Citrix ADCアプライアンスでのSSL証明書の作成と使用

証明書を作成し、SSL 仮想サーバーにバインドするには、次の手順を実行します。

  • プライベートキーを作成します。
  • 証明書署名要求 (CSR) を作成します。
  • CSR を CA に送信します。
  • 証明書とキーのペアを作成します。
  • 証明書とキーのペアを SSL 仮想サーバーにバインドする

次の図は、エンドツーエンドのフローを示しています。

エンドツーエンドフロー

秘密キーの作成

秘密キーは、デジタル証明書の最も重要な部分です。定義上、このキーは誰にも共有されないため、Citrix ADCアプライアンスに安全に保管する必要があります。公開キーで暗号化されたデータは、秘密キーを使用してのみ復号化できます。

CA から受け取った証明書は、CSR の作成に使用された秘密キーでのみ有効です。このキーは、証明書をCitrix ADCアプライアンスに追加するために必要です。

重要:

秘密鍵へのアクセスを制限してください。プライベートキーへのアクセス権を持つユーザーは、SSL データを復号化できます。 ご注意

パスがキー名に含まれている場合、許可される SSL キー名の長さには、絶対パス名の長さが含まれます。

CLI を使用した RSA 秘密キーの作成

コマンドプロンプトで、次のように入力します。

create ssl rsakey <keyFile> <bits> [-exponent ( 3 | F4 )] [-keyform (DER | PEM )] [-des | -des3 | -aes256] {-password } [-pkcs8]

例:

create rsakey RSA_Key 2048 -aes256 -password 123456 -pkcs8

GUI を使用した RSA 秘密キーの作成

  1. [トラフィック管理] > [SSL] に移動します。

  2. [SSL キー] グループで、[RSA キーの作成] を選択します。

    RSA キーの作成

  3. 次のパラメータの値を入力し、[作成] をクリックします。

    • [Key Filename]:RSA キーファイルの名前、およびオプションで、RSA キーファイルへのパス。 /nsconfig/ssl/ がデフォルトのパスです。
    • キーサイズ:RSA キーのサイズ(ビット単位)。512ビットから4096ビットの範囲が可能です。
    • 公開指数-RSA キーの公開指数。指数は暗号アルゴリズムの一部であり、RSA鍵を作成するために必要です。
    • Key Format:RSAキー・ファイルがアプライアンスに保存される形式。
    • PEM エンコーディングアルゴリズム-AES 256、DES、またはトリプル DES (DES3) アルゴリズムを使用して、生成された RSA キーを暗号化します。
    • PEM パスフレーズ:必要に応じて、キーのパスフレーズを入力します。

    値の入力

証明書署名要求を作成する

秘密キーを使用して証明書署名要求を作成し、CA に送信します。

CLI を使用して証明書署名要求を作成する

コマンドプロンプトで、次のように入力します。

create ssl certreq <reqFile> -keyFile <input_filename> | -fipsKeyName <string>) [-keyForm (DER | PEM) {-PEMPassPhrase }] -countryName <string> -stateName <string> -organizationName <string> -organizationUnitName <string> -localityName <string> -commonName <string> -emailAddress <string> {-challengePassword } -companyName <string> -digestMethod ( SHA1 | SHA256 )

例:

create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256

GUI を使用して証明書署名要求を作成する

  1. [トラフィック管理] > [SSL] に移動します。
  2. [SSL 証明書] で、[証明書署名要求 (CSR) の作成] をクリックします。

    証明書署名要求の作成

  3. 次のパラメータの値を入力し、[作成] をクリックします。

    • 要求ファイル名-証明書署名要求(CSR)の名前、およびオプションでパスです。 /nsconfig/ssl/ がデフォルトのパスです。

    • Key Filename-証明書署名要求の作成に使用される秘密キーの名前、およびオプションで、証明書とキーのペアの一部になります。秘密キーは、RSA キーまたは DSA キーのいずれかになります。キーは、アプライアンスのローカルストレージに存在する必要があります。 /nsconfig/ssl がデフォルトのパスです。

    • 共通名

    • 組織名

    • 状態

    CSRの値を入力してください

認証局へのCSRの提出

ほとんどの証明機関 (CA) は、電子メールによる証明書の提出を受け付けています。CA は、CSR の送信元の電子メールアドレスに有効な証明書を返します。

証明書とキーのペアの追加

CA から受信した署名付き証明書をインストールします。

注: 証明書とキーは、デフォルトで /nsconfig/ssl ディレクトリに保存されます。証明書またはキーが他の場所に保存されている場合は、Citrix ADCアプライアンス上のファイルへの絶対パスを指定する必要があります。

CLI を使用した証明書とキーのペアの追加

add ssl certKey <certkeyName> -cert <string>[(-key <string> [-password]) | -fipsKey <string>] [-inform ( DER | PEM )] [<passplain>] [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]]

show ssl certKey [<certkeyName>]

例:

add ssl certKey rsa_certkeypair -cert server_cert.pem -key RSA_Key.pem -password ssl -expiryMonitor ENABLED -notificationPeriod 30
 Done

GUI を使用した証明書とキーのペアの追加

  1. [トラフィック管理] > [SSL] > [証明書] > [サーバー]に移動します。

    証明書のインストール

  2. 次のパラメータの値を入力し、[Install] をクリックします。

    • 証明書とキーのペア名-証明書と秘密キーのペアの名前。

    • 証明書ファイル名-CA から受信した署名付き証明書。

    • [Key File Name]:証明書とキーのペアの形成に使用される秘密キーファイルの名前、および任意でパス。

    タイプ値

証明書とキーのペアを SSL 仮想サーバーにバインドする

重要:証明書を SSL 仮想サーバーにバインドする前に、中間証明書をこの証明書にリンクします。証明書のリンクについては、一連の証明書を作成するを参照してください。

SSL トランザクションの処理に使用される証明書は、SSL データを受信する仮想サーバーにバインドする必要があります。SSL データを受信する仮想サーバが複数ある場合は、有効な証明書とキーのペアをそれぞれにバインドする必要があります。

CLI を使用して SSL 証明書とキーのペアを仮想サーバーにバインドする

コマンドプロンプトで次のコマンドを入力して、SSL 証明書とキーのペアを仮想サーバーにバインドし、構成を確認します。

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName> -CA -skipCAName
show ssl vserver <vServerName>

例:

bind ssl vs vs1 -certkeyName cert2 -CA -skipCAName
 Done
sh ssl vs vs1

 Advanced SSL configuration for VServer vs1:

 DH: DISABLED

 Ephemeral RSA: ENABLED Refresh Count: 0

 Session Reuse: ENABLED Timeout: 120 seconds

 Cipher Redirect: DISABLED

 SSLv2 Redirect: DISABLED

 ClearText Port: 0

 Client Auth: DISABLED

 SSL Redirect: DISABLED

 Non FIPS Ciphers: DISABLED

 SNI: DISABLED

 OCSP Stapling: DISABLED

 HSTS: DISABLED

 IncludeSubDomains: NO

 HSTS Max-Age: 0

 SSLv2: DISABLED SSLv3: ENABLED  TLSv1.0: ENABLED  TLSv1.1: DISABLED  TLSv1.2: DISABLED

 Push Encryption Trigger: Always

 Send Close-Notify: YES

 Strict Sig-Digest Check: DISABLED

ECC Curve: P_256, P_384, P_224, P_521

 1) CertKey Name: cert1 CA Certificate OCSPCheck: Optional CA_Name Sent
 2) CertKey Name: cert2 CA Certificate OCSPCheck: Optional CA_Name Skipped
 1) Cipher Name: DEFAULT

Description: Default cipher list with encryption strength >= 128bit
Done

GUI を使用して SSL 証明書とキーのペアを仮想サーバーにバインドする

  1. [トラフィック管理] > [負荷分散] > [仮想サーバー] に移動し、SSL 仮想サーバーを開きます。[証明書] セクション内をクリックします。

    仮想サーバーへの証明書のバインド

  2. 矢印をクリックして、証明書とキーのペアを選択します。

    矢印をクリックして証明書とキーのペアを選択

  3. リストから証明書とキーのペアを選択します。

    証明書とキーのペアの選択

  4. 証明書とキーのペアを仮想サーバにバインドします。

    証明書を仮想サーバーにバインドする