magasin de certificats d’interception SSL

Un certificat SSL, qui fait partie intégrante de toute transaction SSL, est un formulaire de données numériques (X509) qui identifie une entreprise (domaine) ou un individu. Un certificat SSL est délivré par une autorité de certification (CA). Une AC peut être privée ou publique. Les certificats émis par des autorités de certification publiques, telles que Verisign, sont approuvés par les applications qui effectuent des transactions SSL. Ces applications tiennent à jour une liste des autorités de certification dont elles font confiance.

En tant que proxy de transfert, une appliance Citrix Secure Web Gateway (SWG) effectue le chiffrement et le déchiffrement du trafic entre un client et un serveur. Il agit comme un serveur pour le client (utilisateur) et comme un client pour le serveur. Pour qu’une appliance puisse traiter le trafic HTTPS, elle doit valider l’identité d’un serveur afin d’éviter toute transaction frauduleuse. Par conséquent, en tant que client du serveur d’origine, l’appliance doit vérifier le certificat du serveur d’origine avant de l’accepter. Pour vérifier le certificat d’un serveur, tous les certificats (par exemple, certificats racine et intermédiaire) utilisés pour signer et émettre le certificat de serveur doivent être présents sur l’appliance. Un ensemble de certificats d’autorité de certification par défaut est préinstallé sur une appliance. Citrix SWG peut utiliser ces certificats pour vérifier presque tous les certificats de serveur d’origine courants. Ce jeu par défaut ne peut pas être modifié. Toutefois, si votre déploiement nécessite des certificats d’autorité de certification supplémentaires, vous pouvez créer un ensemble de ces certificats et l’importer dans l’appliance. Un bundle peut également contenir un seul certificat.

Lorsque vous importez un bundle de certificats sur l’appliance, celle-ci télécharge le bundle à partir de l’emplacement distant et, après avoir vérifié que le bundle contient uniquement des certificats, l’installe sur l’appliance. Vous devez appliquer un ensemble de certificats avant de pouvoir l’utiliser pour valider un certificat de serveur. Vous pouvez également exporter un ensemble de certificats pour la modifier ou le stocker dans un emplacement hors connexion en tant que sauvegarde.

Importer et appliquer un ensemble de certificats d’autorité de certification sur l’appliance à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

import ssl certBundle <name> <src>
apply ssl certBundle <name>
show ssl certBundle

ARGUMENTS :

nom :

          Nom à attribuer au groupe de certificats importé. Doit commencer par un caractère alphanumérique ASCII ou soulignement (_) et ne contenir que des caractères alphanumériques ASCII, soulignement, hachage (#), point (.), espace, deux-points (:), arobase (@), égal (=) et tiret (-). L'exigence suivante s'applique uniquement à l'interface de ligne de commande :

Si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “mon fichier” ou ‘mon fichier’).

Longueur maximale : 31

src :

          URL spécifiant le protocole, l'hôte et le chemin d'accès, y compris le nom du fichier, au regroupement de certificats à importer ou à exporter. Par exemple, `http://www.example.com/cert\_bundle\_file`.

REMARQUE : L’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite l’authentification de certificat client pour l’accès.

Longueur maximale : 2047

Exemple :

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
apply ssl certBundle swg-certbundle
show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done

Importez et appliquez un ensemble de certificats d’autorité de certification sur l’appliance à l’aide de l’interface graphique graphique de Citrix SWG

  1. Accédez à Secure Web Gateway > Mise en route > Bundles de certificats.
  2. Faites l’une des opérations suivantes :
    • Sélectionnez un ensemble de certificats dans la liste.
    • Pour ajouter un nouveau pack de certificats, cliquez sur « + » et spécifiez un nom et une URL source. Cliquez sur OK.
  3. Cliquez sur OK.

Supprimez un ensemble de certificats d’autorité de certification de l’appliance à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

remove certBundle <cert bundle name>

Exemple :

remove certBundle mytest-cacert

Exporter un ensemble de certificats d’autorité de certification à partir de l’appliance à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

export certBundle <cert bundle name> <Path to export>

ARGUMENTS :

nom :

          Nom à attribuer au groupe de certificats importé. Doit commencer par un caractère alphanumérique ASCII ou soulignement (_) et ne  contenir que des caractères alphanumériques ASCII, soulignement, hachage (#), point (.), espace, deux-points ( :), at (@), égaux (=) et tiret (-). L'exigence suivante s'applique uniquement à l'interface de ligne de commande :

Si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “mon fichier” ou ‘mon fichier’).

Longueur maximale : 31

src :

          URL spécifiant le protocole, l'hôte et le chemin d'accès, y compris le nom du fichier, au regroupement de certificats à importer ou à exporter. Par exemple, `http://www.example.com/cert\_bundle\_file`.

REMARQUE : L’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite l’authentification de certificat client pour l’accès.

Longueur maximale : 2047

Exemple :

export certBundle mytest-cacert http://192.0.2.20/

Limitation

Les lots de certificats ne sont pas pris en charge dans une configuration de cluster ou sur une appliance partitionnée.