ADC

Serverauthentifizierung

Da die NetScaler Appliance SSL-Offload und -Beschleunigung im Namen eines Webservers durchführt, authentifiziert die Appliance normalerweise nicht das Zertifikat des Webservers. Sie können den Server jedoch in Bereitstellungen authentifizieren, die eine End-to-End-SSL-Verschlüsselung erfordern.

In einer solchen Situation wird die Appliance zum SSL-Client und führt eine sichere Transaktion mit dem SSL-Server durch. Es überprüft, ob eine CA, deren Zertifikat an den SSL-Dienst gebunden ist, das Serverzertifikat signiert hat, und überprüft die Gültigkeit des Serverzertifikats.

Um den Server zu authentifizieren, aktivieren Sie die Serverauthentifizierung und binden Sie das Zertifikat der Zertifizierungsstelle, die das Serverzertifikat signiert hat, an den SSL-Dienst auf der ADC-Appliance. Beim Binden des Zertifikats müssen Sie die Bindung als CA-Option angeben.

Ab Version 13.1 Build 42.x unterstützt die NetScaler Appliance die Validierung signaturübergreifender Zertifikate. Das heißt, wenn ein Zertifikat von mehreren Ausstellern signiert wurde, ist die Überprüfung erfolgreich, wenn mindestens ein gültiger Pfad zum Stammzertifikat vorhanden ist. Wenn eines der Zertifikate in der Zertifikatskette quersigniert war und mehrere Pfade zum Stammzertifikat hatte, suchte die ADC-Appliance früher nur nach einem Pfad. Und wenn dieser Pfad nicht gültig war, schlug die Überprüfung fehl.

Serverzertifikatauthentifizierung aktivieren (oder deaktivieren)

Sie können die CLI und die GUI verwenden, um die Serverzertifikatauthentifizierung zu aktivieren und zu deaktivieren.

Aktivieren (oder deaktivieren) Sie die Serverzertifikatauthentifizierung mit der CLI

Geben Sie an der Befehlszeile die folgenden Befehle ein, um die Serverzertifikatsauthentifizierung zu aktivieren und die Konfiguration zu überprüfen:

set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>
<!--NeedCopy-->

Beispiel:

set ssl service ssl-service-1 -serverAuth ENABLED

show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Aktivieren (oder deaktivieren) Sie die Serverzertifikatauthentifizierung mithilfe der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Servicesund öffnen Sie einen SSL-Dienst.
  2. Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivieren aus und geben Sie einen allgemeinen Namen an.
  3. Wählen Sie unter Erweiterte Einstellungen die Option Zertifikate aus und binden Sie ein CA-Zertifikat an den Dienst.

Binden Sie das CA-Zertifikat mithilfe der CLI an den Dienst

Geben Sie an der Befehlszeile die folgenden Befehle ein, um das CA-Zertifikat an den Dienst zu binden und die Konfiguration zu überprüfen:

bind ssl service <serviceName> -certkeyName <string> -CA

show ssl service <serviceName>
<!--NeedCopy-->

Beispiel:

bind ssl service ssl-service-1 -certkeyName samplecertkey -CA

show ssl service ssl-service-1

            Advanced SSL configuration for Back-end SSL Service ssl-service-1:
            DH: DISABLED
            Ephemeral RSA: DISABLED
            Session Reuse: ENABLED          Timeout: 300 seconds
            Cipher Redirect: DISABLED
            SSLv2 Redirect: DISABLED
            Server Auth: ENABLED
            SSL Redirect: DISABLED
            Non FIPS Ciphers: DISABLED
            SSLv2: DISABLED SSLv3: ENABLED  TLSv1: ENABLED
    1)      CertKey Name: samplecertkey     CA Certificate          CRLCheck: Optional
    1)      Cipher Name: ALL
            Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Konfigurieren Sie einen allgemeinen Namen für die Serverzertifikatauthentifizierung

Bei der Ende-zu-Ende-Verschlüsselung mit aktivierter Serverauthentifizierung können Sie einen allgemeinen Namen in die Konfiguration eines SSL-Dienstes oder einer Dienstgruppe aufnehmen. Der von Ihnen angegebene Name wird während eines SSL-Handshakes mit dem allgemeinen Namen im Serverzertifikat verglichen. Stimmen die beiden Namen überein, ist der Handshake erfolgreich. Wenn die allgemeinen Namen nicht übereinstimmen, wird der für den Dienst oder die Dienstgruppe angegebene allgemeine Name mit den Werten im Feld Subject Alternative Name (SAN) im Zertifikat verglichen. Wenn es mit einem dieser Werte übereinstimmt, ist der Handshake erfolgreich. Diese Konfiguration ist besonders nützlich, wenn sich beispielsweise zwei Server hinter einer Firewall befinden und einer der Server die Identität des anderen vortäuscht. Wenn der allgemeine Name nicht aktiviert ist, wird ein von einem der Server vorgelegten Zertifikate akzeptiert, sofern die IP-Adresse übereinstimmt.

Hinweis: Nur die DNS-Einträge für Domainname, URL und E-Mail-ID im SAN-Feld werden verglichen.

Konfigurieren Sie die Überprüfung allgemeiner Namen für einen SSL-Dienst oder eine Dienstgruppe mithilfe der CLI

Geben Sie an der Befehlszeile die folgenden Befehle ein, um die Serverauthentifizierung mit Common-Name-Verifizierung festzulegen und die Konfiguration zu überprüfen:

  1. Um einen allgemeinen Namen in einem Dienst zu konfigurieren, geben Sie Folgendes ein:

    set ssl service <serviceName> -commonName <string> -serverAuth ENABLED
    show ssl service <serviceName>
    <!--NeedCopy-->
    
  2. Um einen allgemeinen Namen in einer Dienstgruppe zu konfigurieren, geben Sie Folgendes ein:

    set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED
    show ssl serviceGroup <serviceGroupName>
    <!--NeedCopy-->
    

Beispiel:

set ssl service svc1 -commonName xyz.com -serverAuth ENABLED

show ssl service svc

     Advanced SSL configuration for Back-end SSL Service svc1:
     DH: DISABLED
     Ephemeral RSA: DISABLED
     Session Reuse: ENABLED Timeout: 300 seconds
     Cipher Redirect: DISABLED
     SSLv2 Redirect: DISABLED
     Server Auth: ENABLED Common Name: www.xyz.com
     SSL Redirect: DISABLED
     Non FIPS Ciphers: DISABLED
     SNI: DISABLED
     SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
    1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
    1) Cipher Name: ALL
     Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Konfigurieren Sie die Überprüfung allgemeiner Namen für einen SSL-Dienst oder eine Dienstgruppe mithilfe der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Services oder navigieren Sie zu Traffic Management > Load Balancing > Service Groupsund öffnen Sie einen Dienst oder eine Dienstgruppe.
  2. Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivierenaus und geben Sie einen allgemeinen Namen an.
Serverauthentifizierung