Citrix ADC

SSL ファイルのインポートと変換

これらのホストへの FTP アクセスが利用できない場合でも、リモートホストから、証明書、秘密キー、CRL、DH キーなどの SSL リソースをインポートできるようになりました。これは、リモートホストへのシェルアクセスが制限されている環境で特に役立ちます。デフォルトのフォルダは、/nsconfig/ssl に次のように作成されます。

  • 証明書ファイルの場合:/nsconfig/ssl/certfile
  • 秘密鍵の場合:/nsconfig/ssl/keyfile
  • CRL の場合:/var/netscaler/ssl/crlfile
  • DH キーの場合:/nsconfig/ssl/dhfile

HTTP サーバと HTTPS サーバの両方からのインポートがサポートされています。ただし、ファイルがアクセスにクライアント証明書認証を必要とする HTTPS サーバー上にある場合、インポートは失敗します。

注:

再起動後にファイルを再インポートするとエラーが発生する可能性があるため、import コマンドは構成ファイル(ns.conf)には保存されません。

証明書ファイルをインポートする

CLI および GUI を使用して、リモートホストからファイル(リソース)をインポートできます。

CLI を使用してリモートホストから証明書ファイルをインポートする

コマンドプロンプトで、次のように入力します。

import ssl certFile [<name>] [<src>]

例:

import ssl certfile my-certfile http://www.example.com/file_1
show ssl certfile
     Name : my-certfile
     URL : http://www.example.com/file_1

証明書ファイルを削除するには、’name’ 引数のみを受け入れるrm ssl certFile コマンドを使用します。

CLI を使用してリモートホストからキーファイルをインポートする

コマンドプロンプトで、次のように入力します。

import ssl keyFile [<name>] [<src>]

例:

import ssl keyfile my-keyfile http://www.example.com/key_file
show ssl keyfile
     Name : my-keyfile
     URL : http://www.example.com/key_file

キーファイルを削除するには、’name’ 引数のみを受け入れるrm ssl keyFile コマンドを使用します。

CLI を使用してリモートホストから CRL ファイルをインポートする

コマンドプロンプトで、次のように入力します。

import ssl crlFile [<name>] [<src>]

CRL ファイルを削除するには、<name> 引数だけを受け入れるrm ssl crlFile コマンドを使用します。

例:

import ssl crlfile my-crlfile http://www.example.com/crl_file

show ssl crlfile

    Name : my-crlfile
    URL : http://www.example.com/crl_file

CLI を使用してリモートホストから DH ファイルをインポートする

コマンドプロンプトで、次のように入力します。

import ssl dhFile [<name>] [<src>]

例:

import ssl dhfile my-dhfile http://www.example.com/dh_file
show ssl dhfile
     Name : my-dhfile
     URL : http://www.example.com/dh_file

DH ファイルを削除するには、<name> 引数だけを受け入れるrm ssl dhFile コマンドを使用します。

GUI を使用した SSL リソースのインポート

[トラフィック管理] > [SSL] > [インポート] に移動し、適切なタブを選択します。

PKCS #8 証明書およびPKCS #12 証明書をインポートする

ネットワーク内の他のセキュアなサーバーまたはアプリケーションにすでに存在する証明書とキーを使用する場合は、それらをエクスポートし、Citrix ADCアプライアンスにインポートします。エクスポートした証明書とキーをCitrix ADCアプライアンスにインポートする前に、その証明書とキーを変換する必要があります。

ネットワーク内のセキュアなサーバまたはアプリケーションから証明書をエクスポートする方法の詳細については、エクスポート元のサーバまたはアプリケーションのマニュアルを参照してください。

注:

Citrix ADCアプライアンスにインストールする場合、UNIXファイルシステムでサポートされるもの以外のスペースや特殊文字を含むキーと証明書の名前は使用できません。エクスポートされたキーと証明書を保存するときは、適切な命名規則に従います。

証明書と秘密キーのペアは、通常 PKCS #12 形式で送信されます。アプライアンスは、証明書とキーに対して PEM および DER 形式をサポートしています。PKCS #12 を PEM または DER に変換するか、PEM または DER を PKCS #12 に変換するには、このページの「インポートまたはエクスポート用に SSL 証明書を変換する」を参照してください。

Citrix ADCアプライアンスは、PKCS #8 形式のPEMキーをサポートしていません。ただし、OpenSSL インターフェイスを使用して、これらのキーをサポートされている形式に変換できます。OpenSSL インターフェイスは CLI または設定ユーティリティからアクセスできます。キーを変換する前に、秘密キーが PKCS #8 形式であることを確認する必要があります。PKCS #8 形式のキーは通常、次のテキストで始まります。

-----BEGIN ENCRYPTED PRIVATE KEY-----



leuSSZQZKgrgUQ==



-----END ENCRYPTED PRIVATE KEY-----

CLI から OpenSSL インターフェイスを開きます

  1. PuTTY などの SSH クライアントを使用して、アプライアンスへの SSH 接続を開きます。
  2. 管理者の資格情報を使用して、アプライアンスにログオンします。
  3. コマンドプロンプトで shell と入力します。
  4. シェルプロンプトでopensslと入力します。

GUI から OpenSSL インターフェースを開く

[トラフィック管理] > [SSL] に移動し、[ツール] グループで [OpenSSL インターフェイス] を選択します。

OpenSSL インターフェイスを使用して、サポートされていない PKCS #8 キー形式を暗号化されたサポートされているキー形式に変換する

OpenSSL プロンプトで、サポートされていないキー形式のタイプが RSA か DSA かに応じて、次のコマンドのいずれかを入力します。

OpenSSL>rsa- in <PKCS#8 Key Filename> -des3 -out <encrypted Key Filename>

OpenSSL>dsa -in <PKCS#8 Key Filename> -des3 -out <encrypted Key Filename>

サポートされていないキー形式をサポートされているキー形式に変換するためのパラメータ

  • PKCS #8 キーファイル名: 互換性のない PKCS #8 秘密キーの入力ファイル名。
  • 暗号化キーファイル名: 互換性のある暗号化プライベートキーの出力ファイル名 (PEM 形式)。
  • 暗号化されていないキーファイル名: 互換性のある暗号化されていない秘密キーの出力ファイル名 (PEM 形式)。

インポートまたはエクスポート用の SSL 証明書の変換

Citrix ADCアプライアンスは、SSL証明書のPEMおよびDER形式をサポートしています。クライアントブラウザや一部の外部セキュリティで保護されたサーバーなど、他のアプリケーションには、さまざまな公開キー暗号規格 (PKCS) 形式が必要です。Citrix ADCアプライアンスは、証明書をインポートするためにPKCS #12 形式(個人情報交換構文標準)をPEMまたはDER形式に変換し、証明書をエクスポートするためにPEMまたはDERをPKCS #12 に変換できます。セキュリティを強化するために、インポートするファイルの変換には、DES または DES3 アルゴリズムによる秘密キーの暗号化を含めることができます。

注:

GUI を使用して PKCS #12 証明書をインポートし、パスワードにドル記号($)、バッククォート(`)、またはエスケープ()文字が含まれている場合、インポートが失敗することがあります。その場合は、「エラー:パスワードが無効です」というメッセージが表示されます。パスワードに特殊文字を使用する必要がある場合は、CLI を使用してすべてのインポートを実行しない限り、必ずエスケープ文字()を先頭に付けてください。

CLI を使用して証明書の形式を変換する

コマンドプロンプトで、次のコマンドを入力します。

convert ssl pkcs12 <outfile> [-import [-pkcs12File <inputFilename>] [-des | -des3] [-export [-certFile <inputFilename>] [-keyFile <inputFilename>]]

操作中に、インポートパスワードまたはエクスポートパスワードの入力を求められます。暗号化されたファイルの場合は、パスフレーズの入力も求められます。

例:

convert ssl pkcs12 Cert-Import-1.pem -import -pkcs12File Cert-Import-1.pfx -des

convert ssl pkcs12 Cert-Client-1.pfx -export -certFile Cert-Client-1 -keyFile Key-Client-1

GUI を使用して証明書の形式を変換する

  1. [トラフィック管理] > [SSL] に移動し、[ツール] グループで [PKCS #12 のインポート] を選択します。

    PKCS #12 をインポート

  2. [出力ファイル名] フィールドに PEM 証明書名を指定します。

  3. ローカルコンピュータまたはアプライアンス上の PFX 証明書の場所を参照します。

    PFX証明書を参照

  4. [OK] をクリックします。

  5. [証明書、キー、CSR の管理] をクリックして、変換された PEM ファイルを表示します。

    変換された PEM ファイルを表示

  6. アップロードされた PFX ファイルと変換された PEM ファイルを表示できます。

    ファイルの表示

  7. [SSL] > [証明書] > [サーバー証明書] に移動し、[インストール] をクリックします。

    証明書のインストール

  8. 証明書とキーのペア名を指定します。

  9. PEM ファイルの場所を参照します。

  10. プロンプトが表示されたら、パスワードを指定します。

  11. [Install] をクリックします。

    サーバー証明書のインストール

  12. 証明書とキーのペアを SSL 仮想サーバにバインドします。

SSL ファイルのインポートと変換