Contrôleur d'entrée Citrix ADC

Prise en charge de l’authentification du serveur TLS dans Citrix ADC à l’aide du Citrix ingress controller

L’authentification du serveur permet à un client de vérifier l’authenticité du serveur Web auquel il accède. En règle générale, l’appareil Citrix ADC effectue le déchargement et l’accélération SSL pour le compte d’un serveur Web et n’authentifie pas le certificat du serveur Web. Toutefois, vous pouvez authentifier le serveur dans les déploiements qui nécessitent un cryptage SSL de bout en bout.

Dans ce cas, l’appareil Citrix ADC devient le client SSL et effectue les opérations suivantes :

  • effectue une transaction sécurisée avec le serveur SSL
  • vérifie qu’une autorité de certification dont le certificat est lié au service SSL a signé le certificat du serveur
  • vérifie la validité du certificat du serveur.

Pour authentifier le serveur, vous devez d’abord activer l’authentification du serveur, puis lier le certificat de l’autorité de certification qui a signé le certificat du serveur au service SSL sur l’appliance Citrix ADC. Lorsque vous liez le certificat, vous devez spécifier l’option de liaison en tant qu’autorité de certification.

Configuration de l’authentification du serveur TLS

Effectuez les étapes suivantes pour configurer l’authentification du serveur TLS.

  1. Activez la prise en charge du protocole TLS dans Citrix ADC.

    Le Citrix ingress controller utilise la section TLS de la définition Ingress comme activateur pour la prise en charge de TLS avec Citrix ADC. Voici un exemple d’extrait de définition d’entrée :

    spec:
      tls:
       - secretName:
    
  2. Pour générer un secret Kubernetes pour un certificat existant, effectuez les opérations suivantes.

    1. Générez un certificat client à utiliser avec le service.

      kubectl create secret tls tea-beverage --cert=path/to/tls.cert --key=path/to/tls.key --namespace=default
      
    2. Générez un secret pour un certificat d’autorité de certification existant. Ce certificat est nécessaire pour signer le certificat du serveur principal.

      kubectl create secret generic tea-ca --from-file=tls.crt=cacerts.pem
      

    Remarque :

    Vous devez spécifier tls.crt= lors de la création d’un secret. Ce fichier est utilisé par le Citrix ingress controller lors de l’analyse d’un secret d’autorité de certification.

  3. Activez la communication dorsale sécurisée avec le service à l’aide de l’annotation suivante dans la configuration Ingress.

     ingress.citrix.com/secure-backend: "True" 
    
  4. Utilisez l’annotation suivante pour lier le certificat au service SSL. Ce certificat est utilisé lorsque Citrix ADC agit en tant que client pour envoyer la demande au serveur principal.

    ingress.citrix.com/backend-secret: '{"tea-beverage": "tea-beverage", "coffee-beverage": "coffee-beverage"}'
    
  5. Pour activer l’authentification du serveur qui authentifie le certificat du serveur principal, vous pouvez utiliser l’annotation suivante. Cette configuration lie le certificat d’autorité de certification du serveur au service SSL sur Citrix ADC.

     ingress.citrix.com/backend-ca-secret: '{"coffee-beverage":"coffee-ca", "tea-beverage":"tea-ca"}
    
Prise en charge de l’authentification du serveur TLS dans Citrix ADC à l’aide du Citrix ingress controller