Citrix ADC

クライアント証明書を使用した認証

オンラインバンキング Web サイトや従業員の個人情報を含む Web サイトなど、機密性の高いコンテンツを含む Web サイトでは、認証にクライアント証明書が必要になることがあります。クライアント側の証明書属性に基づいてユーザを認証するように認証、認可、および監査を設定するには、まずトラフィック管理仮想サーバでクライアント認証を有効にし、ルート証明書を認証仮想サーバにバインドします。次に、2 つのオプションのいずれかを実装します。認証仮想サーバーのデフォルトの認証タイプをCERTとして構成するか、クライアント証明書に基づいてユーザーを認証するためにCitrix ADCが実行する必要がある処理を定義する証明書アクションを作成できます。どちらの場合も、認証サーバが CRL をサポートしている必要があります。SubjectCN フィールドまたはクライアント証明書内の別の指定されたフィールドからユーザー名を抽出するように ADC を構成します。

ユーザーが認証ポリシーが構成されていない認証仮想サーバーにログオンしようとすると、グローバルカスケードが構成されていない場合、証明書の指定されたフィールドからユーザー名情報が抽出されます。必須フィールドが抽出されると、認証は成功します。ユーザーが SSL ハンドシェイク中に有効な証明書を提供しない場合、またはユーザー名の抽出が失敗した場合、認証は失敗します。クライアント証明書を検証した後、ADC はユーザーにログオンページを表示します。

次の手順では、機能する認証、承認、および監査の構成が既に作成されていることを前提としています。したがって、クライアント証明書を使用して認証を有効にする方法のみを説明します。また、これらの手順は、ルート証明書とクライアント証明書を取得し、ADC の /nsconfig/ssl ディレクトリに配置していることを前提としています。

コマンドラインインターフェイスを使用して認証、承認、および監査クライアント証明書パラメータを構成するには

コマンドプロンプトで次のコマンドを記載されている順序で入力し、証明書を構成し、構成を確認します。

  • add ssl certKey <certkeyName> -cert <certFile> -key <keyFile> -password -inform <inform> -expiryMonitor <expiryMonitor> -notificationPeriod <notificationPeriod>

  • bind ssl certKey <certkeyName> -vServer <certkeyName> -CA -crlCheck Mandatory

  • show ssl certKey [<certkeyName>]

  • set aaa parameter -defaultAuthType CERT

  • show aaa parameter

  • set aaa certParams -userNameField "Subject:CN"

  • show aaa certParams

構成ユーティリティを使用して認証、承認、および監査クライアント証明書パラメータを構成するには

  1. [セキュリティ]>[AAA-アプリケーショントラフィック]>[仮想サーバ] に移動します。
  2. 詳細ウィンドウで、クライアント証明書の認証を処理するように構成する仮想サーバーを選択し、[編集] をクリックします。
  3. [構成] ページの [証明書] で、右矢印 (>) をクリックして、[CA Cert Key] インストールダイアログを開きます。
  4. [CA証明書キー] ダイアログボックスで、[挿入] をクリックします。
  5. [CA証明書キー-SSL証明書] ダイアログボックスで、[インストール] をクリックします。
  6. [Install Certificate] ダイアログボックスで、次のパラメータを設定します。これらのパラメータは、次に示すように CLI パラメータ名に対応します。
    • 証明書とキーのペア名*—certkeyName
    • 証明書ファイル名:certFile
    • キー・ファイル名:keyFile
    • 証明書形式:inform
    • パスワード-password
    • 証明書バンドル:bundle
    • 有効期限が切れたときに通知する-notificationPeriod
    • 通知期間-notificationPeriod
  7. [インストール] をクリックし、[閉じる] をクリックします。
  8. [CA 証明書キー] ダイアログボックスの [証明書] リストで、ルート証明書を選択します。
  9. [保存] をクリックします。
  10. [Back] をクリックして、メインの設定画面に戻ります。
  11. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [CERT] に移動します。
  12. 詳細ウィンドウで、クライアント証明書の認証を処理するように構成するポリシーを選択し、[編集] をクリックします。
  13. [認証 CERT ポリシーの構成] ダイアログボックスの [サーバー] ドロップダウンリストで、クライアント証明書の認証を処理するように構成した仮想サーバーを選択します。
  14. [OK] をクリックします。ステータスバーに、設定が正常に完了したことを示すメッセージが表示されます。

失敗したログイン試行回数を通知するサポート

Citrix ADCアプライアンスは、最後に成功したログオンから失敗したログイン試行回数をログに記録できるようになりました。この機能は、アプライアンスで persistentLoginAttempts オプションが有効になっている場合にのみ機能します。Citrix ADCアプライアンスでは、このオプションはデフォルトで無効になっています。

Citrix ADC管理者は、この情報を使用して、セキュリティで保護された外部ユーザーアカウントで不正な試行が行われたかどうかを確認できます。

この機能を使用するには、Citrix ADCコマンドプロンプトで次のように入力します。

set aaa parameter [–maxloginAttempts <value> [-failedLoginTimeout <value>]] -persistentLoginAttempts (ENABLED | DISABLED)

例:

set aaa parameter –maxLoginAttempts 4 –failedLoginTimeout 3 –persistentLoginAttempts ENABLED