Citrix ADC

SSLに関するよくある質問

基本的な質問

GUIへのHTTPSアクセスがVPXインスタンスで失敗します。どうすればアクセスできますか?

GUI への HTTPS アクセスには、証明書とキーのペアが必要です。Citrix ADCアプライアンスでは、証明書とキーのペアが自動的に内部サービスにバインドされます。デフォルトのキーサイズは、MPXまたはSDXアプライアンスで1024バイト、VPXインスタンスで512バイトです。ただし、最新のWebブラウザーの多くは1024バイト未満のキーを受け入れません。このため、VPX構成ユーティリティへのHTTPSアクセスがブロックされてしまいます。

構成ユーティリティへのHTTPSアクセスのために、少なくとも1024バイトの証明書とキーのペアをインストールし、内部サービスにバインドすることをお勧めします。または、ns-server-certificate を 1024 バイトに更新します。設定ユーティリティまたは CLI への HTTP アクセスを使用して、証明書をインストールできます。

MPX アプライアンスにライセンスを追加すると、証明書とキーのペアのバインディングが失われます。この問題を解決するにはどうしたらいいですか?

MPX アプライアンスの起動時にライセンスが存在せず、後でライセンスを追加してアプライアンスを再起動すると、証明書のバインドが失われる可能性があります。証明書を再インストールし、内部サービスにバインドする

アプライアンスを起動する前に、適切なライセンスをインストールすることをお勧めします。

SSLトランザクションのセキュアなチャネルを設定する際に必要なさまざまな手順は何ですか?

SSL トランザクションのセキュアチャネルを設定するには、次の手順を実行します。

  1. クライアントは、安全なチャネルの HTTPS 要求をサーバーに送信します。

  2. プロトコルと暗号を選択すると、サーバはその証明書をクライアントに送信します。

  3. クライアントは、サーバー証明書の信頼性をチェックします。

  4. いずれかのチェックが失敗した場合、クライアントは対応するフィードバックを表示します。

  5. チェックがパスした場合、またはチェックが失敗してもクライアントが続行することを決定した場合、クライアントは一時的で使い捨てキーを作成します。このキーは プレマスターシークレット と呼ばれ、クライアントはサーバー証明書の公開キーを使用してこのキーを暗号化します。

  6. サーバーは、プレマスターシークレットを受信すると、サーバーの秘密キーを使用して暗号化を解除し、セッションキーを生成します。クライアントは、プレマスターシークレットからセッションキーも生成します。したがって、クライアントとサーバーの両方に、アプリケーションデータの暗号化と復号化に使用される共通のセッションキーがあります。

SSLはCPUを集中的に使用するプロセスであることを理解しています。SSL プロセスに関連する CPU コストはいくらですか?

SSL プロセスには、次の 2 つのステージが関連付けられています。

  • 公開鍵および秘密鍵技術を使用した初期ハンドシェイクおよびセキュアなチャネル設定。

  • 非対称キー技術を使用したバルクデータ暗号化。

前述のどちらの段階もサーバーのパフォーマンスに影響を与える可能性があり、次のような理由により CPU の集中処理が必要になります。

  1. 最初のハンドシェイクには公開鍵暗号が含まれます。公開鍵暗号は、鍵サイズが大きい(1024 ビット、2048 ビット、4096 ビット)ため、CPU が非常に集中します。

  2. データの暗号化/復号化は、暗号化または復号化が必要なデータの量に応じて、計算コストも高くなります。

SSL構成のさまざまなエンティティは何ですか?

SSL 設定には、次のエンティティがあります。

  • サーバー証明書
  • 認証局 (CA) 証明書
  • 次のタスクのプロトコルを指定する暗号スイート。
    • 初期キー交換
    • サーバーとクライアントの認証
    • 一括暗号化アルゴリズム
    • メッセージ認証
  • クライアント認証
  • CRL
  • 次のファイルを作成できる SSL 証明書キー生成ツール。
    • 証明書の要求
    • 自己署名証明書
    • RSAキーおよびDSAキー
    • DH パラメータ

Citrix ADCアプライアンスのSSLオフロード機能を使用します。SSL証明書を受信するためのさまざまなオプションは何ですか?

Citrix ADCアプライアンスでSSLセットアップを構成する前に、SSL証明書を受け取る必要があります。SSL 証明書を受信するには、次のいずれかの方法を使用できます。

  • 認証された認証局 (CA) に証明書を要求します。

  • 既存のサーバー証明書を使用します。

  • Citrix ADCアプライアンスに証明書とキーのペアを作成します。

注: この証明書は、Citrix ADCアプライアンスによって生成されたテストルートCAによって署名されたテスト証明書です。この Root-CA によって署名されたテスト証明書は、ブラウザでは受け入れられません。ブラウザは、サーバーの証明書が認証できないことを示す警告メッセージをスローします。

  • テスト目的以外の場合、サーバー証明書に署名するための有効な CA 証明書と CA キーを指定する必要があります。

SSLセットアップの最小要件は何ですか?

SSL セットアップを構成するための最小要件は、次のとおりです。

  • 証明書とキーを取得します。
  • 負荷分散SSL仮想サーバーを作成します。
  • HTTP サービスまたは SSL サービスを SSL 仮想サーバーにバインドします。
  • 証明書とキーのペアを SSL 仮想サーバにバインドします。

SSLのさまざまなコンポーネントの制限は何ですか?

SSL コンポーネントには、次の制限があります。

  • SSL 証明書のビットサイズ:4096。
  • SSL 証明書の数:アプライアンスで使用可能なメモリによって異なります。
  • リンクされた中間 CA SSL 証明書の最大数:チェーンあたり 9 です。
  • CRL の失効:アプライアンスで使用可能なメモリによって異なります。

Citrix ADCアプライアンスのエンドツーエンドのデータ暗号化には、どのような手順が必要ですか?

Citrix ADCアプライアンスでのサーバー側の暗号化プロセスの手順は次のとおりです。

  1. クライアントは、セキュアサイトのCitrix ADCアプライアンスで構成されたSSL VIPに接続します。

  2. セキュリティで保護された要求を受信すると、アプライアンスは要求を復号化し、レイヤー 4 ~ 7 のコンテンツスイッチング技術とロードバランシングポリシーを適用します。次に、要求に対して利用可能な最良のバックエンド Web サーバーを選択します。

  3. Citrix ADCアプライアンスは、選択したサーバーとのSSLセッションを作成します。

  4. SSLセッションを確立した後、アプライアンスはクライアント要求を暗号化し、セキュアSSLセッションを使用してWebサーバーに送信します。

  5. アプライアンスは、サーバーから暗号化された応答を受信すると、データを復号化して再暗号化し、クライアント側の SSL セッションを使用してデータをクライアントに送信します。

Citrix ADCアプライアンスの多重化技術により、アプライアンスはWebサーバーと確立されたSSLセッションを再利用できます。したがって、アプライアンスは、 フルハンドシェイクと呼ばれる CPU 負荷の高いキー交換を回避します。このプロセスにより、サーバ上の SSL セッションの総数が削減され、エンドツーエンドのセキュリティが維持されます。

証明書とキー

証明書とキーファイルは任意の場所に配置できますか。これらのファイルを保存するための推奨場所はありますか?

証明書ファイルとキーファイルは、Citrix ADCアプライアンスまたはローカルコンピューターに保存できます。ただし、証明書とキーファイルはCitrix ADCアプライアンスの/nsconfig/ssl ディレクトリに保存することをお勧めします。この/etc ディレクトリは、Citrix ADCアプライアンスのフラッシュメモリに存在します。この操作により、移植性が実現され、アプライアンス上の証明書ファイルのバックアップと復元が容易になります。

注: 証明書とキーファイルが同じディレクトリに保存されていることを確認してください。

Citrix ADCアプライアンスでサポートされる証明書キーの最大サイズはどれくらいですか?

リリース9.0より前のソフトウェアリリースを実行しているCitrix ADCアプライアンスは、最大2048ビットの証明書キーサイズをサポートします。リリース 9.0 以降では、証明書キーの最大サイズ 4096 ビットがサポートされています。この制限は、RSA 証明書と DSA 証明書の両方に適用されます。

MPX アプライアンスは、512 ビットから次のサイズまでの証明書をサポートします。

  • 仮想サーバー上の 4096 ビットサーバー証明書

  • サービス上の 4096 ビットクライアント証明書

  • 4096 ビット CA 証明書(中間証明書とルート証明書を含む)

  • バックエンドサーバー上の 4096 ビット証明書

  • 4096 ビットのクライアント証明書 (仮想サーバーでクライアント認証が有効になっている場合)

仮想アプライアンスは、512 ビットの証明書を次のサイズまでサポートします。

  • 仮想サーバー上の 4096 ビットサーバー証明書

  • サービス上の 4096 ビットクライアント証明書

  • 4096 ビット CA 証明書(中間証明書とルート証明書を含む)

  • リリース 12.0-56.x からのバックエンドサーバ上の 4096 ビット証明書。以前のリリースでは、2048 ビットの証明書がサポートされています。

  • リリース 12.0-56.x からの 2048 ビットクライアント証明書(仮想サーバでクライアント認証が有効の場合)。

Citrix ADCアプライアンスでサポートされるDHパラメーターの最大サイズはどれくらいですか?

Citrix ADCアプライアンスは、最大2048ビットのDHパラメータをサポートしています。

証明書チェーンの最大長(Citrix ADCアプライアンスでサポートされるチェーン内の証明書の最大数)はどれくらいですか?

Citrix ADCアプライアンスは、サーバー証明書メッセージを送信するときに、チェーン内で最大10個の証明書を送信できます。最大長のチェーンには、サーバ証明書と 9 つの中間 CA 証明書が含まれます。

Citrix ADCアプライアンスでサポートされるさまざまな証明書とキーの形式は何ですか?

Citrix ADCアプライアンスでは、次の証明書とキーの形式がサポートされています。

  • Privacy Enhanced Mail (PEM)
  • Distinguished Encoding Rule (DER)

Citrix ADCアプライアンスにインストールできる証明書とキーの数に制限はありますか?

いいえ。 インストールできる証明書とキーの数は、Citrix ADCアプライアンスの使用可能なメモリによってのみ制限されます。

証明書とキーファイルをローカルコンピュータに保存しました。FTPプロトコルを使用してこれらのファイルをCitrix ADCアプライアンスに転送します。これらのファイルをCitrix ADCアプライアンスに転送するための推奨モードはありますか?

はい。FTPプロトコルを使用する場合は、バイナリモードを使用して証明書とキーファイルをCitrix ADCアプライアンスに転送する必要があります。

注: デフォルトでは、FTPは無効になっています。証明書とキーファイルの転送には、SCPプロトコルの使用をお勧めします。設定ユーティリティは、暗黙的に SCP を使用してアプライアンスに接続します。

証明書とキーの既定のディレクトリパスは何ですか?

証明書とキーのデフォルトのディレクトリパスは ‘/nsconfig/sl’ です。

証明書とキーペアを追加するときに、証明書とキーファイルへの絶対パスを指定しないとどうなりますか?

証明書とキーのペアを追加するときに、証明書とキーファイルへの絶対パスを指定しない場合、ADC アプライアンスはこれらのファイルをデフォルトディレクトリで検索し、カーネルにロードしようとします。デフォルトのディレクトリは/nsconfig/sslです。たとえば、cert1024.pem ファイルと rsa1024.pem ファイルがアプライアンスの/nsconfig/ssl ディレクトリにある場合、次のコマンドは両方とも成功します。

add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem

高可用性のセットアップを構成しました。セットアップにSSL機能を実装したいと思います。高可用性セットアップで証明書とキーファイルをどのように処理する必要がありますか?

高可用性セットアップでは、プライマリとセカンダリのCitrix ADCアプライアンスの両方に証明書とキーファイルを保存する必要があります。プライマリアプライアンスに SSL 証明書とキーペアを追加する前に、両方のアプライアンスで証明書とキーファイルのディレクトリパスが同じである必要があります。

nCipher nShield® HSM

nCipher nShield® HSMと統合する場合、Citrix ADCアプライアンスをHAに追加する際に特定の構成を念頭に置いておく必要がありますか?

HA 内の両方のノードで同じ nCipher デバイスを構成する必要があります。nCipher 構成コマンドは HA 内で同期しません。nCipher nShield® HSM の前提条件については、前提条件を参照してください。

nCipher nShield® HSMとRFSの両方を個別に統合する必要がありますか?このアクションは、HA セットアップの前後に完了する必要がありますか?

統合は、HA セットアップの前または後に完了できます。ただし、HA セットアップ後に統合が行われた場合、セカンダリノードを設定する前にプライマリノードにインポートされたキーは、セカンダリノードに同期されません。したがって、高可用性セットアップの前にnCipherを統合することをお勧めします。

プライマリおよびセカンダリCitrix ADCアプライアンスの両方にキーをインポートする必要がありますか、プライマリノードからセカンダリノードにキーが同期されていますか?

HA を形成する前に両方のデバイスに nCipher が統合されている場合、統合の過程で RFS からキーが自動的に同期されます。

HSMがCitrix ADCアプライアンスではなく、nCipher上にある場合、ノードに障害が発生して交換されると、キーと証明書はどうなりますか?

ノードに障害が発生した場合は、まず nCipher を新しいノードに統合し、次のコマンドを実行することで、キーと証明書を新しいノードに同期できます。

sync ha files ssl
force ha sync

証明書は、nCipher の統合プロセスでキーが同期されている場合に同期され、追加されます。

暗号

NULL暗号とは何ですか?

暗号化のない暗号は、NULL暗号として知られています。たとえば、NULL-MD5はNULL暗号です。

SSL VIP または SSL サービスに対して NULL 暗号がデフォルトで有効になっていますか?

いいえ。 SSL VIP または SSL サービスでは、NULL 暗号はデフォルトで有効になっていません。

NULL暗号を削除する手順は何ですか?

SSL VIP から NULL 暗号を削除するには、次のコマンドを実行します。

bind ssl cipher <SSL_VIP> REM NULL

SSL サービスから NULL 暗号を削除するには、次のコマンドを実行します。

bind ssl cipher <SSL_Service> REM NULL -service

Citrix ADCアプライアンスでサポートされるさまざまな暗号エイリアスは何ですか?

アプライアンスでサポートされている暗号エイリアスを一覧表示するには、コマンド・プロンプトで次のように入力します。

sh cipher

Citrix ADCアプライアンスの事前定義された暗号をすべて表示するコマンドは何ですか?

Citrix ADCアプライアンスの事前定義された暗号をすべて表示するには、CLIで次のように入力します。

show ssl cipher

Citrix ADCアプライアンスの個々の暗号の詳細を表示するコマンドは何ですか?

Citrix ADCアプライアンスの個々の暗号の詳細を表示するには、CLIで次のように入力します。

show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>

例:

show cipher SSL3-RC4-SHA
     1) Cipher Name: SSL3-RC4-SHA
     Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
    Mac=SHA1
     Done

Citrix ADCアプライアンスの事前定義された暗号を追加することの意義は何ですか?

Citrix ADCアプライアンスの事前定義された暗号を追加すると、NULL暗号がSSL VIPまたはSSLサービスに追加されます。

Citrix ADCアプライアンスの暗号グループからバインドを解除することなく、暗号の順序を変更することはできますか?

はい。カスタム暗号グループから暗号をバインド解除することなく、暗号の順序を変更できます。ただし、組み込みの暗号グループの優先順位を変更することはできません。SSL エンティティにバインドされた暗号の優先順位を変更するには、まず仮想サーバー、サービス、またはサービスグループから暗号のバインドを解除します。

注: SSL エンティティにバインドされた暗号グループが空の場合、ネゴシエートされた暗号が存在しないため、SSL ハンドシェイクは失敗します。暗号グループには、少なくとも 1 つの暗号が含まれている必要があります。

ECDSAはCitrix ADCアプライアンスでサポートされていますか?

ECDSAは、以下のCitrix ADCプラットフォームでサポートされています。サポートされているビルドの詳細については、Citrix ADCアプライアンスで利用可能な暗号の表 1 および表 2 を参照してください。

  • N3チップを搭載したCitrix ADC MPXおよびSDXアプライアンス
  • Citrix ADC MPX 5900/8900/15000/26000
  • Citrix ADC SDX 8900/15000
  • Citrix ADC VPX アプライアンス

Citrix ADC VPXアプライアンスは、フロントエンドでAES-GCM/SHA2暗号をサポートしていますか?

はい。AES-GCM/SHA2暗号はCitrix ADC VPXアプライアンスでサポートされています。サポートされているビルドの詳細については、「Citrix ADCアプライアンスで利用可能な暗号」を参照してください。

証明書

クライアント証明書の識別名は、ユーザーセッションの期間中利用可能ですか?

はい。クライアント証明書の識別名には、ユーザーセッション期間中の後続の要求でアクセスできます。つまり、SSL ハンドシェイクが完了し、証明書がブラウザから再度送信されない場合でも同様です。次の設定例で詳しく説明するように、変数と代入を使用します。

例:

add ns variable v2 -type "text(100)"

add ns assignment a1 -variable "$v2" -set       "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"

add rewrite action act1 insert_http_header subject "$v2"  // example: to insert the distinguished name in the header

add rewrite policy pol1 true a1

add rewrite policy pol2 true act1

bind rewrite global pol1 1 next -type RES_DEFAULT

bind rewrite global pol2 2 next -type RES_DEFAULT

set rewrite param -undefAction RESET

サーバー証明書をバインドする必要があるのはなぜですか?

サーバー証明書のバインドは、SSL 設定で SSL トランザクションを処理できるようにするための基本的な要件です。

サーバ証明書を SSL VIP にバインドするには、CLI で次のように入力します。

bind ssl vserver <vServerName> -certkeyName <cert_name>

サーバ証明書を SSL サービスにバインドするには、CLI で次のように入力します。

bind ssl service <serviceName> -certkeyName <cert_name>

SSL VIPまたはSSLサービスにバインドできる証明書の数はいくつですか?

Citrix ADC仮想アプライアンスでは、SSL VIPまたはSSLサービスに最大3つの証明書をバインドできます。証明書は、RSA、ECDSA、DSA の各タイプの 1 つである必要があります。Citrix ADC MPX(N2)またはMPX-FIPSアプライアンスで、SNIが有効になっている場合は、RSAタイプの複数のサーバー証明書をバインドできます。SNI が無効の場合は、RSA タイプの証明書を 1 つまでバインドできます。Citrix ADC MPX(N3)およびCitrix ADC MPX/SDX FIPSアプライアンスでは、SSL VIPまたはSSLサービスに最大2つの証明書をバインドできます。証明書は、RSA タイプと ECDSA タイプの 1 つずつである必要があります。

注: DSA 証明書は、MPX または MPX-FIPS プラットフォームではサポートされていません。

SNI はサブジェクトの別名 (SAN) 証明書をサポートしていますか?

いいえ。 Citrix ADCアプライアンスでは、SNIはSAN拡張証明書ではサポートされません。

サーバー証明書のバインドを解除または上書きするとどうなりますか?

サーバー証明書をバインド解除または上書きすると、既存の証明書を使用して作成されたすべての接続と SSL セッションが終了します。既存の証明書を上書きすると、次のメッセージが表示されます。

ERROR:

Warning: Current certificate replaces the previous binding.

Citrix ADCアプライアンスに中間証明書をインストールし、サーバー証明書にリンクするにはどうすればよいですか?

中間証明書のインストールについては、http://support.citrix.com/article/ctx114146の資料を参照してください。

Citrix ADCに証明書をインストールしようとすると、「リソースはすでに存在します」というエラーが表示されるのはなぜですか?

「リソースは既に存在します」エラーの解決方法については、http://support.citrix.com/article/CTX117284の資料を参照してください。

Citrix ADCアプライアンスにサーバー証明書を作成して、製品をテストおよび評価します。サーバー証明書を作成する手順は何ですか?

テスト証明書を作成するには、次の手順を実行します。

注: この手順で作成した証明書を使用して、すべてのユーザーとブラウザを認証することはできません。テストに証明書を使用した後、認証されたルート CA によって署名されたサーバー証明書を取得する必要があります。

自己署名サーバー証明書を作成するには、次の手順に従います。

  1. ルート CA 証明書を作成するには、CLI で次のように入力します。

    create ssl rsakey /nsconfig/ssl/test-ca.key 1024
    
    create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key
    
    Enter the required information when prompted, and then type the following command:
    
    create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key
    
  2. 次の手順を実行して、サーバー証明書を作成し、作成したルート CA 証明書で署名します。

    1. リクエストとキーを作成するには、CLI で次のように入力します。

      create ssl rsakey /nsconfig/ssl/test-server.key 1024
      
          create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key
      
    2. プロンプトが表示されたら、必要な情報を入力します。

    3. シリアル番号ファイルを作成するには、CLIで次のように入力します。

      shell
       # echo '01' >
      /nsconfig/ssl/serial.txt
       # exit
      
    4. 手順 1 で作成したルート CA 証明書で署名されたサーバー証明書を作成するには、CLI で次のように入力します。

      create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt
      
    5. SSLハンドシェイクおよびバルク暗号化のサーバー証明書情報を保持するインメモリオブジェクトであるCitrix ADC証明書とキーペアを作成するには、CLIで次のように入力します。

      add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key
      
    6. 証明書とキーのペアを SSL 仮想サーバーにバインドするには、CLI で次のように入力します。

      bind ssl vserver <vServerName> -certkeyName <cert_name>
      

NetScaler ソフトウェアリリース9.0がインストールされているCitrix ADCアプライアンスを受信しました。アプライアンス上に余分なライセンスファイルがあることに気付きました。NetScaler ソフトウェアリリース9.0以降のライセンスポリシーに変更はありますか?

はい。Citrix NetScaler ソフトウェアリリース9.0以降では、アプライアンスに単一のライセンスファイルがない可能性があります。ライセンスファイルの数は、Citrix ADCソフトウェアのリリースエディションによって異なります。たとえば、Advanced エディションをインストールした場合、さまざまな機能をフルに活用するために、追加のライセンスファイルが必要になる場合があります。ただし、Premium エディションをインストールした場合、アプライアンスにはライセンスファイルが 1 つしかありません。

インターネットインフォメーションサービス (IIS) から証明書をエクスポートするにはどうすればよいですか

さまざまな方法がありますが、次の方法を使用すると、Web サイトの適切な証明書と秘密鍵がエクスポートされます。この手順は、実際の IIS サーバーで実行する必要があります。

  1. インターネットインフォメーションサービス (IIS) マネージャ管理ツールを開きます。

  2. [ウェブサイト]ノードを展開し、Citrix ADCアプライアンスでサービスするSSL対応Webサイトを探します。

  3. この Web サイトを右クリックし、[プロパティ] をクリックします。

  4. [ディレクトリセキュリティ] タブをクリックし、ウィンドウの [セキュリティで保護された通信] セクションで、[証明書の表示] ボックスを選択します。

  5. [詳細] タブをクリックし、[ファイルにコピー] をクリックします。

  6. [証明書のエクスポートウィザードへようこそ] ページで、[次へ] をクリックします。

  7. [はい、秘密キーをエクスポートする] を選択し、[次へ] をクリックします。

    注: Citrix ADCでSSLオフロードが機能するには、秘密キーをエクスポートする必要があります。

  8. [個人情報交換-PKCS #12] ラジオボタンが選択されていることを確認し、[可能な場合は証明書パス内のすべての証明書を含める] チェックボックスの を選択します。[次へ] をクリックします。

  9. パスワードを入力し、[次へ] をクリックします。

  10. ファイル名と場所を入力し、[次へ] をクリックします。ファイルに.PFXの拡張子を付けます。

  11. [完了] をクリックします。

PKCS #12 証明書を変換してCitrix ADCにインストールするにはどうすればよいですか?

  1. エクスポートした.PFX証明書ファイルを、Citrix ADCアプライアンスにコピーできる場所に移動します。つまり、Citrix ADCアプライアンスの管理インターフェイスへのSSHアクセスを許可するマシンです。SCP などのセキュアコピーユーティリティを使用して、証明書をアプライアンスにコピーします。

  2. BSD シェルにアクセスし、証明書 (cert.PFX など) を.PEM 形式に変換します。

    root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM
    
  3. 変換された証明書が正しい x509 形式であることを確認するには、次のコマンドでエラーが発生しないことを確認します。

    root@ns# openssl x509 -in cert.PEM -text
    
  4. 証明書ファイルに秘密キーが含まれていることを確認します。まず、次のコマンドを発行します。

    root@ns# cat cert.PEM
    
    Verify that the output file includes an RSA PRIVATE KEY section.
    
    -----BEGIN RSA PRIVATE KEY-----
    Mkm^s9KMs9023pz/s...
    -----END RSA PRIVATE KEY-----
    

    次に、RSA PRIVATE KEYセクションの例を示します。

        Bag Attributes
        1.3.6.1.4.1.311.17.2: <No Values>
        localKeyID: 01 00 00 00
        Microsoft CSP Name: Microsoft RSA SChannel Cryptographic
        Provider
        friendlyName:
        4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f
    
        Key Attributes
        X509v3 Key Usage: 10
        -----BEGIN RSA PRIVATE KEY-----
        Proc-Type: 4,ENCRYPTED
        DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968
        pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg
    
        ... (more random characters)
        v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh
    
        5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg==
        -----END RSA PRIVATE KEY-----
    

    以下は、SERVER CERTIFICATEセクションです。

        Bag Attributes
        localKeyID: 01 00 00 00
        friendlyName: AG Certificate
        subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother
        Asiapacific/OU=Support/CN=davemother.food.lan
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK
    
        ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/
    
        MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog=
        -----END CERTIFICATE-----
    

    次に、INTERMEDIATE CA CERTIFICATEセクションを示します。

        Bag Attributes: <Empty Attributes>
        subject=/DC=lan/DC=food/CN=hotdog
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8
    
        ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk=
    
        -----END CERTIFICATE-----
    

    エクスポートされた証明書の証明書パスによっては、さらに中間 CA 証明書が続きます。

  5. テキストエディタで.PEM ファイルを開きます。

  6. .PEM ファイルの最初の行と次の行の最初のインスタンスを見つけ、これらの 2 行とその間のすべての行をコピーします。

    -----END CERTIFICATE-----
    
    Note: Make sure that last copied line is the first
    -----END CERTIFICATE----- line in the .PEM file.
    
    
  7. コピーした行を新しいファイルに貼り付けます。cert-key.pem など、直感的な新しいファイルを呼び出します。この証明書とキーのペアは、HTTPS サービスをホストするサーバー用です。このファイルには、RSA Private KEY というラベルのセクションと、前述の例の SERVERATEY というラベルのセクションの両方が含まれている必要があります。

    注: 証明書とキーのペアファイルには、秘密キーが含まれているため、安全に保つ必要があります。

  8. —BEGIN CERTIFICATE— で始まり、—END CERTIFICATE— で終わる後続のセクションを見つけ、これらのセクションをそれぞれ別の新しいファイルにコピーします。

    これらのセクションは、証明パスに含まれている信頼できる CA の証明書に対応します。これらのセクションをコピーして、これらの証明書の新しい個別のファイルに貼り付ける必要があります。たとえば、前の例の INMEDIATION CA 証明書セクションをコピーして新しいファイルに貼り付ける必要があります)。

    元のファイルに複数の中間 CA 証明書がある場合は、ファイルに表示される順序で中間 CA 証明書ごとにファイルを作成します。証明書は、後の手順で正しい順序でリンクする必要があるため、適切なファイル名を使用して、表示される順序を追跡します。

  9. 証明書キーファイル(cert-key.pem)と追加のCA証明書ファイルをCitrix ADCアプライアンス上の/nsconfig/sslディレクトリにコピーします。

  10. BSDシェルを終了し、Citrix ADCプロンプトにアクセスします。

  11. 「アプライアンスに証明書キーファイルをインストールする」の手順に従って、デバイスにアップロードされたキー/証明書をインストールします。

PKCS #7 証明書を変換してCitrix ADCアプライアンスにインストールするにはどうすればよいですか?

OpenSSLを使用して、PKCS #7 証明書を、Citrix ADCアプライアンスが認識できる形式に変換できます。この手順は、異なるパラメータを指定して OpenSSL を呼び出すことを除いて、PKCS #12 証明書の手順と同じです。PKCS #7 証明書の変換手順は次のとおりです。

  1. SCP などのセキュアコピーユーティリティを使用して、証明書をアプライアンスにコピーします。

  2. 証明書(Cert.p7b など)を PEM 形式に変換します。

    openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem
    
  3. PKCS #12 証明書の回答の説明に従って、手順 3 ~ 7 を実行します。 注:変換された PKCS #7 証明書をアプライアンスにロードする前に、PKCS #12 手順の手順 3 で説明したとおりに秘密キーが含まれていることを確認してください。PKCS #7 証明書、特に IIS からエクスポートされた証明書には、通常、秘密キーは含まれません。

bind cipher コマンドを使用して仮想サーバーまたはサービスに暗号をバインドすると、「Command deprecated」というエラーメッセージが表示されます?

仮想サーバーまたはサービスに暗号をバインドするコマンドが変更されました。

SSL 暗号を SSL 仮想サーバにバインドするには、bind ssl vserver <vsername> -ciphername <ciphername> コマンドを使用します。

SSL 暗号を SSL サービスにバインドするには、bind ssl service <serviceName> -ciphername <ciphername> コマンドを使用します。

注: 新しい暗号と暗号グループは既存のリストに追加され、置き換えられません。

add cipher コマンドを使用して暗号グループを作成し、暗号をバインドできないのはなぜですか?

add cipher コマンド機能は、リリース 10 で変更されました。このコマンドは、暗号グループだけを作成します。グループに暗号を追加するには、bind cipher コマンドを使用します。

OpenSSL

OpenSSLを使用してPEMとDERの間で証明書を変換するにはどうすればよいですか?

OpenSSL を使用するには、OpenSSL ソフトウェアを正常にインストールし、コマンドラインから OpenSSL を実行できる必要があります。

x509 証明書と RSA キーは、いくつかの異なる形式で格納できます。

2 つの一般的な形式は次のとおりです。

  • DER(主にJavaおよびMacintoshプラットフォームで使用されるバイナリ形式)
  • PEM (ヘッダーとフッター情報を持つ DER の base64 表現。主に UNIX および Linux プラットフォームで使用されます)。

ルート証明書と中間証明書に加えて、キーと対応する証明書を、単一の PKCS #12 (.p12、.PFX) ファイルに保存することもできます。

手順

OpenSSL コマンドを使用して、次のようにフォーマット間で変換します。

  1. 証明書を PEM から DER に変換するには、次の手順を実行します。

    x509 -in input.crt -inform PEM -out output.crt -outform DER
    
  2. 証明書を DER から PEM に変換するには、次の手順を実行します。

    x509 -in input.crt -inform DER -out output.crt -outform PEM
    
  3. キーを PEM から DER に変換するには、次の手順を実行します。

    rsa -in input.key -inform PEM -out output.key -outform DER
    
  4. キーを DER から PEM に変換するには、次の手順を実行します。

    rsa -in input.key -inform DER -out output.key -outform PEM
    

    注: インポートするキーが、サポートされている対称暗号で暗号化されている場合は、パスフレーズを入力するように求められます。

    注: 古い NET (Netscape サーバー) 形式との間でキーを変換するには、必要に応じて NET を PEM または DER に置き換えます。保存された鍵は弱い無塩RC4対称暗号で暗号化されるため、パスフレーズが要求されます。空白のパスフレーズも使用できます。

システムの制限

覚えておくべき重要な数字は何ですか?

  1. 証明書要求の作成:

    • 要求ファイル名:最大 63 文字
    • キーファイル名:最大 63 文字
    • PEM パスフレーズ (暗号化キー用): 最大 31 文字
    • 共通名:最大 63 文字
    • 市区町村:最大 127 文字
    • 組織名:最大 63 文字
    • 都道府県名:最大 63 文字
    • Eメールアドレス:最大39文字
    • 組織単位:最大 63 文字
    • チャレンジパスワード:最大20文字
    • 会社名:最大 127 文字
  2. 証明書の作成:

    • 証明書ファイル名:最大 63 文字
    • 証明書要求ファイル名:最大 63 文字
    • キーファイル名:最大 63 文字
    • PEM パスフレーズ:最大 31 文字
    • 有効期間:最長3650日
    • CA 証明書ファイル名:最大 63 文字
    • CA キーファイル名:最大 63 文字
    • PEM パスフレーズ:最大 31 文字
    • CA シリアル番号ファイル:最大 63 文字
  3. サーバーテスト証明書の作成とインストール:

    • 証明書ファイル名:最大 31 文字
    • 完全修飾ドメイン名:最大 63 文字
  4. Diffie-Hellman (DH) キーの作成:
    • DH ファイル名 (パス付き): 最大 63 文字
    • DH パラメータサイズ:最大 2048 ビット
  5. PKCS12 キーのインポート:

    • 出力ファイル名:最大 63 文字
    • PKCS12 ファイル名:最大 63 文字
    • パスワードのインポート:最大 31 文字
    • PEM パスフレーズ:最大 31 文字
    • PEM パスフレーズの確認:最大 31 文字
  6. PKCS12 のエクスポート
    • PKCS12 ファイル名:最大 63 文字
    • 証明書ファイル名:最大 63 文字
    • キーファイル名:最大 63 文字
    • パスワードのエクスポート:最大 31 文字
    • PEM パスフレーズ:最大 31 文字
  7. CRL 管理:
    • CA 証明書ファイル名:最大 63 文字
    • CA キーファイル名:最大 63 文字
    • CA キーファイルパスワード:最大 31 文字
    • インデックスファイル名:最大 63 文字
    • 証明書ファイル名:最大 63 文字
  8. RSA キーの作成:
    • キーファイル名:最大 63 文字
    • キーサイズ:最大 4096 ビット
    • PEM パスフレーズ:最大 31 文字
    • パスフレーズの確認:最大 31 文字
  9. DSA キーの作成:
    • キーファイル名:最大 63 文字
    • キーサイズ:最大 4096 ビット
    • PEM パスフレーズ:最大 31 文字
    • パスフレーズの確認:最大 31 文字
  10. SSL の詳細設定を変更します。
    • CRL メモリの最大サイズ:最大 1024 M バイト
    • 暗号化トリガータイムアウト (10 mS ティック): 最大 200
    • 暗号化トリガーパケット数:最大 50
    • OCSP キャッシュサイズ:最大 512 M バイト
  11. 証明書のインストール:
    • 証明書とキーのペア名:最大 31 文字
    • 証明書ファイル名:最大 63 文字
    • 秘密キーファイル名:最大 63 文字
    • パスワード:最大 31 文字
    • 通知期間:最大 100
  12. 暗号グループの作成:
    • 暗号グループ名:最大 39 文字
  13. CRL の作成:
    • CRL 名:最大 31 文字
    • CRL ファイル:最大 63 文字
    • URL: 最大 127 文字
    • ベース DN: 最大 127 文字
    • バインド DN: 最大 127 文字
    • パスワード:最大 31 文字
    • 日数:最大 31
  14. SSL ポリシーの作成:
    • 名前:最大 127 文字
  15. SSL アクションの作成:
    • 名前:最大 127 文字
  16. OCSP レスポンダーの作成:
    • 名前:最大 32 文字
    • URL: 最大 128 文字
    • バッチの深さ:最大 8
    • バッチ処理遅延:最大 10000
    • 時間スキュー時に生成:最大 86400
    • 要求タイムアウト:最大120000
  17. 仮想サーバの作成:
    • 名前:最大 127 文字
    • リダイレクト URL: 最大 127 文字
    • クライアントのタイムアウト:最大 31536000 秒
  18. サービスの作成:
    • 名前:最大 127 文字
    • アイドルタイムアウト (秒): クライアント:最大 31536000 サーバー:最大 31536000
  19. サービスグループの作成:
    • サービスグループ名:最大 127 文字
    • サーバー ID: 最大 4294967295
    • アイドルタイムアウト (秒): クライアント:最大値 31536000 サーバー:最大 31536000
  20. モニタの作成:
    • 名前:最大 31 文字
  21. サーバーの作成:
    • サーバー名:最大 127 文字
    • ドメイン名:最大 255 文字
    • 再試行の解決:最大 20939 秒

SSLに関するよくある質問