证书吊销列表

不时,证书颁发机构 (CA) 颁发证书吊销列表 (CRL)。CRL 包含有关不再受信任的证书的信息。例如,假设安离开 XYZ 公司。公司可以将 Ann 的证书放在 CRL 上,以防止她使用该密钥签名消息。

同样,如果私钥泄露或证书已过期且正在使用新证书,则可以撤销证书。在信任公钥之前,请确保证书不会出现在 CRL 上。

Citrix 网关支持以下两种 CRL 类型:

  • 列出已吊销或不再有效的证书的 CRL
  • 联机证书状态协议 (OCSP),一种用于获取 X.509 证书吊销状态的 Internet 协议

添加 CRL

在 Citrix 网关设备上配置 CRL 之前,请确保 CRL 文件本地存储在设备上。在高可用性设置的情况下,CRL 文件必须存在于两个 Citrix Gateway 设备上,并且该文件的目录路径在两个设备上必须相同。

如果需要刷新 CRL,可以使用以下参数:

  • CRL 名称:正在 Citrix ADC 上添加的 CRL 的名称。最多 31 个字符。
  • CRL 文件:正在 Citrix ADC 上添加的 CRL 文件的名称。Citrix ADC 默认情况下在 /var/netScal/ssl 目录中查找 CRL 文件。最多 63 个字符。
  • URL:最多 127 个字符
  • 基本 DN:最多 127 个字符
  • 绑定 DN:最多 127 个字符
  • 密码:最多 31 个字符
  • 天数:最多 31
  1. 在配置实用程序中,在 “配置” 选项卡上,展开 SSL,然后单击 CRL。
  2. 在详细信息窗格中,单击添加。
  3. 在 “添加 CRL” 对话框中,指定以下值:
    • CRL 名称
    • CRL 文件
    • 格式(可选)
    • CA 证书(可选)
  4. 单击 Create(创建),然后单击 Close(关闭)。在 CRL 详细信息窗格中,选择刚刚配置的 CRL,并验证屏幕底部显示的设置是否正确。

使用配置实用程序中的 LDAP 或 HTTP 配置 CRL 自动刷新

CRL 由 CA 定期生成和发布,在某些情况下,在吊销特定证书后立即生成和发布。Citrix 建议您定期更新 Citrix 网关设备上的 CRL,以防止客户端尝试使用无效证书进行连接。

Citrix 网关设备可以从 Web 位置或 LDAP 目录刷新 CRL。当您指定刷新参数和 Web 位置或 LDAP 服务器时,在运行命令时,不必在本地硬盘驱动器上存在 CRL。第一次刷新将副本存储在由 CRL File 参数指定的路径中的本地硬盘驱动器上。用于存储 CRL 的默认路径是 /var/netScal/SSL。

CRL 刷新参数

  • CRL 名称

在 Citrix 网关上刷新的 CRL 的名称。

**启用 CRL 自动刷新**

启用或禁用 CRL 自动刷新。

**加拿大证书**

颁发 CRL 的 CA 证书。必须在设备上安装此 CA 证书。Citrix ADC 只能从其上安装了证书的 CA 更新 CRL。

**方法**

从 Web 服务器 (HTTP) 或 LDAP 服务器获取 CRL 刷新的协议。可能的值:HTTP、LDAP。默认值:HTTP。

**作用域**

LDAP 服务器上搜索操作的范围。如果指定的作用域为 Base,则搜索与基本 DN 处于同一级别。如果指定的范围为 One,则搜索将扩展到基础 DN 以下的一个级别。

  • 服务器 IP

从中检索 CRL 的 LDAP 服务器的 IP 地址。选择 IPv6 以使用 IPv6 IP 地址。

**端口**

LDAP 或 HTTP 服务器通信的端口号。

**网址链接**

从中检索 CRL 的 Web 位置的 URL。

**基本 DN**

LDAP 服务器用于搜索 CRL 属性的基本 DN。 注意:Citrix 建议使用基本 DN 属性而不是 CA 证书中的颁发者名称来搜索 LDAP 服务器中的 CRL。发行人名称字段可能不完全匹配 LDAP 目录结构的 DN。

  • 绑定 DN

用于访问 LDAP 存储库中 CRL 对象的绑定 DN 属性。绑定 DN 属性是 LDAP 服务器的管理员凭据。配置此参数以限制对 LDAP 服务器的未经授权的访问。

**密码**

用于访问 LDAP 存储库中 CRL 对象的管理员密码。如果对 LDAP 存储库的访问受到限制,即不允许匿名访问,则需要执行此操作。

**间隔**

执行 CRL 刷新的时间间隔。对于瞬时 CRL 刷新,请将间隔指定为 “NOW”。可能的值:每月,每日,每周,现在,无。

**天数**

应执行 CRL 刷新的日期。如果间隔设置为每日,则此选项不可用。

**时间**

应执行 CRL 刷新的 24 小时格式的确切时间。

**二进制**

将基于 LDAP 的 CRL 检索模式设置为二进制。可能的值:是,否。默认值:否。

  1. 在导航窗格中,展开 SSL,然后单击 CRL。
  2. 选择要更新刷新参数的已配置 CRL,然后单击 “打开”。
  3. 选择启用 CRL 自动刷新选项。
  4. 在 CRL 自动刷新参数组中,为以下参数指定值: 注意:星号 (*) 表示必需参数。
    • 方法
    • 二进制
    • 作用域
    • 服务器 IP
    • 港口 *
    • 网址链接
    • 基地 DN*
    • 绑定 DN
    • 密码
    • 间隔
    • 天数
    • 时间
  5. 单击创建。在 CRL 窗格中,选择刚刚配置的 CRL,并验证屏幕底部显示的设置是否正确。