Authentification par certificats

Citrix SD-WAN garantit que des chemins sécurisés sont établis entre les appliances du réseau SD-WAN à l’aide de techniques de sécurité telles que le chiffrement du réseau et les tunnels IPsec de chemin virtuel. Outre les mesures de sécurité existantes, l’authentification basée sur les certificats est introduite dans Citrix SD-WAN 11.0.2.

Authentification de certificat, permet aux organisations d’utiliser des certificats émis par leur autorité de certification privée pour authentifier les appliances. Les appliances sont authentifiées avant d’établir les chemins virtuels. Par exemple, si une appliance de succursale tente de se connecter au centre de données et que le certificat de la succursale ne correspond pas au certificat attendu par le centre de données, le chemin d’accès virtuel n’est pas établi.

Le certificat émis par l’autorité de certification lie une clé publique au nom de l’appliance. La clé publique fonctionne avec la clé privée correspondante possédée par l’appliance identifiée par le certificat.

Remarque

Dans la version actuelle, les certificats d’autorité de certification doivent être téléchargés manuellement sur toutes les appliances du réseau. La prochaine version inclura la distribution automatique des certificats réseau.

Pour activer l’authentification de l’appliance, dans l’éditeur de configuration, accédez à Global > Paramètres réseau et sélectionnez Activer l’authentification de l’appliance .

Activer l'authentification de l'appliance

Une fois la configuration effectuée et appliquée, une nouvelle option d’ authentification de certificat est répertoriée sous Configuration > Réseau étendu virtuel .

Vous pouvez gérer tous les certificats utilisés pour l’authentification de chemin d’accès virtuel à partir de la page Authentification de certificat .

Authentification par certificats

Certificat installé

La section Certificat installé fournit un résumé du certificat installé sur l’appliance. L’appliance utilise ce certificat pour s’identifier dans le réseau.

La section Délivré à fournit des détails sur les personnes auxquelles le certificat a été délivré. Le nom commun du certificat correspond au nom de l’appliance, car le certificat est lié au nom de l’appliance. La section Émetteur fournit les détails de l’autorité de signature du certificat, qui a signé le certificat. Les détails du certificat incluent l’empreinte digitale du certificat, le numéro de série et la période de validité du certificat.

Certificat installé

Charger le bundle d’identité

Le bundle Identity inclut une clé privée et le certificat associé à la clé privée. Vous pouvez télécharger le certificat de l’appliance émis par l’autorité de certification dans l’appliance. Le bundle de certificats est un fichier PKCS 12, avec l’extension .p12. Vous pouvez choisir de le protéger avec un mot de passe. Si vous laissez le champ de mot de passe vide, il est traité comme aucune protection par mot de passe.

Charger le bundle d'identité

Télécharger le lot d’autorité de certification

Chargez l’ensemble PKCS 12 correspondant à l’autorité de signature de certificat. Le bundle d’autorité de certification comprend la chaîne complète de signatures, la racine et toute l’autorité signataire intermédiaire.

Télécharger ca bundle

Charger des certificats réseau

Chargez tous les certificats réseau concaténés ensemble dans un seul fichier .PEM. Les certificats réseau doivent être téléchargés sur chacune des appliances du réseau. Lorsqu’un site initie une connexion de chemin d’accès virtuel, un message comprenant son certificat est envoyé au répondeur. Le répondeur vérifie le certificat d’initiateur par rapport au fichier PEM de certificats réseau. Si le certificat d’initiateur correspond à un certificat de la base de données, la connexion de chemin d’accès virtuel est établie.

Remarque

Dans la version actuelle, les certificats d’autorité de certification doivent être téléchargés manuellement sur toutes les appliances du réseau. La prochaine version inclura la distribution automatique des certificats réseau.

Charger des certificats réseau

Créer une demande de signature de certification

L’appliance peut générer un certificat non signé et créer une demande de signature de certificat (CSR). L’autorité de certification peut ensuite télécharger le CSR à partir de l’appliance, le signer et le télécharger à nouveau sur l’appliance. Il est utilisé comme certificat d’identité pour l’appliance. Pour créer un CSR pour une appliance, indiquez le nom commun, les détails de l’organisation et l’adresse de l’appliance.

Demande de signature de certificat

Gestionnaire de liste de révocation de certificats

Une liste de révocation de certificats (CRL) est une liste publiée de numéros de série de certificats qui ne sont plus valides sur le réseau. Le fichier CRL est régulièrement téléchargé et stocké localement sur toute l’appliance. Lorsqu’un certificat est en cours d’authentification, le répondeur examine la liste de révocation de certificats pour voir si le certificat d’initiateurs a déjà été révoqué. Pour activer la liste de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation. Indiquez l’emplacement où le fichier CRL est conservé. Les emplacements HTTP, HTTPS et FTP sont pris en charge. Spécifiez l’intervalle de temps pour vérifier et télécharger le fichier CRL, la plage est de 1 à 1440 minutes.

Liste de révocation de certificats

Remarque

La période de réauthentification pour un chemin virtua1 peut être comprise entre 10 et 15 minutes. Si l’intervalle de mise à jour de la liste de révocation de certificats est défini sur une durée plus courte, la liste de révocation de certificats mise à jour peut inclure un numéro de série actuellement actif. Rendre un certificat révoqué activement disponible sur votre réseau pour une courte durée.