SSL 截获证书存储

SSL 证书是任何 SSL 交易的一个组成部分,是标识公司(域)或个人的数字数据表格 (X509)。SSL 证书由证书颁发机构 (CA) 颁发。CA 可以是专用的或公共的。公共 CA 颁发的证书(例如 Verisign)由执行 SSL 事务的应用程序信任。这些应用程序维护一个受信任的 CA 列表。

作为转发代理,Citrix Secure Web Gateway (SWG) 设备执行客户端和服务器之间的流量的加密和解密。它充当客户端(用户)的服务器和服务器的客户端。设备在处理 HTTPS 流量之前,必须验证服务器的身份,以防止任何欺诈事务。因此,作为源服务器的客户端,设备必须先验证原始服务器证书,然后才能接受该证书。要验证服务器的证书,设备上必须存在用于签名和颁发服务器证书的所有证书(例如,根证书和中间证书)。在设备上预安装了一组默认 CA 证书。Citrix SWG 可以使用这些证书来验证几乎所有常见的原始服务器证书。无法修改此默认集。但是,如果您的部署需要更多 CA 证书,则可以创建此类证书的捆绑包并将该捆绑包导入设备。捆绑包还可以包含单个证书。

将证书捆绑导入设备时,设备会从远程位置下载该捆绑包,并在验证捆绑包是否仅包含证书后,将其安装在设备上。必须先应用证书捆绑,然后才能使用它验证服务器证书。您还可以导出证书捆绑包以进行编辑或将其作为备份存储在脱机位置。

使用 Citrix SWG CLI 在设备上导入并应用 CA 证书捆绑包

在命令提示窗口中,键入:

import ssl certBundle <name> <src>
apply ssl certBundle <name>
show ssl certBundle

参数

名称

要分配给导入的证书捆绑的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。以下要求仅适用于 CLI:

如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的文件”或“我的文件”)。

最大长度:31

src

指定要导入或导出的证书捆绑包的协议、主机和路径(包括文件名)的 URL。例如 http://www.example.com/cert\_bundle\_file

注意:如果要导入的对象位于需要客户端证书身份验证才能访问的 HTTPS 服务器上,则导入失败。

最大长度:2047

示例

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
apply ssl certBundle swg-certbundle
show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done

使用 Citrix SWG GUI 在设备上导入并应用 CA 证书捆绑包

  1. 导航到 S ecure Web Gateway > 入门 > 证书捆绑包
  2. 执行以下操作之一:
    • 从列表中选择证书捆绑包。
    • 要添加新的证书捆绑包,请单击 “+” 并指定名称和源 URL。单击确定
  3. 单击确定

使用 CLI 从设备中删除 CA 证书捆绑包

在命令提示窗口中,键入:

remove certBundle <cert bundle name>

示例

remove certBundle mytest-cacert

使用 Citrix SWG CLI 从设备中导出 CA 证书捆绑包

在命令提示窗口中,键入:

export certBundle <cert bundle name> <Path to export>

参数

名称

要分配给导入的证书捆绑的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。以下要求仅适用于 CLI:

如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的文件”或“我的文件”)。

最大长度:31

src

指定要导入或导出的证书捆绑包的协议、主机和路径(包括文件名)的 URL。例如 http://www.example.com/cert\_bundle\_file

注意:如果要导入的对象位于需要客户端证书身份验证才能访问的 HTTPS 服务器上,则导入失败。

最大长度:2047

示例

export certBundle mytest-cacert http://192.0.2.20/

从 Mozilla CA 证书存储中导入、应用和验证 CA 证书捆绑包

在命令提示窗口中,键入:

> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done

要应用捆绑包,请键入:

> apply certbundle mozilla_public_ca
Done

要验证正在使用的证书捆绑包,请键入:

> sh certbundle | grep mozilla
    Name : mozilla_public_ca (Inuse)

限制

群集设置中或分区的设备上不支持证书捆绑包。