0x2c1a078) et configurer HASH (0x2c1a078) pour le vérifier lorsqu’une connexion à l’équilibrage de charge de travail est établie. Dans ce scénario, HASH (0x2c1a078) agit comme le client et l’équilibrage de la charge de travail agit comme le serveur.

 Cette illustration montre comment HASH (0x2c1a078) vérifie la présence d'un certificat spécifique avant de permettre au dispositif virtuel d'équilibrage de la charge de travail d'établir une connexion à celui-ci via SSL. Dans ce cas, le certificat réel (le certificat avec la clé privée) se trouve sur le serveur d'équilibrage de la charge de travail et le certificat utilisé pour le signer est sur le maître de pool HASH (0x2c1a078).

En fonction de vos objectifs de sécurité, vous pouvez :

Configurer HASH (0x2c1a078) pour vérifier le certificat auto-signé

Vous pouvez configurer HASH (0x2c1a078) pour vérifier que le certificat auto-signé Citrix WLB est authentique avant que HASH (0x2c1a078) autorise l’équilibrage de la charge de travail à se connecter.

Important :

Pour vérifier le certificat auto-signé Citrix WLB, vous devez vous connecter à l’équilibrage de la charge de travail à l’aide de son nom d’hôte. Pour rechercher le nom d’hôte équilibrage de la charge de travail, exécutez lahostname commande sur l’appliance virtuelle.

Si vous souhaitez configurer l’équilibrage de la charge de travail pour vérifier le certificat auto-signé HASH (0x2e6cb58) WLB, procédez comme suit.

Pour configurer HASH (0x2c1a078) pour vérifier le certificat auto-signé :

  1. Copiez le certificat auto-signé de l’appliance virtuelle Workload Balancing vers le maître de pool. Le certificat auto-signé Citrix WLB est stocké dans /etc/ssl/certs/server.pem. Exécutez les opérations suivantes sur le maître de pool pour copier le certificat :

    scp root@wlb-ip:/etc/ssl/certs/server.pem .
    
  2. Si vous recevez un message indiquant que l’authenticité dewlb-ip ne peut pas être établie, tapezyes pour continuer.

  3. Entrez le mot de passe racine de l’appliance virtuelle équilibrage de la charge de travail lorsque vous y êtes invité, le certificat sera copié dans le répertoire courant.

  4. Installez le certificat. Exécutez lapool-certificate-install commande à partir du répertoire où vous avez copié le certificat. Par exemple :

    xe pool-certificate-install filename=server.pem
    
  5. Vérifiez que le certificat a été installé correctement en exécutant lapool-certificate-list commande sur le maître de pool :

    xe pool-certificate-list
    

    Si vous avez installé le certificat correctement, la sortie de cette commande inclut le certificat racine exporté (par exemple, server.pem). L’exécution de cette commande répertorie tous les certificats SSL installés, y compris le certificat que vous venez d’installer.

  6. Synchronisez le certificat depuis le maître vers tous les hôtes du pool en exécutant lapool-certificate-sync commande sur le maître de pool :

    xe pool-certificate-sync
    

    L’exécution de lapool-certificate-sync commande sur le maître synchronise les listes de révocation de certificats et de certificats sur tous les serveurs de pool avec le maître. Cela garantit que tous les hôtes du pool utilisent les mêmes certificats.

    Il n’y a pas de sortie de cette commande. Cependant, l’étape suivante ne fonctionne pas si celle-ci n’a pas fonctionné correctement.

  7. Demandez à HASH (0x2c1a078) de vérifier le certificat avant de vous connecter au dispositif virtuel d’équilibrage de charge de travail. Exécutez la commande suivante sur le maître de pool :

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Conseil :

    Appuyez sur la touche Tab pour remplir automatiquement l’UUID du pool.

  8. (Facultatif) Pour vérifier que cette procédure a bien fonctionné, effectuez les opérations suivantes :

    1. Pour tester si le certificat est synchronisé avec les autres hôtes du pool, exécutez lapool-certificate-list commande sur ces hôtes.

    2. Pour tester si HASH (0x2c1a078) a été défini pour vérifier le certificat, exécutez lapool-param-get commande avec le paramètreparam-name = wlb-verify-cert. Par exemple :

      xe pool-param-get param-name=wlb-verify-cert uuid=uuid_of_pool
      

Configurer HASH (0x2c1a078) pour vérifier un certificat d’autorité de certification

Vous pouvez configurer HASH (0x2c1a078) pour vérifier un certificat signé par une autorité de certification approuvée.

Pour les certificats d’autorité de confiance, HASH (0x2c1a078) nécessite un certificat ou une chaîne de certificats exporté (les certificats intermédiaires et racine) au format .pem qui contient la clé publique.

Si vous souhaitez que l’équilibrage de la charge de travail utilise un certificat d’autorité approuvée, procédez comme suit :

  1. Obtenir un certificat signé auprès de l’autorité de certification. Voir Tâche 1 : Obtention d’un certificat d’autorité de certification.

  2. Suivez les instructions de la sectionTâche 2 : Spécification du nouveau certificatpour spécifier et appliquer le nouveau certificat.

  3. Installez les certificats obtenus et activez la vérification des certificats sur le maître du pool. Voir Tâche 3 : Importation de la chaîne de certificats dans le pool.

Avant de commencer ces tâches, assurez-vous :

  • Vous connaissez l’adresse IP du maître de pool HASH (0x2c1a078).

  • HASH (0x2c1a078) peut résoudre le nom d’hôte d’équilibrage de la charge de travail. (Par exemple, vous pouvez essayer de lancer un ping ping sur le nom de domaine complet d’équilibrage de charge de travail à partir de la console HASH (0x2c1a078) pour le maître de pool.)

Important :

Si vous souhaitez utiliser une adresse IP pour vous connecter à l’équilibrage de la charge de travail, vous devez spécifier cette adresse IP comme nom d’autre sujet (SAN) lorsque vous créez le certificat.

Tâche 1 : Obtention d’un certificat d’autorité de certification

Pour obtenir un certificat auprès d’une autorité de certification, vous devez générer une demande de signature de certificat (CSR). La génération d’un CSR pour l’appliance virtuelle d’équilibrage de la charge de travail est un processus à deux tâches. Vous devez (1) créer une clé privée et (2) utiliser cette clé privée pour générer le CSR. Vous devez exécuter ces deux procédures sur le dispositif virtuel d’équilibrage de la charge de travail.

Directives pour spécifier le nom commun

Le nom commun (CN) que vous spécifiez lors de la création d’un CSR doit correspondre exactement au nom de domaine complet de votre appliance virtuelle d’équilibrage de charge de travail et au nom de domaine complet ou à l’adresse IP que vous avez spécifiés dans la zone Adresse de la boîte de dialogue Connexion au serveur WLB.

Pour vous assurer que le nom correspond, spécifiez le nom commun à l’aide de l’une des instructions suivantes :

  • Spécifiez les mêmes informations pour le nom commun du certificat que celles spécifiées dans la boîte de dialogue Connexion au serveur WLB. Par exemple, si votre appliance virtuelle d’équilibrage de la charge de travail est nomméewlb-vpx.yourdomain, spécifiezwlb-vpx.yourdomaindans le fichier Connexion au serveur WLB et indiquezwlb-vpx.yourdomainle nom commun lors de la création du CSR.

  • Si vous avez connecté votre pool à l’équilibrage de la charge de travail à l’aide d’une adresse IP, utilisez le nom de domaine complet comme nom commun et spécifiez l’adresse IP comme nom de domaine alternatif (SAN). Cependant, cela peut ne pas fonctionner dans toutes les situations.

Note :

La vérification des certificats est une mesure de sécurité conçue pour empêcher les connexions indésirables. Par conséquent, les certificats d’équilibrage de la charge de travail doivent répondre à des exigences strictes, sinon la vérification du certificat ne réussira pas et HASH (0x2c1a078) n’autorisera pas la connexion. De même, pour que la vérification des certificats réussisse, vous devez stocker les certificats dans les emplacements spécifiques dans lesquels HASH (0x2c1a078) s’attend à trouver les certificats.

Pour créer un fichier de clé privée :

  1. Créer un fichier de clé privée :

    openssl genrsa -des3 -out privatekey.pem 2048
    
  2. Supprimer le mot de passe :

    openssl rsa -in privatekey.pem -out privatekey.nop.pem
    

Note :

Si vous entrez le mot de passe de manière incorrecte ou incohérente, vous pouvez recevoir des messages indiquant qu’il y a une erreur d’interface utilisateur. Vous pouvez ignorer le message et réexécuter la commande pour créer le fichier de clé privée.

Pour générer le CSR :

  1. Générer le RSE :

    1. Créez le CSR à l’aide de la clé privée :

      openssl req -new -key privatekey.nop.pem -out csr
      
    2. Suivez les instructions pour fournir les informations nécessaires à la génération du CSR :

      Nom du pays. Entrez les codes pays du certificat SSL pour votre pays. Par exemple, CA pour le Canada ou JM pour la Jamaïque. Vous pouvez trouver une liste des codes pays de certificat SSL sur le web.

      Nom del’État ou de la province (nom complet). Entrez l’état ou la province où se trouve le pool. Par exemple, le Massachusetts ou l’Alberta.

      Nom de la localité. Le nom de la ville où se trouve le pool.

      Nom de l’organisation. Nom de votre entreprise ou organisation.

      Nom de l’unité organisationnelle. Entrez le nom du département. Ce champ est facultatif.

      Nom commun. Entrez le nom de domaine complet de votre serveur d’équilibrage de charge de travail. Cela doit correspondre au nom utilisé par le pool pour se connecter à l’équilibrage de la charge de travail.

      Adresse e-mail. Cette adresse e-mail est incluse dans le certificat lorsque vous le générez.

    3. Fournissez des attributs facultatifs ou cliquez sur Entrée pour ignorer ces informations.

      La requête CSR est enregistrée dans le répertoire courant et est nomméecsr.

  2. Affichez le CSR dans la fenêtre de la console en exécutant les commandes suivantes dans la console du dispositif d’équilibrage de la charge de travail :

    cat csr
    
  3. Copiez l’intégralité de la demande de certificat et utilisez le CSR pour demander le certificat à l’autorité de certification.

Tâche 2 : Spécification du nouveau certificat

Utilisez cette procédure pour spécifier l’équilibrage de la charge de travail utiliser un certificat provenant d’une autorité de certification. Cette procédure installe les certificats racine et (si disponible) intermédiaires.

Pour spécifier un nouveau certificat :

  1. Téléchargez le certificat signé, le certificat racine et, si l’autorité de certification en possède un, le certificat intermédiaire de l’autorité de certification.

  2. Si vous n’avez pas téléchargé les certificats sur le dispositif virtuel d’équilibrage de la charge de travail. Faites l’une des opérations suivantes :

    1. Si vous copiez les certificats d’un ordinateur Windows vers le dispositif d’équilibrage de la charge de travail, utilisez WinSCP ou un autre utilitaire de copie pour copier les fichiers.

    Pour le nom d’hôte, vous pouvez entrer l’adresse IP et laisser le port à la valeur par défaut. Le nom d’utilisateur et le mot de passe sont généralement root et quel que soit le mot de passe que vous avez défini lors de la configuration.

    1. Si vous copiez les certificats d’un ordinateur Linux vers le dispositif d’équilibrage de la charge de travail, utilisez SCP ou un autre utilitaire de copie pour copier les fichiers dans le répertoire de votre choix sur le dispositif d’équilibrage de la charge de travail. Par exemple :

      scp root_ca.pem root@wlb-ip:/path_on_your_WLB
      
  3. Sur l’appliance virtuelle d’équilibrage de la charge de travail, fusionnez le contenu de tous les certificats (certificat racine, certificat intermédiaire (s’il existe) et certificat signé) en un seul fichier. Par exemple :

    cat signed_cert.pem intermediate_ca.pem root_ca.pem > server.pem
    
  4. Renommez le certificat et la clé existants à l’aide de la commande move :

    mv /etc/ssl/certs/server.pem /etc/ssl/certs/server.pem_orig
    mv /etc/ssl/certs/server.key /etc/ssl/certs/server.key_orig
    
  5. Copier le certificat fusionné :

    mv server.pem /etc/ssl/certs/server.pem
    
  6. Copiez la clé privée créée précédemment :

    mv privatekey.nop.pem /etc/ssl/certs/server.key
    
  7. Rendre la clé privée lisible uniquement par root. Utilisezchmod la commande pour corriger les autorisations.

    chmod 600 /etc/ssl/certs/server.key
    
  8. Redémarrerstunnel :

    killall stunnel
    stunnel
    

Tâche 3 : Importation de la chaîne de certificats dans le pool

Après avoir obtenu les certificats, vous devez importer (installer) les certificats sur le maître de pool HASH (0x2c1a078) et synchroniser les hôtes du pool pour utiliser ces certificats. Ensuite, vous pouvez configurer HASH (0x2c1a078) pour vérifier l’identité et la validité du certificat chaque fois que l’équilibrage de la charge de travail se connecte à un hôte.

  1. Copiez le certificat signé, le certificat racine et, si l’autorité de certification en possède un, le certificat intermédiaire de l’autorité de certification dans le maître de pool HASH (0x2c1a078).

  2. Installez le certificat racine sur le maître de pool :

    xe pool-certificate-install filename=root_ca.pem
    
  3. Le cas échéant, installez le certificat intermédiaire sur le maître de pool :

    xe pool-certificate-install filename=intermediate_ca.pem
    
  4. Vérifiez les deux certificats installés correctement en exécutant cette commande sur le maître de pool :

    xe pool-certificate-list
    

    L’exécution de cette commande répertorie tous les certificats SSL installés. Si les certificats ont été installés avec succès, ils apparaissent dans cette liste.

  5. Synchronisez le certificat sur le maître de pool avec tous les hôtes du pool :

    xe pool-certificate-sync
    

    L’exécution de lapool-certificate-sync commande sur le maître synchronise les listes de certificats et de révocation de certificats sur tous les serveurs de pool avec le maître de pool. Cela garantit que tous les hôtes du pool utilisent les mêmes certificats.

  6. Demandez à HASH (0x2c1a078) de vérifier un certificat avant de vous connecter au dispositif virtuel d’équilibrage de charge de travail. Exécutez la commande suivante sur le maître de pool :

    xe pool-param-set wlb-verify-cert=true uuid=uuid_of_pool
    

    Conseil :

    Appuyez sur la touche Tab pour remplir automatiquement l’UUID du pool.

  7. Si, avant d’activer la vérification des certificats, vous avez spécifié une adresse IP dans la boîte de dialogue Connexion au WLB, vous pouvez être invité à reconnecter le pool à l’équilibrage de la charge de travail.

    Dans ce cas, spécifiez le nom de domaine complet du dispositif d’équilibrage de la charge de travail dans la zone Adresse de la boîte de dialogue Connexion au WLB exactement tel qu’il apparaît dans le nom commun (CN) du certificat . (Vous devez entrer le nom de domaine complet car le nom commun et le nom que HASH (0x2c1a078) utilise pour se connecter doivent correspondre.)

Conseils de dépannage

  • Si, après avoir configuré la vérification des certificats, le pool ne peut pas se connecter à l’équilibrage de la charge de travail, vérifiez si le pool peut se connecter si vous désactivez la vérification des certificats (en exécutantxe pool-param-set wlb-verify-cert=false uuid=uuid_of_pool). S’il peut se connecter avec vérification désactivée, le problème est dans la configuration de votre certificat. S’il ne peut pas se connecter, le problème concerne vos informations d’identification d’équilibrage de charge de travail ou votre connexion réseau.

  • Certaines autorités de certification commerciales fournissent des outils pour vérifier le certificat correctement installé. Envisagez d’exécuter ces outils si ces procédures ne permettent pas d’isoler le problème. Si ces outils nécessitent la spécification d’un port SSL, spécifiez le port 8012 ou le port que vous avez défini lors de la configuration de l’équilibrage de la charge de travail.

  • Si, après avoir suivi ces procédures, un message d’erreur apparaît dans l’onglet WLB indiquant « Il y a eu une erreur de connexion au serveur WLB », il peut y avoir un conflit entre le nom commun dans le certificat et le nom de l’appliance virtuelle d’équilibrage de charge de travail. Le nom du dispositif virtuel d’équilibrage de la charge de travail et le nom commun du certificat doivent correspondre exactement.