Citrix SD-WAN

证书身份验证

Citrix SD-WAN 通过使用网络加密和虚拟路径 IPsec 隧道等安全技术,确保在 SD-WAN 网络中的设备之间建立安全路径。除了现有的安全措施之外,Citrix SD-WAN 11.0.2 中还引入了基于证书的身份验证。

证书身份验证允许组织使用其专用证书颁发机构 (CA) 颁发的证书对设备进行身份验证。设备在建立虚拟路径之前进行身份验证。例如,如果分支设备尝试连接到数据中心,并且分支中心的证书与数据中心期望的证书不匹配,则不会建立虚拟路径。

CA 颁发的证书将公钥绑定到设备名称。公钥与证书标识的设备所拥有的相应私钥一起工作。

要启用设备身份验证,请在配置编辑器中导航到全局”>“网络设置”并选择“启用设备身份验证”

启用设备身份验证

转移并应用配置后,“配 ”>“虚拟 WAN”下会列出一个新的证书身份验证选项

您可以从“证书身份验证”页面管理用于虚拟路径身份验证的所有证书。

证书身份验证

注意

如果要将装置软件从 SD-WAN 11.0 版升级到版本 11.1,请取消选中“启用装置身份验证”选项并执行软件升级。升级过程完成后,选择 启用设备身份验证 选项。

已安装的证书

已安装的证书”部分提供了设备上安装的证书的摘要。设备使用此证书在网络中标识自身。

颁发给 部分提供了有关证书颁发给谁的详细信息。证书中的公用名称与设备名称匹配,因为证书绑定到设备名称。颁 发者 部分提供证书签名颁发机构的详细信息,该颁发机构是谁签署了证书。证书详细信息包括证书的指纹、序列号和证书的有效期。

已安装的证书

上载身份包

身份包包括私钥和与私钥关联的证书。您可以将 CA 颁发的设备证书上载到设备中。证书捆绑包是一个 PKCS 12 文件,扩展名为 .p12。您可以选择使用密码保护它。如果将密码字段留空,则将被视为没有密码保护。

上载身份包

上载证书颁发机构包

上载与证书签名颁发机构对应的 PKCS 12 捆绑包。证书颁发机构捆绑包括完整的签名链、根签名机构和所有中间签名机构。

上载 CA 捆绑

上载网络证书

创建认证签名请求

设备可以生成未签名证书并创建证书签名请求 (CSR)。然后 CA 可以从设备下载 CSR,对其进行签名并将其上载回设备。这用作设备的身份证书。要为设备创建 CSR,请提供设备公用名称、组织详细信息和地址。

证书签名请求

证书吊销列表管理器

证书吊销列表 (CRL) 是在网络中不再有效的证书序列号的已发布列表。CRL 文件定期下载并在本地所有设备上存储。当验证证书时,响应程序会检查 CRL 以查看启动程序证书是否已被吊销。要启用 CRL,请选择启用 CRL 选项。提供 CRL 文件的维护位置。支持 HTTP、HTTPS 和 FTP 位置。指定检查和下载 CRL 文件的时间间隔,范围为 1—1440 分钟。

证书吊销列表

注意

virtua1 路径的重新身份验证期可以介于 10-15 分钟之间,如果 CRL 更新间隔设置为较短的持续时间,则更新的 CRL 列表可能包括当前活动的序列号。使主动吊销的证书在网络中短时间内可用。

证书身份验证