Citrix SD-WAN

证书身份验证

Citrix SD-WAN 通过使用网络加密和虚拟路径 IPsec 隧道等安全技术,确保在 SD-WAN 网络中的设备之间建立安全路径。除了现有的安全措施之外,Citrix SD-WAN 11.0.2 中还引入了基于证书的身份验证。

证书身份验证允许组织使用其专用证书颁发机构 (CA) 颁发的证书对设备进行身份验证。设备在建立虚拟路径之前进行身份验证。例如,如果分支设备尝试连接到数据中心,并且分支中心的证书与数据中心期望的证书不匹配,则不会建立虚拟路径。

CA 颁发的证书将公钥绑定到设备名称。公钥与证书标识的设备所拥有的相应私钥一起工作。

注意

在当前版本中,CA 证书需要手动上载到网络中的所有设备。未来版本将包括网络证书的自动分发。

要启用设备身份验证,请在配置编辑器中导航到 全局 > 网络设置,然后选择 启用设备身份验证

启用设备身份验证

在暂存和应用配置后,配 > 虚拟 WAN 下会列出新的 证书身份验证 选项。

您可以从 证书身份验证 页面管理用于虚拟路径身份 验证 的所有证书。

证书身份验证

已安装的证书

已安装的证书 部分提供设备上安装的证书的摘要。设备使用此证书在网络中标识自身。

颁发给 部分提供了有关证书颁发给谁的详细信息。证书中的公 用名 称与设备名称相匹配,因为证书绑定到设备名称。颁 者部分提供证书签名颁发机构的详细信息,用于签名证书。证书详细信息包括证书的指纹、序列号和证书的有效期。

已安装的证书

上载身份包

身份包包括私钥和与私钥关联的证书。您可以将 CA 颁发的设备证书上载到设备中。证书捆绑包是一个 PKCS 12 文件,扩展名为 .p12。您可以选择使用密码保护它。如果将密码字段留空,则将被视为没有密码保护。

上载身份包

上载证书颁发机构包

上载与证书签名颁发机构对应的 PKCS 12 捆绑包。证书颁发机构捆绑包括完整的签名链、根签名机构和所有中间签名机构。

上载 CA 捆绑

上载网络证书

上载在单个 .PEM 文件中连接在一起的所有网络证书。网络证书必须在网络中的每个设备上上载。当站点启动虚拟路径连接时,将向响应者发送包含其证书的消息。响应程序根据网络证书 PEM 文件检查启动程序证书。如果启动程序证书与数据库上的证书匹配,则建立虚拟路径连接。

注意

在当前版本中,CA 证书需要手动上载到网络中的所有设备。未来版本将包括网络证书的自动分发。

上载网络证书

创建认证签名请求

设备可以生成未签名证书并创建证书签名请求 (CSR)。然后 CA 可以从设备下载 CSR,对其进行签名并将其上载回设备。这用作设备的身份证书。要为设备创建 CSR,请提供设备公用名称、组织详细信息和地址。

证书签名请求

证书吊销列表管理器

证书吊销列表 (CRL) 是在网络中不再有效的证书序列号的已发布列表。CRL 文件定期下载并在本地所有设备上存储。当验证证书时,响应程序会检查 CRL 以查看启动程序证书是否已被吊销。 要启用 CRL,请选择启用 CRL 选项。提供 CRL 文件的维护位置。支持 HTTP、HTTPS 和 FTP 位置。指定检查和下载 CRL 文件的时间间隔,范围为 1—1440 分钟。

证书吊销列表

注意

virtua1 路径的重新身份验证期可以介于 10-15 分钟之间,如果 CRL 更新间隔设置为较短的持续时间,则更新的 CRL 列表可能包括当前活动的序列号。使主动吊销的证书在网络中短时间内可用。

证书身份验证