Häufig gestellte Fragen zu SSL
Grundlegende Fragen
Der HTTPS-Zugriff auf die GUI schlägt auf einer VPX-Instanz fehl. Wie erhalte ich Zugang?
Für den HTTPS-Zugriff auf die GUI ist ein Zertifikatschlüsselpaar erforderlich. Auf einer NetScaler-Appliance wird ein Zertifikatschlüsselpaar automatisch an die internen Dienste gebunden. Auf einer MPX- oder SDX-Appliance beträgt die Standardschlüsselgröße 1024 Byte, und bei einer VPX-Instanz beträgt die Standardschlüsselgröße 512 Byte. Die meisten Browser akzeptieren heute jedoch keinen Schlüssel mit weniger als 1024 Bytes. Infolgedessen wird der HTTPS-Zugriff auf das VPX-Konfigurationsdienstprogramm blockiert.
Citrix empfiehlt, ein Zertifikatschlüsselpaar von mindestens 1024 Byte zu installieren und es an den internen Dienst für den HTTPS-Zugriff auf das Konfigurationsdienstprogramm zu binden. Aktualisieren Sie alternativ den ns-server-certificate
auf 1024 Bytes. Sie können den HTTP-Zugriff auf das Konfigurationsdienstprogramm oder die CLI verwenden, um das Zertifikat zu installieren.
Wenn ich einer MPX-Appliance eine Lizenz hinzufüge, geht die Bindung des Zertifikatschlüsselpaars verloren. Wie löse ich dieses Problem?
Wenn beim Start keine Lizenz auf einer MPX-Appliance vorhanden ist und Sie später eine Lizenz hinzufügen und die Appliance neu starten, verlieren Sie möglicherweise die Zertifikatbindung. Installieren Sie das Zertifikat neu und binden Sie es an den internen Dienst
Citrix empfiehlt, vor dem Starten der Appliance eine entsprechende Lizenz zu installieren.
Was sind die verschiedenen Schritte beim Einrichten eines sicheren Kanals für eine SSL-Transaktion?
Das Einrichten eines sicheren Kanals für eine SSL-Transaktion umfasst die folgenden Schritte:
-
Der Client sendet eine HTTPS-Anfrage für einen sicheren Kanal an den Server.
-
Nach Auswahl des Protokolls und der Verschlüsselung sendet der Server sein Zertifikat an den Client.
-
Der Client überprüft die Authentizität des Serverzertifikats.
-
Wenn eine der Prüfungen fehlschlägt, zeigt der Client das entsprechende Feedback an.
-
Wenn die Schecks bestehen oder der Kunde sich entscheidet, fortzufahren, auch wenn eine Überprüfung fehlschlägt, erstellt der Kunde einen temporären, wegwerfbaren Schlüssel. Dieser Schlüssel wird als Pre-Master-Geheimnis bezeichnet und der Client verschlüsselt diesen Schlüssel mithilfe des öffentlichen Schlüssels des Serverzertifikats.
-
Der Server entschlüsselt es nach Erhalt des Pre-Master-Geheimnisses mit dem privaten Schlüssel des Servers und generiert die Sitzungsschlüssel. Der Client generiert auch die Sitzungsschlüssel aus dem Pre-Master-Geheimnis. Daher haben sowohl Client als auch Server jetzt einen gemeinsamen Sitzungsschlüssel, der zur Verschlüsselung und Entschlüsselung von Anwendungsdaten verwendet wird.
Ich verstehe, dass SSL ein CPU-intensiver Prozess ist. Wie hoch sind die CPU-Kosten im Zusammenhang mit dem SSL-Prozess?
Die folgenden beiden Phasen sind mit dem SSL-Prozess verbunden:
-
Der erste Handshake und die sichere Kanaleinrichtung unter Verwendung der öffentlichen und privaten Schlüsseltechnologie.
-
Massendatenverschlüsselung unter Verwendung der symmetrischen Schlüsseltechnologie.
Beide vorangegangenen Phasen können sich auf die Serverleistung auswirken und erfordern aus folgenden Gründen eine intensive CPU-Verarbeitung:
-
Der erste Handshake beinhaltet Kryptographie mit öffentlich-privaten Schlüsseln, die aufgrund großer Schlüsselgrößen (1024 Bit, 2048 Bit, 4096 Bit) sehr CPU-intensiv ist.
-
Die Verschlüsselung/Entschlüsselung von Daten ist ebenfalls rechnerisch teuer, abhängig von der Datenmenge, die verschlüsselt oder entschlüsselt werden muss.
Was sind die verschiedenen Entitäten einer SSL-Konfiguration?
Eine SSL-Konfiguration hat die folgenden Entitäten:
- Serverzertifikat
- Zertifikat der Zertifizierungsstelle (CA)
- Cipher Suite, die die Protokolle für die folgenden Aufgaben angibt:
- Anfänglicher Schlüsselaustausch
- Server- und Clientauthentifizierung
- Algorithmus zur Massenverschlüsselung
- Nachrichten-Authentifizierung
- Clientauthentifizierung
- CRL
- SSL Certificate Key Generierung Tool, mit dem Sie die folgenden Dateien erstellen können:
- Anforderung des Zertifikats
- Selbstsigniertes Zertifikat
- RSA-Schlüssel
- DH-Parameter
Ich möchte die SSL-Entladungsfunktion der NetScaler-Appliance verwenden. Welche Möglichkeiten gibt es, ein SSL-Zertifikat zu erhalten?
Sie müssen ein SSL-Zertifikat erhalten, bevor Sie das SSL-Setup auf der NetScaler-Appliance konfigurieren können. Sie können eine der folgenden Methoden verwenden, um ein SSL-Zertifikat zu erhalten:
-
Fordern Sie ein Zertifikat von einer autorisierten Zertifizierungsstelle (CA) an.
-
Verwenden Sie das vorhandene Serverzertifikat.
-
Erstellen Sie ein Zertifikatschlüsselpaar auf der NetScaler-Appliance.
Hinweis: Dieses Zertifikat ist ein Testzertifikat, das von der NetScaler-Appliance generiert wurde, signiert von der Test-Root-CA. Von der Test-Root-CA signierte Testzertifikate werden von Browsern nicht akzeptiert. Der Browser löst eine Warnmeldung aus, die besagt, dass das Zertifikat des Servers nicht authentifiziert werden kann.
- Für andere Zwecke als Testzwecke müssen Sie ein gültiges CA-Zertifikat und einen CA-Schlüssel angeben, um das Serverzertifikat zu signieren.
Was sind die Mindestanforderungen für ein SSL-Setup?
Die Mindestanforderungen für die Konfiguration eines SSL-Setups lauten wie folgt:
- Besorgen Sie sich die Zertifikate und Schlüssel.
- Erstellen Sie einen virtuellen Lastenausgleich SSL-Server.
- Binden Sie HTTP- oder SSL-Dienste an den virtuellen SSL-Server.
- Binden Sie ein Zertifikatschlüsselpaar an den virtuellen SSL-Server.
Was sind die Grenzen für die verschiedenen Komponenten von SSL?
SSL-Komponenten haben folgende Grenzwerte:
- Bitgröße von SSL-Zertifikaten: 4096
- Anzahl der SSL-Zertifikate: Hängt vom verfügbaren Speicher auf der Appliance ab.
- Maximal verknüpfte Zwischenzertifikate CA SSL: 9 pro Kette.
- CRL-Widerrufe: Hängt vom verfügbaren Speicher auf der Appliance ab.
Was sind die verschiedenen Schritte bei der End-to-End-Datenverschlüsselung auf einer NetScaler-Appliance?
Der serverseitige Verschlüsselungsprozess auf einer NetScaler-Appliance umfasst die folgenden Schritte:
-
Der Client stellt eine Verbindung mit dem SSL-VIP her, der auf der NetScaler-Appliance am sicheren Standort konfiguriert ist.
-
Nach Erhalt der sicheren Anforderung entschlüsselt die Appliance die Anforderung und wendet Content Switching-Techniken der Layer 4 bis 7 und Load Balancing-Richtlinien an. Anschließend wählt es den besten verfügbaren Back-End-Webserver für die Anforderung aus.
-
Die NetScaler-Appliance erstellt eine SSL-Sitzung mit dem ausgewählten Server.
-
Nach dem Einrichten der SSL-Sitzung verschlüsselt die Appliance die Clientanforderung und sendet sie mithilfe der sicheren SSL-Sitzung an den Webserver.
-
Wenn die Appliance die verschlüsselte Antwort vom Server erhält, entschlüsselt und verschlüsselt sie die Daten erneut. Anschließend sendet es die Daten über die CLIentseitigen SSL-Sitzung an den Client.
Die Multiplexing-Technik der NetScaler-Appliance ermöglicht es der Appliance, SSL-Sitzungen wiederzuverwenden, die mit den Webservern eingerichtet wurden. Daher vermeidet die Appliance den CPU-intensiven Schlüsselaustausch, der als Full Handshakebezeichnet wird. Dieser Prozess reduziert die Gesamtzahl der SSL-Sitzungen auf dem Server und gewährleistet die End-to-End-Sicherheit.
Zertifikate und Schlüssel
Kann ich das Zertifikat und die Schlüsseldateien an einem beliebigen Ort ablegen? Gibt es einen empfohlenen Speicherort zum Speichern dieser Dateien?
Sie können das Zertifikat und die Schlüsseldateien auf der NetScaler-Appliance oder einem lokalen Computer speichern. Citrix empfiehlt jedoch, das Zertifikat und die Schlüsseldateien im Verzeichnis /nsconfig/ssl
der NetScaler-Appliance zu speichern. Das Verzeichnis /etc
ist im Flash-Speicher der NetScaler-Appliance. Diese Aktion bietet Portabilität und erleichtert die Backup und Wiederherstellung der Zertifikatsdateien auf der Appliance.
Hinweis: Stellen Sie sicher, dass das Zertifikat und die Schlüsseldateien im selben Verzeichnis gespeichert sind.
Wie groß ist die maximale Größe des Zertifikatsschlüssels, der auf der NetScaler-Appliance unterstützt wird?
Eine NetScaler-Appliance, auf der eine Softwareversion vor Version 9.0 ausgeführt wird, unterstützt eine maximale Zertifikatschlüsselgröße von 2048 Bit. Version 9.0 und höher unterstützt eine maximale Zertifikatschlüsselgröße von 4096 Bit. Diese Grenze gilt für RSA-Zertifikate.
Eine MPX-Appliance unterstützt Zertifikate von 512 Bit bis zu den folgenden Größen:
-
4096-Bit-Serverzertifikat auf dem virtuellen Server
-
4096-Bit-Clientzertifikat im Dienst
-
4096-Bit-CA-Zertifikat (einschließlich Zwischen- und Stammzertifikaten)
-
4096-Bit-Zertifikat auf dem Back-End-Server
-
4096-Bit-Clientzertifikat (wenn die Clientauthentifizierung auf dem virtuellen Server aktiviert ist)
Eine virtuelle Appliance unterstützt Zertifikate von 512 Bit bis zu den folgenden Größen:
-
4096-Bit-Serverzertifikat auf dem virtuellen Server
-
4096-Bit-Clientzertifikat im Dienst
-
4096-Bit-CA-Zertifikat (einschließlich Zwischen- und Stammzertifikaten)
-
4096-Bit-Zertifikat auf dem Back-End-Server von Release 12.0-56.x. Ältere Versionen unterstützen 2048-Bit-Zertifikate.
-
2048-Bit-Clientzertifikat (wenn die Clientauthentifizierung auf dem virtuellen Server aktiviert ist) ab Version 12.0-56.x.
Wie groß ist die maximale Größe des DH-Parameters, der auf der NetScaler-Appliance unterstützt wird?
Die NetScaler-Appliance unterstützt einen DH-Parameter von maximal 2048 Bit.
Wie hoch ist die maximale Länge der Zertifikatkette, d. h. die maximale Anzahl von Zertifikaten in einer Kette, die auf einer NetScaler-Appliance unterstützt wird?
Eine NetScaler-Appliance kann beim Senden einer Serverzertifikatnachricht maximal 10 Zertifikate in einer Kette senden. Eine Kette mit maximaler Länge umfasst das Serverzertifikat und neun Zwischenzertifikate der Zertifizierungsstelle.
Welche Zertifikate und Schlüsselformate werden auf der NetScaler-Appliance unterstützt?
Die NetScaler-Appliance unterstützt die folgenden Zertifikat- und Schlüsselformate:
- Datenschutz Verbesserte E-Mails (PEM)
- Distinguished Coding Regel (DER)
Gibt es ein Limit für die Anzahl der Zertifikate und Schlüssel, die ich auf der NetScaler-Appliance installieren kann?
Nein. Die Anzahl der Zertifikate und Schlüssel, die installiert werden können, ist nur durch den verfügbaren Speicher auf der NetScaler-Appliance begrenzt.
Ich habe das Zertifikat und die Schlüsseldateien auf dem lokalen Computer gespeichert. Ich möchte diese Dateien mithilfe des FTP-Protokolls auf die NetScaler-Appliance übertragen. Gibt es einen bevorzugten Modus für die Übertragung dieser Dateien auf die NetScaler-Appliance?
Ja. Wenn Sie das FTP-Protokoll verwenden, müssen Sie das Zertifikat und die Schlüsseldateien im Binärmodus an die NetScaler-Appliance übertragen.
Hinweis: Standardmäßig ist FTP deaktiviert. Citrix empfiehlt, das SCP-Protokoll für die Übertragung von Zertifikats- und Schlüsseldateien zu verwenden. Das Konfigurationsdienstprogramm verwendet implizit SCP, um eine Verbindung mit der Appliance herzustellen.
Was ist der Standardverzeichnispfad für das Zertifikat und den Schlüssel?
Der Standardverzeichnispfad für das Zertifikat und den Schlüssel ist ‘/nsconfig/ssl’.
Was passiert beim Hinzufügen eines Zertifikats und eines Schlüsselpaars, wenn ich keinen absoluten Pfad zu den Zertifikats- und Schlüsseldateien angebe?
Geben Sie beim Hinzufügen eines Zertifikatschlüsselpaars einen absoluten Pfad zu den Zertifikats- und Schlüsseldateien an. Wenn Sie dies nicht angeben, durchsucht die ADC-Appliance das Standardverzeichnis nach diesen Dateien und versucht, sie in den Kernel zu laden. Das Standardverzeichnis ist /nsconfig/ssl
. Wenn beispielsweise die cert1024.pem- und rsa1024.pem-Dateien im Verzeichnis /nsconfig/ssl
der Appliance verfügbar sind, sind beide der folgenden Befehle erfolgreich:
add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
<!--NeedCopy-->
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem
<!--NeedCopy-->
Ich habe ein Hochverfügbarkeits-Setup konfiguriert. Ich möchte die SSL-Funktion im Setup implementieren. Wie muss ich mit dem Zertifikat und den Schlüsseldateien in einem Hochverfügbarkeits-Setup umgehen?
In einem Hochverfügbarkeits-Setup müssen Sie das Zertifikat und die Schlüsseldateien sowohl auf der primären als auch auf der sekundären NetScaler-Appliance speichern. Der Verzeichnispfad für das Zertifikat und die Schlüsseldateien muss auf beiden Appliances identisch sein, bevor Sie ein SSL-Zertifikatschlüsselpaar auf der primären Appliance hinzufügen.
nCipher nShield® HSM
Müssen wir bei der Integration mit nCipher nShield® HSM eine bestimmte Konfiguration berücksichtigen, wenn wir die NetScaler-Appliance zu HA hinzufügen?
Konfigurieren Sie dieselben nCipher-Geräte auf beiden Knoten in HA. nCipher Konfigurationsbefehle werden nicht in HA synchronisiert. Informationen zu den Voraussetzungen für nCipher nShield® HSM finden Sie unter Voraussetzungen.
Müssen wir beide Appliances individuell mit nCipher nShield® HSM und RFS integrieren? Müssen wir diese Aktion vor oder nach dem HA-Setup abschließen?
Sie können die Integration vor oder nach dem HA-Setup abschließen. Wenn die Integration nach dem HA-Setup erfolgt, werden die Schlüssel, die vor der Konfiguration des sekundären Knotens auf den primären Knoten importiert wurden, nicht mit dem sekundären Knoten synchronisiert. Daher empfiehlt Citrix die nCipher Integration vor dem HA-Setup.
Müssen wir den Schlüssel sowohl in die primäre als auch in die sekundären NetScaler-Appliances importieren oder werden die Schlüssel vom primären Knoten mit dem sekundären Knoten synchronisiert?
Wenn nCipher vor der Bildung des HA auf beiden Geräten integriert ist, werden die Schlüssel während der Integration automatisch von RFS synchronisiert.
Angesichts der Tatsache, dass sich das HSM nicht auf der NetScaler-Appliance, sondern auf nCipher befindet, was passiert mit den Schlüsseln und Zertifikaten, wenn ein Knoten ausfällt und ersetzt wird?
Wenn ein Knoten ausfällt, können Sie die Schlüssel und Zertifikate mit dem neuen Knoten synchronisieren, indem Sie nCipher auf den neuen Knoten integrieren. Führen Sie dann die folgenden Befehle aus:
sync ha files ssl
force ha sync
<!--NeedCopy-->
Die Zertifikate werden synchronisiert und hinzugefügt, wenn die Schlüssel bei der Integration von nCipher synchronisiert werden.
Chiffern
Was ist eine Null-Chiffre?
Chiffern ohne Verschlüsselung werden als Null-Chiffers bezeichnet. Zum Beispiel ist NULL-MD5 eine Null-Chiffre.
Sind die Null-Chiffern standardmäßig für einen SSL-VIP oder einen SSL-Dienst aktiviert?
Nein. Null-Chiffern sind für einen SSL-VIP oder einen SSL-Dienst standardmäßig nicht aktiviert.
Wie ist das Verfahren zum Entfernen von Null-Chiffern?
Um die Null-Chiffern aus einem SSL-VIP zu entfernen, führen Sie den folgenden Befehl aus:
bind ssl cipher <SSL_VIP> REM NULL
<!--NeedCopy-->
Um die Null-Chiffern aus einem SSL-Dienst zu entfernen, führen Sie den folgenden Befehl aus:
bind ssl cipher <SSL_Service> REM NULL -service
<!--NeedCopy-->
Welche verschiedenen Chiffrieraliase werden auf der NetScaler-Appliance unterstützt?
Um die auf der Appliance unterstützten Verschlüsselungsaliase aufzulisten, geben Sie an der Eingabeaufforderung Folgendes ein:
sh cipher
<!--NeedCopy-->
Wie lautet der Befehl zum Anzeigen aller vordefinierten Chiffuren der NetScaler-Appliance?
Um alle vordefinierten Chiffuren der NetScaler-Appliance anzuzeigen, geben Sie an der CLI Folgendes ein:
show ssl cipher
<!--NeedCopy-->
Wie lautet der Befehl, um die Details einer einzelnen Chiffre der NetScaler-Appliance anzuzeigen?
Um die Details einer einzelnen Chiffre der NetScaler-Appliance anzuzeigen, geben Sie an der CLI Folgendes ein:
show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>
<!--NeedCopy-->
Beispiel:
show cipher SSL3-RC4-SHA
1) Cipher Name: SSL3-RC4-SHA
Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
Mac=SHA1
Done
<!--NeedCopy-->
Welche Bedeutung hat das Hinzufügen der vordefinierten Chiffuren der NetScaler-Appliance?
Durch das Hinzufügen der vordefinierten Verschlüsselungen der NetScaler-Appliance werden die NULL-Ciphers zu einem SSL-VIP oder einem SSL-Dienst hinzugefügt.
Ist es möglich, die Reihenfolge der Chiffre zu ändern, ohne sie von einer Chiffriergruppe auf einer NetScaler-Appliance abzubinden?
Ja. Es ist möglich, die Reihenfolge der Chiffre zu ändern, ohne die Chiffren von einer benutzerdefinierten Chiffriergruppe aufzuheben. Sie können die Priorität in eingebauten Chiffriergruppen jedoch nicht ändern. Um die Priorität einer an eine SSL-Entität gebundenen Chiffre zu ändern, heben Sie zuerst die Bindung des virtuellen Servers, des Dienstes oder der Servicegruppe auf.
Hinweis: Wenn die an eine SSL-Entität gebundene Chiffriergruppe leer ist, schlägt der SSL-Handshake fehl, da keine ausgehandelte Chiffre vorhanden ist. Die Chiffriergruppe muss mindestens eine Chiffre enthalten.
Wird ECDSA auf der NetScaler-Appliance unterstützt?
ECDSA wird auf den folgenden NetScaler Plattformen unterstützt. Weitere Informationen zu unterstützten Builds finden Sie in Tabelle 1 und Tabelle 2 in Chiffren, die auf den NetScaler-Appliances verfügbar sind.
- NetScaler MPX- und SDX-Appliances mit N3-Chips
- NetScaler MPX 5900/8900/15000/26000
- NetScaler SDX 8900/15000
- NetScaler VPX Appliances
Unterstützt die NetScaler VPX Appliance AES-GCM/SHA2-Chiffern im Front-End?
Ja, AES-GCM/SHA2-Chiffre werden auf der NetScaler VPX Appliance unterstützt. Weitere Informationen zu den unterstützten Builds finden Sie unter Chiffren, die auf den NetScaler-Appliances verfügbar sind.
Zertifikate
Ist der Distinguished Name in einem Clientzertifikat für die Dauer der Benutzersitzung verfügbar?
Ja. Während der Dauer der Benutzersitzung können Sie in nachfolgenden Anfragen auf den Distinguished Name des Clientzertifikats zugreifen. Das heißt, selbst nachdem der SSL-Handshake abgeschlossen ist und das Zertifikat vom Browser nicht erneut gesendet wird. Verwenden Sie eine Variable und eine Zuweisung, wie in der folgenden Beispielkonfiguration beschrieben:
Beispiel:
add ns variable v2 -type "text(100)"
add ns assignment a1 -variable "$v2" -set "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"
add rewrite action act1 insert_http_header subject "$v2" // example: to insert the distinguished name in the header
add rewrite policy pol1 true a1
add rewrite policy pol2 true act1
bind rewrite global pol1 1 next -type RES_DEFAULT
bind rewrite global pol2 2 next -type RES_DEFAULT
set rewrite param -undefAction RESET
<!--NeedCopy-->
Warum muss ich das Serverzertifikat binden?
Die Bindung der Serverzertifikate ist die Grundvoraussetzung dafür, dass die SSL-Konfiguration SSL-Transaktionen verarbeiten kann.
Um das Serverzertifikat an einen SSL-VIP zu binden, geben Sie an der CLI Folgendes ein:
bind ssl vserver <vServerName> -certkeyName <cert_name>
<!--NeedCopy-->
Um das Serverzertifikat an einen SSL-Dienst zu binden, geben Sie an der CLI Folgendes ein:
bind ssl service <serviceName> -certkeyName <cert_name>
<!--NeedCopy-->
Wie viele Zertifikate kann ich an einen SSL-VIP oder einen SSL-Dienst binden?
Auf einer NetScaler VPX-, MPX/SDX (N3 )- und MPX/SDX 14000 FIPS-Appliance können Sie zwei Zertifikate an einen virtuellen SSL-Server oder einen SSL-Dienst binden, wenn SNI deaktiviert ist. Die Zertifikate müssen jeweils eins vom Typ RSA und ECDSA sein. Wenn SNI aktiviert ist, können Sie mehrere Serverzertifikate vom Typ RSA oder ECDSA binden. Wenn SNI deaktiviert ist, können Sie auf einer NetScaler MPX (N2) oder MPX 9700 FIPS-Appliance nur ein Zertifikat vom Typ RSA binden. Wenn SNI aktiviert ist, können Sie nur mehrere Serverzertifikate vom Typ RSA binden.
Was passiert, wenn ich ein Serverzertifikat aufhebe oder überschreibe?
Wenn Sie das Binden oder Überschreiben eines Serverzertifikats aufheben oder überschreiben, werden alle Verbindungen und SSL-Sitzungen beendet, die mit dem vorhandenen Zertifikat erstellt wurden. Wenn Sie ein vorhandenes Zertifikat überschreiben, wird die folgende Meldung angezeigt:
ERROR:
Warning: Current certificate replaces the previous binding.
<!--NeedCopy-->
Wie installiere ich ein Zwischenzertifikat auf einer NetScaler-Appliance und verbinde mich mit einem Serverzertifikat?
Weitere Informationen zur Installation eines Zwischenzertifikats finden Sie im Artikel unter http://support.citrix.com/article/ctx114146.
Warum erhalte ich einen Fehler “Ressource existiert bereits”, wenn ich versuche, ein Zertifikat auf dem NetScaler zu installieren?
Anweisungen zum Beheben des Fehlers “Ressource existiert bereits” finden Sie im Artikel unter http://support.citrix.com/article/CTX117284.
Ich möchte ein Serverzertifikat auf einer NetScaler-Appliance erstellen, um das Produkt zu testen und auszuwerten. Wie ist das Verfahren zum Erstellen eines Serverzertifikats?
Führen Sie das folgende Verfahren aus, um ein Testzertifikat zu erstellen.
Hinweis: Ein mit diesem Verfahren erstelltes Zertifikat kann nicht zur Authentifizierung aller Benutzer und Browser verwendet werden. Nachdem Sie das Zertifikat zum Testen verwendet haben, müssen Sie ein Serverzertifikat erhalten, das von einer autorisierten Root-Zertifizierungsstelle signiert wurde.
So erstellen Sie ein selbstsigniertes Serverzertifikat:
-
Um ein Root-CA-Zertifikat zu erstellen, geben Sie an der CLI Folgendes ein:
create ssl rsakey /nsconfig/ssl/test-ca.key 1024 create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key Enter the required information when prompted, and then type the following command: create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key <!--NeedCopy-->
-
Führen Sie das folgende Verfahren aus, um ein Serverzertifikat zu erstellen und es mit dem soeben erstellten Stammzertifikat zu signieren
-
Um die Anforderung und den Schlüssel zu erstellen, geben Sie an der CLI Folgendes ein:
create ssl rsakey /nsconfig/ssl/test-server.key 1024 create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key <!--NeedCopy-->
-
Geben Sie bei Aufforderung die erforderlichen Informationen ein.
-
Um eine Seriennummerndatei zu erstellen, geben Sie an der CLI Folgendes ein:
shell # echo '01' > /nsconfig/ssl/serial.txt # exit <!--NeedCopy-->
-
Um ein Serverzertifikat zu erstellen, das von dem in Schritt 1 erstellten Stammzertifikat signiert wurde, geben Sie an der CLI Folgendes ein:
create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt <!--NeedCopy-->
-
Um ein NetScaler Cert-Schlüsselpaar, das das In-Memory-Objekt ist, das die Serverzertifikatsinformationen für SSL-Handshakes und Massenverschlüsselung enthält, an der CLI zu erstellen, geben Sie Folgendes ein:
add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key <!--NeedCopy-->
-
Um das Cert-Schlüsselpaar an den virtuellen SSL-Server zu binden, geben Sie an der CLI Folgendes ein:
bind ssl vserver <vServerName> -certkeyName <cert_name> <!--NeedCopy-->
-
Ich habe eine NetScaler-Appliance erhalten, auf der NetScaler Software-Release 9.0 installiert ist. Mir ist eine zusätzliche Lizenzdatei auf der Appliance aufgefallen. Gibt es eine Änderung der Lizenzrichtlinie, beginnend mit NetScaler Software Release 9.0?
Ja. Ab der NetScaler-Softwareversion 9.0 verfügt die Appliance möglicherweise über keine einzige Lizenzdatei. Die Anzahl der Lizenzdateien hängt von der NetScaler Software Release-Edition ab. Wenn Sie beispielsweise die Advanced Edition installiert haben, benötigen Sie möglicherweise zusätzliche Lizenzdateien, um die verschiedenen Funktionen voll funktionsfähig zu machen. Wenn Sie jedoch die Premium Edition installiert haben, verfügt die Appliance über nur eine Lizenzdatei.
Wie exportiere ich das Zertifikat aus dem Internetinformationsdienst (IIS)?
Es gibt viele Möglichkeiten, aber mit der folgenden Methode werden das entsprechende Zertifikat und der private Schlüssel für die Website exportiert. Dieser Vorgang muss auf dem eigentlichen IIS-Server durchgeführt werden.
-
Öffnen Sie das Verwaltungstool für Internetinformationsdienste (IIS) Manager.
-
Erweitern Sie den Website-Knoten und suchen Sie die SSL-fähige Website, die Sie über die NetScaler-Appliance bereitstellen möchten.
-
Klicken Sie mit der rechten Maustaste auf diese Website und klicken Sie
-
Klicken Sie auf die Registerkarte Verzeichnissicherheit, und wählen Sie im Abschnitt Sichere Kommunikation des Fensters das Feld Zertifikat anzeigen aus.
-
Klicken Sie auf die Registerkarte Details und dann auf In Datei kopieren.
-
Klicken Sie auf der Seite Willkommen beim Zertifikatexport-Assistenten auf Weiter.
-
Wählen Sie Ja aus, exportieren Sie den privaten Schlüssel und klicken Sie auf Weiter.
Hinweis: Der private Schlüssel MUSS exportiert werden, damit SSL Offload am NetScaler arbeitet.
-
Stellen Sie sicher, dass das Optionsfeld Persönlicher Informationsaustausch -PKCS #12 aktiviert ist, und aktivieren Sie nach Möglichkeit nur das Kontrollkästchen Alle Zertifikate in den Zertifizierungspfad einbeziehen. Klicken Sie auf Weiter.
-
Geben Sie ein Kennwort ein und klicken Sie auf Weiter.
-
Geben Sie einen Dateinamen und einen Speicherort ein, und klicken Sie dann auf Weiter. Geben Sie der Datei eine Erweiterung von .PFX.
-
Klicken Sie auf Fertig stellen.
Wie konvertiere ich das PKCS #12 -Zertifikat und installiere es auf dem NetScaler?
-
Verschieben Sie die exportierte PFX-Zertifikatdatei an einen Speicherort, von dem aus sie auf die NetScaler-Appliance kopiert werden kann. Das heißt, auf einen Computer, der SSH-Zugriff auf die Verwaltungsschnittstelle einer NetScaler-Appliance ermöglicht. Kopieren Sie das Zertifikat mithilfe eines sicheren Kopierdienstprogramms wie SCP auf die Appliance.
-
Greifen Sie auf die BSD-Shell zu und konvertieren Sie das Zertifikat (z. B. Cert.PFX) in das PEM-Format:
root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM <!--NeedCopy-->
-
Um sicherzustellen, dass das konvertierte Zertifikat das richtige x509-Format hat, stellen Sie sicher, dass der folgende Befehl keinen Fehler verursacht:
root@ns# openssl x509 -in cert.PEM -text <!--NeedCopy-->
-
Stellen Sie sicher, dass die Zertifikatsdatei einen privaten Schlüssel enthält. Geben Sie zunächst den folgenden Befehl aus:
root@ns# cat cert.PEM Verify that the output file includes an RSA PRIVATE KEY section. -----BEGIN RSA PRIVATE KEY----- Mkm^s9KMs9023pz/s... -----END RSA PRIVATE KEY----- <!--NeedCopy-->
Im Folgenden finden Sie ein weiteres Beispiel für einen Abschnitt mit RSA PRIVATE KEY:
Bag Attributes 1.3.6.1.4.1.311.17.2: <No Values> localKeyID: 01 00 00 00 Microsoft CSP Name: Microsoft RSA SChannel Cryptographic Provider friendlyName: 4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f Key Attributes X509v3 Key Usage: 10 -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968 pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg ... (more random characters) v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh 5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg== -----END RSA PRIVATE KEY----- <!--NeedCopy-->
Im Folgenden finden Sie einen Abschnitt SERVERZERTIFIKAT
Bag Attributes localKeyID: 01 00 00 00 friendlyName: AG Certificate subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother Asiapacific/OU=Support/CN=davemother.food.lan issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/ MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog= -----END CERTIFICATE----- <!--NeedCopy-->
Im Folgenden finden Sie einen Abschnitt INTERMEDIATE CA CERTIFICATE:
Bag Attributes: <Empty Attributes> subject=/DC=lan/DC=food/CN=hotdog issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8 ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk= -----END CERTIFICATE----- <!--NeedCopy-->
Je nach Zertifizierungspfad des exportierten Zertifikats können weitere Zwischenzertifikate folgen.
-
Öffnen Sie die PEM-Datei in einem Texteditor
-
Suchen Sie die erste Zeile der PEM-Datei und die erste Instanz der folgenden Zeile und kopieren Sie diese beiden Zeilen und alle Zeilen dazwischen:
-----END CERTIFICATE----- Note: Make sure that last copied line is the first -----END CERTIFICATE----- line in the .PEM file. <!--NeedCopy-->
-
Fügen Sie die kopierten Zeilen in eine neue Datei ein. Nennen Sie die neue Datei etwas Intuitives wie cert-key.pem. Dieses Zertifikatschlüsselpaar ist für den Server, der den HTTPS-Dienst hostet. Diese Datei muss sowohl den Abschnitt mit der Bezeichnung RSA PRIVATE KEY als auch den Abschnitt mit der Bezeichnung SERVERZERTIFIKAT im vorherigen Beispiel enthalten.
Hinweis: Die Zertifikatschlüsselpaardatei enthält den privaten Schlüssel und muss sicher aufbewahrt werden.
-
Suchen Sie alle nachfolgenden Abschnitte, die mit —BEGIN CERTIFICATE— beginnen und mit —END CERTIFICATE— enden, und kopieren Sie jeden dieser Abschnitt in eine separate neue Datei.
Diese Abschnitte entsprechen Zertifikaten vertrauenswürdiger Zertifizierungsstellen, die in den Zertifizierungspfad aufgenommen wurden. Diese Abschnitte müssen kopiert und in neue einzelne Dateien für diese Zertifikate eingefügt werden. Beispielsweise muss der Abschnitt INTERMEDIATE CA CERTIFICATE des vorherigen Beispiels kopiert und in eine neue Datei eingefügt werden).
Erstellen Sie für mehrere Zwischenzertifizierungsstellenzertifikate in der Originaldatei Dateien für jedes Zwischenzertifikat in der Reihenfolge, in der sie in der Datei erscheinen. Behalten Sie (unter Verwendung entsprechender Dateinamen) die Reihenfolge, in der die Zertifikate erscheinen, im Auge, da sie in einem späteren Schritt in der richtigen Reihenfolge miteinander verknüpft werden müssen.
-
Kopieren Sie die Zertifikatschlüsseldatei (cert-key.pem) und alle zusätzlichen Zertifizierungsstellen-Zertifikatdateien in das Verzeichnis /nsconfig/ssl auf der NetScaler-Appliance.
-
Beenden Sie die BSD-Shell und greifen Sie auf die NetScaler-Eingabeaufforderung zu.
-
Folgen Sie den Schritten unter “Installieren Sie die Zertifikatschlüsseldateien auf der Appliance”, um den Schlüssel/das Zertifikat nach dem Hochladen auf das Gerät zu installieren.
Wie konvertiere ich das PKCS #7 -Zertifikat und installiere es auf der NetScaler-Appliance?
Sie können OpenSSL verwenden, um ein PKCS #7 -Zertifikat in ein Format zu konvertieren, das von der NetScaler-Appliance erkennbar ist. Die Prozedur ist identisch mit der Prozedur für PKCS #12 -Zertifikate, außer dass Sie OpenSSL mit verschiedenen Parametern aufrufen. Die Schritte zum Konvertieren von PKCS #7 -Zertifikaten lauten wie folgt:
-
Kopieren Sie das Zertifikat mithilfe eines sicheren Kopierdienstprogramms wie SCP auf die Appliance.
-
Konvertieren Sie das Zertifikat (z. B. cert.P7B) in das PEM-Format:
openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem <!--NeedCopy-->
-
Folgen Sie den Schritten 3 bis 7, wie in der Antwort für PKCS #12 -Zertifikate beschrieben. Hinweis: Bevor Sie das konvertierte PKCS #7 -Zertifikat auf die Appliance laden, überprüfen Sie, ob es einen privaten Schlüssel enthält, genau wie in Schritt 3 für die PKCS #12 -Prozedur beschrieben. PKCS #7 -Zertifikate, insbesondere die aus IIS exportierten Zertifikate, enthalten normalerweise keinen privaten Schlüssel.
Wenn ich eine Chiffre mithilfe des Befehls bind cipher an einen virtuellen Server oder Dienst binde, sehe ich die Fehlermeldung “Befehl veraltet. “?
Der Befehl zum Binden einer Chiffre an einen virtuellen Server oder Dienst hat sich geändert.
Binden Sie eine SSL-Chiffre mit dem Befehl bind ssl vserver <vsername> -ciphername <ciphername>
an einen virtuellen SSL-Server.
Verwenden Sie den Befehl bind ssl service <serviceName> -ciphername <ciphername>
, um eine SSL-Chiffre an einen SSL-Dienst zu binden.
Hinweis: Neue Chiffren und Chiffriergruppen werden zur vorhandenen Liste hinzugefügt und nicht ersetzt.
Warum kann ich keine Chiffriergruppe erstellen und Chiffren mithilfe des Befehls add cipher daran binden?
Die Funktionalität des Befehls “chiffre hinzufügen” hat sich in Release 10 geändert. Der Befehl erstellt nur eine Chiffriergruppe. Um der Gruppe Chiffren hinzuzufügen, verwenden Sie den Befehl bind cipher.
OpenSSL
Wie verwende ich OpenSSL, um Zertifikate zwischen PEM und DER zu konvertieren?
Um OpenSSL verwenden zu können, müssen Sie eine funktionierende Installation der OpenSSL-Software haben und OpenSSL von der Befehlszeile aus ausführen können.
x509-Zertifikate und RSA-Schlüssel können in verschiedenen Formaten gespeichert werden.
Zwei gängige Formate sind:
- DER (ein Binärformat, das hauptsächlich von Java- und Macintosh-Plattformen verwendet wird)
- PEM (eine base64-Darstellung von DER mit Kopf- und Fußzeileninformationen, die hauptsächlich von UNIX- und Linux-Plattformen verwendet wird).
Ein Schlüssel und das entsprechende Zertifikat können zusätzlich zum Root- und Zwischenzertifikaten auch in einer einzigen PKCS #12 (.P12, .PFX) -Datei gespeichert werden.
Prozedur
Verwenden Sie den OpenSSL-Befehl, um wie folgt zwischen Formaten zu konvertieren:
-
So konvertieren Sie ein Zertifikat von PEM in DER:
x509 -in input.crt -inform PEM -out output.crt -outform DER <!--NeedCopy-->
-
So konvertieren Sie ein Zertifikat von DER in PEM:
x509 -in input.crt -inform DER -out output.crt -outform PEM <!--NeedCopy-->
-
So konvertieren Sie einen Schlüssel von PEM in DER:
rsa -in input.key -inform PEM -out output.key -outform DER <!--NeedCopy-->
-
So konvertieren Sie einen Schlüssel von DER in PEM:
rsa -in input.key -inform DER -out output.key -outform PEM <!--NeedCopy-->
Hinweis: Wenn der Schlüssel, den Sie importieren, mit einer unterstützten symmetrischen Verschlüsselung verschlüsselt ist, werden Sie aufgefordert, die Passphrase einzugeben.
Hinweis: Um einen Schlüssel in oder aus dem veralteten NET-Format (Netscape-Server) zu konvertieren, ersetzen Sie NET gegebenenfalls durch PEM oder DER. Der gespeicherte Schlüssel ist in einer schwachen, ungesalzenen symmetrischen RC4-Verschlüsselung verschlüsselt, sodass eine Passphrase angefordert wird. Eine leere Passphrase ist zulässig.
Grenzwerte des Systems
Welche wichtigen Zahlen sollten Sie sich merken?
-
Zertifikatanforderung erstellen:
- Dateiname anfordern: Maximal 63 Zeichen
- Name der Schlüsseldatei: Maximal 63 Zeichen
- PEM-Passphrase (für verschlüsselten Schlüssel): Maximal 31 Zeichen
- Allgemeiner Name: Maximal 63 Zeichen
- Stadt: Maximal 127 Zeichen
- Name der Organisation: Maximal 63 Zeichen
- Bundesland/Provinz Name: Maximal 63 Zeichen
- E-Mail-Adresse: Maximal 255 Zeichen
- Organisationseinheit: Maximal 63 Zeichen
- Challenge Password: Maximal 20 Zeichen
- Firmenname: Maximal 127 Zeichen
-
Zertifikat erstellen:
- Dateiname des Zertifikats: Maximal 63 Zeichen
- Dateiname der Zertifikatanforderung: Maximal 63 Zeichen
- Name der Schlüsseldatei: Maximal 63 Zeichen
- PEM-Passphrase: Maximal 31 Zeichen
- Gültigkeitszeitraum: Maximal 3650 Tage
- Dateiname des CA-Zertifikats: Maximal 63 Zeichen
- Name der CA-Schlüsseldatei: Maximal 63 Zeichen
- PEM-Passphrase: Maximal 31 Zeichen
- CA-Seriennummerndatei: Maximal 63 Zeichen
-
Erstellen und installieren Sie ein Server-Testzertifikat:
- Dateiname des Zertifikats: Maximal 31 Zeichen
- Vollqualifizierter Domainname: Maximal 63 Zeichen
- Erstellen Sie Diffie-Hellman (DH) Schlüssel:
- DH-Dateiname (mit Pfad): Maximal 63 Zeichen
- DH-Parametergröße: Maximal 2048 Bit
-
PKCS12-Schlüssel importieren:
- Ausgabedateiname: Maximal 63 Zeichen
- PKCS12 Dateiname: Maximal 63 Zeichen
- Kennwort importieren: Maximal 31 Zeichen
- PEM-Passphrase: Maximal 31 Zeichen
- Überprüfen der PEM-Passphrase: Maximal 31 Zeichen
- Exportieren PKCS12
- PKCS12 Dateiname: Maximal 63 Zeichen
- Dateiname des Zertifikats: Maximal 63 Zeichen
- Name der Schlüsseldatei: Maximal 63 Zeichen
- Kennwort exportieren: Maximal 31 Zeichen
- PEM-Passphrase: Maximal 31 Zeichen
- CRL-Verwaltung:
- Dateiname des CA-Zertifikats: Maximal 63 Zeichen
- Name der CA-Schlüsseldatei: Maximal 63 Zeichen
- CA-Schlüsseldatei-Kennwort: Maximal 31 Zeichen
- Indexdateiname: Maximal 63 Zeichen
- Dateiname des Zertifikats: Maximal 63 Zeichen
- RSA-Schlüssel erstellen:
- Name der Schlüsseldatei: Maximal 63 Zeichen
- Schlüsselgröße: Maximal 4096 Bit
- PEM-Passphrase: Maximal 31 Zeichen
- Passphrase überprüfen: Maximal 31 Zeichen
- Ändern Sie erweiterte SSL-Einstellungen:
- Maximale CRL-Speichergröße: Maximal 1024 Mbyte
- Timeout für Verschlüsselungsauslöser (10 mS-Ticks): Maximal 200
- Paketanzahl der Verschlüsselung: Maximal 50
- OCSP-Cachegröße: Maximal 512 Mbyte
- Zertifikat installieren:
- Name des Zertifikatschlüsselpaars: Maximal 31 Zeichen
- Dateiname des Zertifikats: Maximal 63 Zeichen
- Dateiname des privaten Schlüssels: Maximal 63 Zeichen
- Kennwort: Maximal 31 Zeichen
- Benachrichtigungszeitraum: Maximal 100
- Chiffriergruppe erstellen:
- Name der Chiffriergruppe: Maximal 39 Zeichen
- CRL erstellen:
- CRL-Name: Maximal 31 Zeichen
- CRL-Datei: Maximal 63 Zeichen
- URL: Maximal 127 Zeichen
- Basis-DN: Maximal 127 Zeichen
- Bind DN: Maximal 127 Zeichen
- Kennwort: Maximal 31 Zeichen
- Tage: Maximal 31
- Erstellen Sie SSL-Richtlinie:
- Name: Maximal 127 Zeichen
- SSL-Aktion erstellen:
- Name: Maximal 127 Zeichen
- Erstellen Sie OCSP-Responder:
- Name: Maximal 32 Zeichen
- URL: Maximal 128 Zeichen
- Batchtiefe: Maximal 8
- Batching-Verzögerung: Maximal 10000
- Produziert bei Time Skew: Maximal 86400
- Timeout anfordern: Maximum120000
- Virtuellen Server erstellen:
- Name: Maximal 127 Zeichen
- Umleitungs-URL: Maximal 127 Zeichen
- Client-Timeout: Maximal 31536000 Sekunden
- Service erstellen:
- Name: Maximal 127 Zeichen
- Timeout im Leerlauf (Sekunden): Client: Maximal 31536000 Server: Maximal 31536000
- Dienstgruppe erstellen:
- Dienstgruppenname: Maximal 127 Zeichen
- Server-ID: Maximal 4294967295
- Timeout im Leerlauf (Sekunden): Client: Maximalwert 31536000 Server: Maximal 31536000
- Monitor erstellen:
- Name: Maximal 31 Zeichen
- Server erstellen:
- Servername: Maximal 127 Zeichen
- Domainname: Maximal 255 Zeichen
- Wiederholung auflösen: Maximal 20939 Sekunden