Citrix ADC

服务器身份验证

由于 Citrix ADC 设备代表 Web 服务器执行 SSL 卸载和加速,因此该设备通常不会对 Web 服务器的证书进行身份验证。但是,您可以在需要端到端 SSL 加密的部署中对服务器进行身份验证。

在这种情况下,设备将成为 SSL 客户端,与 SSL 服务器执行安全事务,验证证书绑定到 SSL 服务的 CA 是否已签署了服务器证书,并检查服务器证书的有效性。

要对服务器进行身份验证,必须首先启用服务器身份验证,然后将签署服务器证书的 CA 的证书绑定到 Citrix ADC 设备上的 SSL 服务。绑定证书时,必须指定绑定为 CA 选项。

启用(或禁用)服务器证书身份验证

您可以使用 CLI 和 GUI 启用和禁用服务器证书身份验证。

使用 CLI 启用(或禁用)服务器证书身份验证

在命令提示符下,键入以下命令以启用服务器证书身份验证并验证配置:

set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>

示例:

set ssl service ssl-service-1 -serverAuth ENABLED
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done

使用 GUI 启用(或禁用)服务器证书身份验证

  1. 导航到流量管理 > 负载平衡 > 服务,然后打开 SSL 服务。
  2. 在“SSL 参数”部分中,选择“启用服务器身份验证”,然后指定公用名称。
  3. 在“高级设置”中,选择“证书”,然后将 CA 证书绑定到服务。

使用 CLI 将 CA 证书绑定到服务

在命令提示符下,键入以下命令以将 CA 证书绑定到服务并验证配置:

bind ssl service <serviceName> -certkeyName <string> -CA

show ssl service <serviceName>

示例:

bind ssl service ssl-service-1 -certkeyName samplecertkey -CA
show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      CertKey Name: samplecertkey     CA Certificate          CRLCheck: Optional
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done

配置服务器证书身份验证的公用名称

在启用服务器身份验证的端到端加密中,您可以在 SSL 服务或服务组的配置中包含公用名称。在 SSL 握手期间,您指定的名称与服务器证书中的公用名称进行比较。如果两个名称匹配,握手成功。 如果公用名称不匹配,则会将为服务或服务组指定的公用名称与证书中的使用者备用名称 (SAN) 字段中的值进行比较。如果与其中一个值匹配,握手是成功的。例如,如果防火墙后面有两台服务器,而其中一台服务器欺骗另一台服务器的身份,则此配置特别有用。如果未选中公用名称,则如果 IP 地址匹配,则接受任一服务器提供的证书。

注意: 仅比较 SAN 字段中的域名、URL 和电子邮件 ID DNS 条目。

使用 CLI 为 SSL 服务或服务组配置公用名验证

在命令提示符下,键入以下命令以指定使用公用名验证的服务器身份验证并验证配置:

  1. 要在服务中配置公用名称,请键入:

    set ssl service <serviceName> -commonName <string> -serverAuth ENABLED
    show ssl service <serviceName>
    
  2. 要在服务组中配置公用名称,请键入:

    set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED
    show ssl serviceGroup <serviceGroupName>
    

示例:

> set ssl service svc1 -commonName xyz.com -serverAuth ENABLED
show ssl service svc

     Advanced SSL configuration for Back-end SSL Service svc1:
     DH: DISABLED
     Ephemeral RSA: DISABLED
     Session Reuse: ENABLED Timeout: 300 seconds
     Cipher Redirect: DISABLED
     SSLv2 Redirect: DISABLED
     Server Auth: ENABLED Common Name: www.xyz.com
     SSL Redirect: DISABLED
     Non FIPS Ciphers: DISABLED
     SNI: DISABLED
     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
    1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
    1) Cipher Name: ALL
     Description: Predefined Cipher Alias
Done

使用 GUI 配置 SSL 服务或服务组的公用名验证

  1. 导航到流量管理 > 负载平衡 > 服务或导航到流量管理 > 负载平衡 > 服务组,然后打开服务或服务组。
  2. 在“SSL 参数”部分中,选择“启用服务器身份验证”,然后指定公用名称。

服务器身份验证