Citrix SD-WAN

Authentification par certificats

Citrix SD-WAN garantit que des chemins sécurisés sont établis entre les appliances du réseau SD-WAN à l’aide de techniques de sécurité telles que le chiffrement réseau et les tunnels IPSec de chemin virtuel. Outre les mesures de sécurité existantes, l’authentification basée sur des certificats est introduite dans Citrix SD-WAN 11.0.2.

Authentification de certificat, permet aux organisations d’utiliser des certificats émis par leur autorité de certification privée pour authentifier les appliances. Les appliances sont authentifiées avant d’établir les chemins virtuels. Par exemple, si une appliance de succursale tente de se connecter au centre de données et que le certificat de la succursale ne correspond pas au certificat attendu par le centre de données, le chemin d’accès virtuel n’est pas établi.

Le certificat émis par l’autorité de certification lie une clé publique au nom de l’appliance. La clé publique fonctionne avec la clé privée correspondante possédée par l’appliance identifiée par le certificat.

Remarque

Dans la version actuelle, les certificats d’autorité de certification doivent être téléchargés manuellement sur toutes les appliances du réseau. La prochaine version inclura la distribution automatique des certificats réseau.

Pour activer l’authentification de l’appliance, dans l’éditeur de configuration, accédez à Global > Paramètres réseau et sélectionnez Activer l’authentification de l’appliance.

Activer l'authentification de l'appliance

Une fois la configuration effectuée et appliquée, une nouvelle option d’authentification de certificat est répertoriée sous Configuration > WAN virtuel.

Vous pouvez gérer tous les certificats utilisés pour l’authentification de chemin virtuel à partir de lapage Authentification decertificat.

Authentification par certificats

Certificat installé

La section Certificat installé fournit un résumé du certificat installé sur l’appliance. L’appliance utilise ce certificat pour s’identifier au sein du réseau.

La section Émis à fournit des détails sur la personne à qui le certificat a été délivré. Le nom commun dans le certificat correspond au nom de l’appliance, car le certificat est lié au nom de l’appliance. La section Émetteur fournit les détails de l’autorité de signature du certificat, qui a signé le certificat. Les détails du certificat comprennent l’empreinte digitale du certificat, le numéro de série et la période de validité du certificat.

Certificat installé

Charger le bundle d’identité

Le bundle Identity inclut une clé privée et le certificat associé à la clé privée. Vous pouvez télécharger le certificat de l’appliance émis par l’autorité de certification dans l’appliance. Le lot de certificats est un fichier PKCS 12, avec l’extension .p12. Vous pouvez choisir de le protéger avec un mot de passe. Si vous laissez le champ du mot de passe vide, il est traité comme aucune protection par mot de passe.

Charger le bundle d'identité

Charger le bundle d’autorité de certification

Téléchargez le bundle PKCS 12 correspondant à l’autorité de signature de certificat. Le bundle d’autorité de certification comprend la chaîne complète des signatures, la racine et toutes les autorités signataires intermédiaires.

Télécharger l'ensemble ca

Charger des certificats réseau

Téléchargez tous les certificats réseau concaténés ensemble dans un seul fichier .PEM. Les certificats réseau doivent être téléchargés sur chacune des appliances du réseau. Lorsqu’un site initie une connexion de chemin virtuel, un message incluant son certificat est envoyé au répondeur. Le répondeur vérifie le certificat d’initiateur par rapport au fichier PEM de certificats réseau. Si le certificat d’initiateur correspond à un certificat de la base de données, la connexion de chemin virtuel est établie.

Remarque

Dans la version actuelle, les certificats d’autorité de certification doivent être téléchargés manuellement sur toutes les appliances du réseau. La prochaine version inclura la distribution automatique des certificats réseau.

Charger des certificats réseau

Créer une demande de signature de certification

L’appliance peut générer une certification non signée et créer une demande de signature de certificat (CSR). L’autorité de certification peut ensuite télécharger le CSR à partir de l’appliance, le signer et le télécharger à nouveau sur l’appliance. Il est utilisé comme certificat d’identité pour l’appliance. Pour créer un CSR pour une appliance, indiquez le nom commun, les détails de l’organisation et l’adresse de l’appliance.

Demande de signature de certificat

Gestionnaire de liste de révocation de certificats

Une liste de révocation de certificats (LCR) est une liste publiée de numéros de série de certificats qui ne sont plus valides sur le réseau. Le fichier CRL est régulièrement téléchargé et stocké localement sur toute l’appliance. Lorsqu’un certificat est authentifié, le répondeur examine la liste de révocation pour voir si le certificat d’initiateurs a déjà été révoqué. Pour activer la liste de révocation de révocation de révocation de révocation, sélectionnez l’option Indiquez l’emplacement où le fichier de liste de révocation de révocation de révocation est Les emplacements HTTP, HTTPS et FTP sont pris en charge. Spécifiez l’intervalle de temps pour vérifier et télécharger le fichier CRL, la plage est de 1 à 1440 minutes.

Liste de révocation de certificats

Remarque

La période de réauthentification pour un chemin virtua1 peut être comprise entre 10 et 15 minutes, si l’intervalle de mise à jour de la liste de révocation de révocation de révocation est plus courte, la liste de listes de révocation de révocation de révocation de révocation peut inclure un numéro de série actuellement actif. Rendre disponible un certificat activement révoqué sur votre réseau pour une courte durée.

Authentification par certificats