Citrix ADC

全局站点证书

全局站点证书是特殊用途服务器证书,其密钥长度大于 128 位。全局站点证书由服务器证书和随附的中间 CA 证书组成。必须将全局站点证书及其密钥从服务器导入 Citrix ADC 设备。

全局站点证书的工作原理

导出版本的浏览器使用 40 位加密启动到 SSL Web 服务器的连接。服务器通过发送其证书来响应连接请求。然后,客户端和服务器根据服务器证书类型决定加密强度:

  • 如果服务器证书是普通证书而不是全局站点证书,则导出客户端和服务器将完成 SSL 握手并使用 40 位加密进行数据传输。
  • 如果服务器证书是全局站点证书(并且浏览器支持导出客户端功能),则导出客户端会自动升级为 128 位加密以进行数据传输。

如果服务器证书是全局站点证书,则服务器将发送其证书以及随附的 Merti-CA 证书。浏览器首先通过使用 Web 浏览器中通常包含的 Root-CA 证书之一来验证中间 CA 证书。成功验证中介 CA 证书后,浏览器使用中介-CA 证书验证服务器证书。服务器成功验证后,浏览器会重新协商(升级)SSL 连接到 128 位加密。

使用 Microsoft 的服务器门控加密 (SGC),如果 Microsoft IIS 服务器配置了 SGC 证书,则导出接收证书的客户端重新协商以使用 128 位加密。

导入全局站点证书

要导入全局站点证书,请首先从 Web 服务器导出证书和服务器密钥。全局站点证书通常以某种二进制格式导出,因此,在导入全局站点证书之前,请将证书和密钥转换为 PEM 格式。

导入全局站点证书

  1. 使用文本编辑器,将服务器证书和随附的 Merti-CA 证书复制到两个单独的文件中。

    单个 PEM 编码证书将以标题开始,----- BEGIN CERTIFICATE----- 并以拖车结束-----END CERTIFICATE-----

  2. 使用 SFTP 客户端将服务器证书、中间 CA 证书和服务器密钥传输到 Citrix ADC 设备。

  3. 使用以下 OpenSSL 命令从两个单独的文件中标识服务器证书和中间 CA 证书。

    注意: 您可以从配置实用程序启动 OpenSSL 接口。在导航窗格中,单击 SSL。在详细信息窗格中的“工具”下,单击“打开 SSL 界面”。

    openssl x509 -in >path of the CA cert file< text X509v3 Basic Constraints: CA:TRUE
                X509v3 Key Usage:
                    Certificate Sign, CRL Sign
                Netscape Cert Type:
                    SSL CA, S/MIME CA
    
    openssl x509 -in >path of the server certificate file< -text
    
    X509v3 Basic Constraints:
                    CA:FALSE
                Netscape Cert Type:
                    SSL Server
    
    
  4. 在 FreeBSD 外壳提示符处,输入以下命令:

    openssl x509 -in cert.pem -text | more
    

    其中 cert.pem 是两个证书文件之一。

    阅读命令输出中的“主 字段。例如,

    Subject: C=US, ST=Oregon, L=Portland, O=mycompany, Inc., OU=IT, CN=www.mycompany.com
    

    如果主题中的 CN 字段与您的网站的域名匹配,则这是服务器证书,另一个证书是随附的中间 CA 证书。

  5. 使用服务器证书及其私钥)在 Citrix ADC 设备上创建证书密钥对。有关在 Citrix ADC 上创建证书密钥对的详细信息,请参阅添加证书密钥对

  6. 在 Citrix ADC 设备上添加中间 CA 证书。使用您在步骤 4 中创建的服务器证书对此中间证书进行签名。有关在 Citrix ADC 上创建中间 CA 证书的详细信息,请参阅生成测试证书

全局站点证书