Citrix ADC

証明書のインストール、リンク、および更新

証明書をインストールするには、「 証明書とキーのペアの追加または更新」を参照してください。

リンク証明書

多くのサーバー証明書は、複数の階層認証局 (CA) によって署名されています。これは証明書が次のようなチェーンを形成することを意味します。

証明書チェーン

中間 CA証明書がプライマリとセカンダリの中間 CA に分割されることがあります。次に、証明書は次のようなチェーンを形成します。

証明書チェーン 2

クライアントマシンは通常、ローカル証明書ストアにルート CA 証明書が含まれますが、1 つ以上の中間 CA 証明書は含まれません。ADC アプライアンスは、1 つ以上の中間 CA 証明書をクライアントに送信する必要があります。

注: アプライアンスは、ルートCA証明書をクライアントに送信してはいけません。公開キー基盤 (PKI) 信頼関係モデルでは、アウトオブバンド方式でルート CA 証明書をクライアントにインストールする必要があります。たとえば、証明書は、オペレーティングシステムまたは Web ブラウザに含まれています。クライアントは、アプライアンスから送信されたルート CA 証明書を無視します。

場合によっては、標準ウェブサーバーが信頼できるCAとして認識しない中間CAがサーバー証明書を発行します。この場合、1つまたは複数のCA証明書がサーバー自身の証明書とともにクライアントに送信される必要があります。それ以外の場合、ブラウザはサーバ証明書の認証に失敗するため、SSL セッションを終了します。

中間証明書

中間機関証明書をリンクするにはどうしたらいいですか?へのビデオリンク

サーバ証明書と中間証明書を追加するには、次のセクションを参照してください。

  • 手動による証明書リンク
  • 自動証明書リンク
  • 一連の証明書を作成する

手動による証明書リンク

注: この機能は、Citrix ADC FIPSプラットフォームおよびクラスタ設定ではサポートされません。

個々の証明書を追加してリンクする代わりに、サーバー証明書と最大 9 つの中間証明書を 1 つのファイルにグループ化できるようになりました。証明書とキーのペアを追加するときに、ファイル名を指定できます。その前に、次の前提条件が満たされていることを確認してください。

  • ファイル内の証明書は次の順序です。
    • サーバー証明書 (ファイル内の最初の証明書である必要があります)
    • オプションで、サーバーキー
    • 中間証明書 1 (ic1)
    • 中間証明書 2 (ic2)
    • 中間証明書 3 (ic3) など 注:中間証明書ファイルは、中間証明書ごとに「<certificatebundlename>.pem_ic< n>」という名前で作成されます (n は 1~ 9 の間です)。たとえば、bundle.pem_ic1 と入力します。ここで、 bundle は証明書セットの名前で、ic1 はセット内の最初の中間証明書です。
  • バンドルオプションが選択されています。
  • ファイル内に存在する中間証明書は 9 つまでです。

ファイルが解析され、サーバ証明書、中間証明書、およびサーバキー(存在する場合)が識別されます。まず、サーバー証明書とキーが追加されます。次に、中間証明書がファイルに追加された順に追加され、それに応じてリンクされます。

次のいずれかの条件が存在する場合、エラーが報告されます。

  • 中間証明書の 1 つの証明書ファイルがアプライアンス上に存在します。
  • キーは、ファイル内のサーバー証明書の前に置かれます。
  • 中間証明書は、サーバー証明書の前に配置されます。
  • 中間証明書は、作成された順序と同じ順序でファイルに配置されません。
  • ファイルに証明書が存在しません。
  • 証明書が適切な PEM 形式ではありません。
  • ファイルの中間証明書の数が 9 を超えています。

CLI を使用した証明書セットの追加

コマンドプロンプトで次のコマンドを入力して、証明書セットを作成し、構成を確認します。

add ssl certKey <certkeyName> -cert <string> -key <string> -bundle (YES | NO)

show ssl

show ssl certlink
<!--NeedCopy-->

次の例では、証明書セット(bundle.pem)に次のファイルが含まれています。

bundle_ic1 にリンクされたサーバ証明書(bundle)

bundle_ic2にリンクされた最初の中間証明書(bundle_ic1)

bundle_ic3 にリンクされた 2 番目の中間証明書 (bundle_ic2)

3 番目の中間証明書 (bundle_ic3)

add ssl certKey bundletest -cert bundle9.pem -key bundle9.pem -bundle yes

sh ssl certkey

1)      Name: ns-server-certificate
        Cert Path: ns-server.cert
        Key Path: ns-server.key
        Format: PEM
        Status: Valid,   Days to expiration:5733
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Server Certificate
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=default OULLFT
        Validity
                Not Before: Apr 21 15:56:16 2016 GMT
                Not After : Mar  3 06:30:56 2032 GMT
        Subject:  C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=default OULLFT
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

2)      Name: servercert
        Cert Path: complete/server/server_rsa_1024.pem
        Key Path: complete/server/server_rsa_1024.ky
        Format: PEM
        Status: Valid,   Days to expiration:7150
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Server Certificate
        Version: 3
        Serial Number: 1F
        Signature Algorithm: sha1WithRSAEncryption
        Issuer:  C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix
        Validity
                Not Before: Sep  2 09:54:07 2008 GMT
                Not After : Jan 19 09:54:07 2036 GMT
        Subject:  C=IN,ST=KAR,O=Citrix Pvt Ltd,CN=Citrix
        Public Key Algorithm: rsaEncryption
        Public Key size: 1024

3)      Name: bundletest
        Cert Path: bundle9.pem
        Key Path: bundle9.pem
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Server Certificate
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA9
        Validity
                Not Before: Nov 28 06:43:11 2014 GMT
                Not After : Nov 25 06:43:11 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=Server9
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

4)      Name: bundletest_ic1
        Cert Path: bundle9.pem_ic1
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA8
        Validity
                Not Before: Nov 28 06:42:56 2014 GMT
                Not After : Nov 25 06:42:56 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA9
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

5)      Name: bundletest_ic2
        Cert Path: bundle9.pem_ic2
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA7
        Validity
                Not Before: Nov 28 06:42:55 2014 GMT
                Not After : Nov 25 06:42:55 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA8
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

6)      Name: bundletest_ic3
        Cert Path: bundle9.pem_ic3
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA6
        Validity
                Not Before: Nov 28 06:42:53 2014 GMT
                Not After : Nov 25 06:42:53 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA7
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

7)      Name: bundletest_ic4
        Cert Path: bundle9.pem_ic4
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA5
        Validity
                Not Before: Nov 28 06:42:51 2014 GMT
                Not After : Nov 25 06:42:51 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA6
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

8)      Name: bundletest_ic5
        Cert Path: bundle9.pem_ic5
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA4
        Validity
                Not Before: Nov 28 06:42:50 2014 GMT
                Not After : Nov 25 06:42:50 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA5
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

9)      Name: bundletest_ic6
        Cert Path: bundle9.pem_ic6
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA3
        Validity
                Not Before: Nov 28 06:42:48 2014 GMT
                Not After : Nov 25 06:42:48 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA4
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

10)     Name: bundletest_ic7
        Cert Path: bundle9.pem_ic7
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA2
        Validity
                Not Before: Nov 28 06:42:46 2014 GMT
                Not After : Nov 25 06:42:46 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA3
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

11)     Name: bundletest_ic8
        Cert Path: bundle9.pem_ic8
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=ICA1
        Validity
                Not Before: Nov 28 06:42:45 2014 GMT
                Not After : Nov 25 06:42:45 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA2
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048

12)     Name: bundletest_ic9
        Cert Path: bundle9.pem_ic9
        Format: PEM
        Status: Valid,   Days to expiration:3078
        Certificate Expiry Monitor: ENABLED
        Expiry Notification period: 30 days
        Certificate Type: Intermediate CA
        Version: 3
        Serial Number: 01
        Signature Algorithm: sha256WithRSAEncryption
        Issuer:  C=IN,ST=ka,O=sslteam,CN=RootCA4096
        Validity
                Not Before: Nov 28 06:42:43 2014 GMT
                Not After : Nov 25 06:42:43 2024 GMT
        Subject:  C=IN,ST=ka,O=sslteam,CN=ICA1
        Public Key Algorithm: rsaEncryption
        Public Key size: 2048
Done

sh ssl certlink

1)      Cert Name: bundletest    CA Cert Name: bundletest_ic1
2)      Cert Name: bundletest_ic1        CA Cert Name: bundletest_ic2
3)      Cert Name: bundletest_ic2        CA Cert Name: bundletest_ic3
4)      Cert Name: bundletest_ic3        CA Cert Name: bundletest_ic4
5)      Cert Name: bundletest_ic4        CA Cert Name: bundletest_ic5
6)      Cert Name: bundletest_ic5        CA Cert Name: bundletest_ic6
7)      Cert Name: bundletest_ic6        CA Cert Name: bundletest_ic7
8)      Cert Name: bundletest_ic7        CA Cert Name: bundletest_ic8
9)      Cert Name: bundletest_ic8        CA Cert Name: bundletest_ic9
Done
<!--NeedCopy-->

GUI を使用した証明書セットの追加

  1. [ トラフィック管理 ] > [ SSL ] > [ 証明書 ] > [ CA 証明書] に移動します。
  2. 詳細ペインで、[Install]をクリックします。
  3. [証明書のインストール] ダイアログボックスで、証明書やキーファイル名などの詳細を入力し、[証明書バンドル] を選択します。
  4. [ インストール]をクリックし、[ 閉じる]をクリックします。

自動証明書リンク

注: この機能は、リリース 13.0 ビルド 47.x から利用できます。

証明書を発行者にルート証明書に手動でリンクする必要がなくなりました。中間 CA 証明書とルート証明書がアプライアンスに存在する場合は、エンドユーザー証明書の [Link] ボタンをクリックします。

[証明書のリンク] ボタン

潜在的なチェーンが表示されます。

潜在的なチェーンをリンクする自動証明書

[証明書のリンク] をクリックして、すべての証明書をリンクします。

リンク証明書チェーン

一連の証明書を作成する

一連の証明書 (単一のファイル) を使用する代わりに、一連の証明書を作成できます。チェーンは、サーバー証明書を発行者 (中間 CA) にリンクします。このアプローチでは、中間CA証明書ファイルがADCアプライアンスにインストールされている必要があり、クライアントアプリケーションはチェーン内の証明書の1つを信頼する必要があります。たとえば、Cert-Intermediate-A を Cert-Intermediate-B にリンクします。Cert-Intermediate-B は Cert-Intermediate-C にリンクされています。これは、クライアントアプリケーションによって信頼される証明書です。

注: アプライアンスは、クライアントに送信される証明書のチェーン内で最大 10 の証明書を送信できます(1 つのサーバー証明書と 9 つの CA 証明書)。

CLI を使用して証明書チェーンを作成する

コマンドプロンプトで次のコマンドを入力して、証明書チェーンを作成し、構成を確認します。(チェーン内の新しいリンクごとに、最初のコマンドを繰り返します)。

link ssl certkey <certKeyName> <linkCertKeyName>
show ssl certlink
<!--NeedCopy-->

例:

link ssl certkey siteAcertkey CAcertkey
Done

show ssl certlink

linked certificate:
       1) Cert Name: siteAcertkey CA Cert Name: CAcertkey
Done
<!--NeedCopy-->

GUI を使用して証明書チェーンを作成する

  1. Traffic Management > SSL > Certificatesに移動します。
  2. サーバー証明書を選択し、[操作] リストで [リンク] を選択し、CA 証明書名を指定します。

既存のサーバー証明書を更新する

既存のサーバー証明書を手動で変更するには、次の手順を実行する必要があります。

  1. 仮想サーバーから古い証明書のバインドを解除します。
  2. アプライアンスから証明書を削除します。
  3. 新しい証明書をアプライアンスに追加します。
  4. 新しい証明書を仮想サーバーにバインドします。

証明書とキーのペアを置き換えるときのダウンタイムを減らすために、既存の証明書を更新できます。証明書を別のドメインに発行された証明書に置き換える場合は、証明書を更新する前にドメインチェックを無効にする必要があります。

期限切れによる証明書に関する通知を受信するには、有効期限モニタを有効にします。

構成済みのSSL仮想サーバーまたはサービスから証明書を削除またはバインド解除すると、仮想サーバーまたはサービスは非アクティブになります。それらは、新しい有効な証明書がバインドされた後にアクティブになります。ダウンタイムを減らすために、更新機能を使用して、SSL仮想サーバーまたはSSLサービスにバインドされている証明書とキーのペアを置き換えることができます。

Citrix ADCアプライアンスでSSL証明書を更新する方法の概要図。

概要

既存の証明書を更新するにはどうしたらいいですか?へのビデオリンク。

CLI を使用して既存の証明書とキーペアを更新する

コマンドプロンプトで次のコマンドを入力して、既存の証明書とキーのペアを更新し、構成を確認します。

update ssl certkey <certkeyName> -cert <string> -key <string>

show ssl certKey <certkeyName>
<!--NeedCopy-->

例:

update ssl certkey siteAcertkey -cert /nsconfig/ssl/cert.pem -key /nsconfig/ssl/pkey.pem

Done

show ssl certkey siteAcertkey

Name: siteAcertkey       Status: Valid
           Version: 3
           Serial Number: 02
           Signature Algorithm: md5WithRSAEncryption
           Issuer: /C=US/ST=CA/L=Santa Clara/O=siteA/OU=Tech
           Validity
                Not Before: Nov 11 14:58:18 2001 GMT
                Not After: Aug 7 14:58:18 2004 GMT
           Subject: /C=US/ST-CA/L=San Jose/O=CA/OU=Security
           Public Key Algorithm: rsaEncryption
           Public Key size: 2048
Done
<!--NeedCopy-->

GUI を使用して既存の証明書とキーのペアを更新する

  1. [ トラフィック管理 ] > [ SSL ] > [ 証明書 ] > [ サーバー証明書] に移動します。

  2. 更新する証明書を選択し、[Update] をクリックします。 サーバー証明書の更新

  3. [証明書とキーを更新する] を選択します。 サーバー証明書とキーの更新

  4. [証明書ファイル名] で、[ファイル選択] > [ローカル] をクリックし、更新された.pfx ファイルまたは証明書 PEM ファイルを参照します。 ファイルへ移動

    • .pfx ファイルをアップロードする場合は、.pfx ファイルのパスワードを指定するように求められます。

    • 証明書 pem ファイルをアップロードする場合は、証明書キーファイルもアップロードする必要があります。キーが暗号化されている場合は、暗号化パスワードを指定する必要があります。

  5. 新しい証明書の共通名が古い証明書と一致しない場合は、[ドメインチェックなし] を選択します。

  6. [OK] をクリックします。この証明書がバインドされているすべての SSL 仮想サーバーが自動的に更新されます。 [OK]をクリックします。

  7. 証明書を置き換えた後、証明書リンクを新しい中間証明書に更新しなければならない場合があります。リンクを壊さずに中間証明書を更新する方法の詳細については、「 リンクを壊さずに中間証明書を更新する」を参照してください。

    • 更新された証明書を右クリックし、[証明書リンク] をクリックして、中間証明書にリンクされているかどうかを確認します。

    • 証明書がリンクされていない場合は、更新された証明書を右クリックし、[リンク] をクリックして中間証明書にリンクします。リンクするオプションが表示されない場合は、まず [CA 証明書] ノードの下にあるアプライアンスに新しい中間証明書をインストールする必要があります。

    中間証明書リンクの更新

既存の CA 証明書を更新する

既存の CA 証明書を更新する手順は、既存のサーバー証明書を更新する場合と同じです。唯一の違いは、CA証明書の場合、キーは必要ないことです。

CA 証明書の更新

ドメインチェックを無効にする

アプライアンスで SSL 証明書を置き換える場合、新しい証明書に記載されているドメイン名が、置き換えられる証明書のドメイン名と一致する必要があります。たとえば、abc.com に発行された証明書があり、def.com に発行された証明書で更新する場合、証明書の更新は失敗します。

ただし、特定のドメインをホストしているサーバーで新しいドメインをホストする場合は、証明書を更新する前にドメインチェックを無効にしてください。

CLI を使用して証明書のドメインチェックを無効にする

コマンドプロンプトで次のコマンドを入力して、ドメインチェックを無効にし、構成を確認します。

update ssl certKey <certkeyName> -noDomainCheck

show ssl certKey <certkeyName>
<!--NeedCopy-->

例:

update ssl certKey sv -noDomainCheck

Done

show ssl certkey sv

Name: sv
Cert Path: /nsconfig/ssl/complete/server/server_rsa_512.pem
Key Path: /nsconfig/ssl/complete/server/server_rsa_512.ky
Format: PEM
Status: Valid,   Days to expiration:9349
Certificate Expiry Monitor: DISABLED
Done
<!--NeedCopy-->

GUI を使用して証明書のドメインチェックを無効にする

  1. [トラフィック管理] > [SSL] > [証明書] に移動し、証明書を選択して [更新] をクリックします。
  2. [ドメインチェックなし] を選択します。

ADCアプライアンスのデフォルトの証明書を、アプライアンスのホスト名と一致する信頼できるCA証明書に置き換えます

次の手順は、デフォルトの証明書(ns-server-certificate)が内部サービスにバインドされていることを前提としています。

  1. Traffic Management > SSL > Certificates > SSL Certificates > Create Certificate Requestに移動します。
  2. 一般名に test.citrixadc.comと入力します。
  3. CSRを信頼できる認証局に送信します。
  4. 信頼できるCAから証明書を受け取ったら、ファイルを /nsconfig/ssl ディレクトリにコピーします。
  5. Traffic Management > SSL > Certificates > Server Certificatesに移動します。
  6. デフォルトのサーバー証明書(ns-server-certificate)を選択し、更新をクリックします。
  7. [証明書の更新]ダイアログボックスの[証明書ファイル名]で、署名後にCAから受信した証明書を参照します。
  8. [キーファイル名] フィールドで、デフォルトの秘密キーファイル名(ns-server.key)を指定します。
  9. [ドメインチェックなし] を選択します。
  10. [OK] をクリックします。

有効期限モニターを有効にする

SSL 証明書は、特定の期間有効です。一般的な展開には、SSL トランザクションを処理する複数の仮想サーバーが含まれており、それらにバインドされた証明書は異なる時期に期限切れになる可能性があります。アプライアンスに構成された有効期限モニターは、構成された証明書の有効期限が切れると、アプライアンスの syslog ログと ns 監査ログにエントリを作成します。

証明書の有効期限に関する SNMP アラートを作成する場合は、個別に構成する必要があります。

CLI を使用して証明書の有効期限モニターを有効にする

コマンドプロンプトで次のコマンドを入力して、証明書の有効期限モニターを有効にし、構成を確認します。

set ssl certKey <certkeyName> [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]]

show ssl certKey <certkeyName>
<!--NeedCopy-->

例:

set ssl certKey sv -expiryMonitor ENABLED –notificationPeriod 60
Done
<!--NeedCopy-->

GUI を使用して証明書の有効期限モニターを有効にする

  1. [トラフィック管理] > [SSL] > [証明書] に移動し、証明書を選択して [更新] をクリックします。
  2. 期限切れ時に通知」を選択し、オプションで通知期間を指定します。

リンクを壊さずに中間証明書を更新する

既存のリンクを中断することなく、中間証明書を更新できるようになりました。置換される証明書によって発行されたリンク証明書の「AuthorityKeyIdentifier」拡張子には、認証局のシリアル番号(「authorityCertSerialNumber」)フィールドを含めることはできません。「AuthorityKeyIdentifier」拡張子にシリアル番号フィールドが含まれている場合、古い証明書と新しい証明書のシリアル番号は同じでなければなりません。前述の条件が満たされている場合は、リンク内の任意の数の証明書を 1 つずつ更新できます。以前は、中間証明書が更新されると、リンクが破損していました。

例えば、4つの証明書があります:CertACertBCertCおよび CertD。証明書CertAは、CertBの発行者で、CertBCertCの発行者など。リンクを切断せずに中間証明書CertBCertB_newに置き換える場合は、次の条件を満たす必要があります。

次の条件の両方を満たす場合は、CertBの証明書のシリアル番号がCertB_newの証明書のシリアル番号と一致する必要があります。

  • 拡張子AuthorityKeyIdentifierCertCにあります 。
  • この拡張子にはシリアル番号フィールドが含まれています。

証明書の共通名が変更された場合、証明書の更新中にnodomaincheckを指定します。

上記の例では、CertDの「www.example.com」を「*.example.com」に変更するには、「ドメインチェックなし」パラメータを選択します。

CLI を使用して証明書を更新する

コマンドプロンプトで入力します。

update ssl certKey <certkeyName> -cert <string> [-password] -key <string>  [-noDomainCheck]
<!--NeedCopy-->

例:

update ssl certkey siteAcertkey -cert /nsconfig/ssl/cert.pem -key /nsconfig/ssl/pkey.pem -noDomainCheck
<!--NeedCopy-->

証明書チェーンを表示する

証明書には、発行機関の名前と証明書の発行元となるサブジェクトが含まれます。証明書を検証するには、その証明書の発行元を調べて、発行元を信頼しているかどうかを確認する必要があります。発行者を信頼できない場合は、発行者証明書を発行したユーザーを確認する必要があります。信頼するルート CA 証明書または発行元に到達するまで、チェーンを上に移動します。

SSL ハンドシェイクの一部として、クライアントが証明書を要求すると、アプライアンスは、アプライアンス上に存在する証明書と発行者証明書のチェーンを提示します。管理者は、アプライアンスに存在する証明書の証明書チェーンを表示し、不足している証明書をインストールできます。

CLI を使用して、アプライアンスに存在する証明書の証明書チェーンを表示する

コマンドプロンプトで入力します。

show ssl certchain <cert_name>
<!--NeedCopy-->

証明書には、c1、c2、c3 の 3 つがあります。証明書c3はルートCA証明書であり、c2に署名し、c2はc1に署名します。次の例は、さまざまなシナリオでの show ssl certchain c1 コマンドの出力を示しています。

シナリオ 1:

証明書 c2 は c1 にリンクされ、c3 は c2 にリンクされています。

証明書 c3 はルート CA 証明書です。

次のコマンドを実行すると、ルート CA 証明書までの証明書リンクが表示されます。

show ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate name: c2               linked; not a root certificate
    2) Certificate name: c3               linked; root certificate
Done
<!--NeedCopy-->

シナリオ 2:

証明書 c2 は c1 にリンクされています。

証明書 c2 はルート CA 証明書ではありません。

次のコマンドを実行すると、証明書 c3 がルート CA 証明書ですが、c2 にリンクされていないという情報が表示されます。

show ssl certchain c1

Certificate chain  details of certificate name c1 are:
    1) Certificate Name: c2               linked; not a root certificate
    2) Certificate Name: c3               not linked; root certificate
    Done
<!--NeedCopy-->

シナリオ 3:

証明書 c1、c2、および c3 はリンクされていませんが、アプライアンス上に存在します。

次のコマンドを実行すると、証明書 c1 の発行元で始まるすべての証明書に関する情報が表示されます。証明書がリンクされていないことも指定されています。

show ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate Name: c2               not linked; not a root certificate
    2) Certificate Name: c3               not linked; root certificate
    Done
<!--NeedCopy-->

シナリオ 4:

証明書 c2 は c1 にリンクされています。

証明書 c3 がアプライアンス上に存在しません。

次のコマンドを実行すると、c1にリンクされている証明書に関する情報が表示されます。c2で指定されたサブジェクト名の証明書を追加するように求められます。この場合、ユーザーはルート CA 証明書 c3 を追加するように求められます。

show ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate Name: c2               linked; not a root certificate
    2) Certificate Name: /C=IN/ST=ka/O=netscaler/CN=test
       Action: Add a certificate with this subject name.
Done
<!--NeedCopy-->

シナリオ 5:

証明書が証明書 c1 にリンクされておらず、c1 の発行者証明書がアプライアンス上に存在しません。

次のコマンドを実行すると、証明書 c1 にサブジェクト名を持つ証明書を追加するように求められます。

sh ssl certchain c1

Certificate chain details of certificate name c1 are:
    1) Certificate Name: /ST=KA/C=IN
       Action: Add a certificate with this subject name.
<!--NeedCopy-->