SSL 截获证书存储

SSL 证书是任何 SSL 事务的不可或缺部分, 是用于标识公司 (域) 或个体的数字数据表单 (X509)。SSL 证书由证书颁发机构 (CA) 颁发。CA 可以是专用的, 也可以是公用的。公共 CA 颁发的证书(例如 Verisign)由执行 SSL 事务的应用程序信任。这些应用程序维护一个受信任的 CA 列表。

作为转发代理, Citrix Secure Web Gateway (SWG) 设备对客户端与服务器之间的流量执行加密和解密。它用作客户端 (用户) 的服务器, 作为客户端到服务器。在设备可以处理 HTTPS 流量之前, 必须验证服务器的身份, 以防止出现任何虚假事务。因此, 作为客户端到源服务器, 在接受原始服务器证书之前, 设备必须对其进行验证。要验证服务器的证书, 需要在设备上提供用于签名和颁发服务器证书的所有证书 (例如, 根证书和中间证书)。在设备上预装了一组默认的 CA 证书。Citrix SWG 可以使用这些证书来验证几乎所有公用源服务器证书。无法修改此默认设置。但是, 如果您的部署需要其他 CA 证书, 则可以创建此类证书的捆绑包, 并将该捆绑包导入到设备中。束还可以包含一个证书。

当您将证书捆绑包导入到设备时, 设备将从远程位置下载此捆绑包, 并在验证此捆绑包是否仅包含证书后, 将其安装在设备上。必须先应用证书捆绑包, 然后才能使用证书来验证服务器证书。您还可以导出证书捆绑包以进行编辑, 或者将其作为备份保存在脱机位置。

在设备上使用 Citrix SWG CLI 导入并应用 CA 证书包

在命令提示窗口中,键入:

import ssl certBundle <name> <src>
apply ssl certBundle <name>
show ssl certBundle

参数:

名称:

要分配给所导入证书捆绑包的名称。必须以 ASCII 字母数字或下划线 (\ _) 字符开头, 并且必须仅包含 ASCII 字母数字、下划线、哈希 (\ #)、句点 (。)、空格、冒号 (:)、at (@)、等号 (=) 和连字符 (-)。以下要求仅适用于 CLI:

如果名称中包含一个或多个空格, 请将名称用双引号括起来 (例如, “my file” 或 “my file”)。

最大长度:31

src:

用于指定要导入或导出的证书捆绑包的协议、主机和路径 (包括文件名) 的 URL。例如, "http://www.example.com/cert\_bundle\_file"。

注意: 如果要导入的对象位于需要客户端证书身份验证才能访问的 HTTPS 服务器上, 则导入将失败。

最大长度: 2047

示例:

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
apply ssl certBundle swg-certbundle
show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done

使用 Citrix SWG GUI 在设备上导入并应用 CA 证书包

  1. 导航到Secure Web Gateway >入门>证书包
  2. 执行以下操作之一:
    • 从列表中选择证书捆绑包。
    • 要添加新的证书捆绑包, 请单击 “+” 并指定一个名称和源 URL。单击确定
  3. 单击确定

使用 CLI 从设备中删除 CA 证书捆绑包

在命令提示窗口中,键入:

remove certBundle <cert bundle name>

示例:

remove certBundle mytest-cacert

使用 Citrix SWG CLI 从设备中导出 CA 证书捆绑包

在命令提示窗口中,键入:

export certBundle <cert bundle name> <Path to export>

参数:

名称:

要分配给所导入证书捆绑包的名称。必须以 ASCII 字母数字或下划线 (\ _) 字符开头, 并且必须 仅包含 ascii 字母数字、下划线、哈希 (\ #)、句点 (。)、空格、冒号 (:)、at (@)、等号 (=) 和连字符 (-)。以下要求仅适用于 CLI:

如果名称中包含一个或多个空格, 请将名称用双引号括起来 (例如, “my file” 或 “my file”)。

最大长度:31

src:

用于指定要导入或导出的证书捆绑包的协议、主机和路径 (包括文件名) 的 URL。例如, "http://www.example.com/cert\_bundle\_file"。

注意: 如果要导入的对象位于需要客户端证书身份验证才能访问的 HTTPS 服务器上, 则导入将失败。

最大长度: 2047

示例:

export certBundle mytest-cacert http://192.0.2.20/

限制

在群集设置或分区的设备上不支持证书捆绑包。