Serverauthentifizierung
Da die NetScaler Appliance SSL-Offload und -Beschleunigung im Namen eines Webservers durchführt, authentifiziert die Appliance normalerweise nicht das Zertifikat des Webservers. Sie können den Server jedoch in Bereitstellungen authentifizieren, die eine End-to-End-SSL-Verschlüsselung erfordern.
In einer solchen Situation wird die Appliance zum SSL-Client und führt eine sichere Transaktion mit dem SSL-Server durch. Es überprüft, ob eine CA, deren Zertifikat an den SSL-Dienst gebunden ist, das Serverzertifikat signiert hat, und überprüft die Gültigkeit des Serverzertifikats.
Um den Server zu authentifizieren, aktivieren Sie die Serverauthentifizierung und binden Sie das Zertifikat der Zertifizierungsstelle, die das Serverzertifikat signiert hat, an den SSL-Dienst auf der ADC-Appliance. Beim Binden des Zertifikats müssen Sie die Bindung als CA-Option angeben.
Ab Version 13.1 Build 42.x unterstützt die NetScaler Appliance die Validierung signaturübergreifender Zertifikate. Das heißt, wenn ein Zertifikat von mehreren Ausstellern signiert wurde, ist die Überprüfung erfolgreich, wenn mindestens ein gültiger Pfad zum Stammzertifikat vorhanden ist. Wenn eines der Zertifikate in der Zertifikatskette quersigniert war und mehrere Pfade zum Stammzertifikat hatte, suchte die ADC-Appliance früher nur nach einem Pfad. Und wenn dieser Pfad nicht gültig war, schlug die Überprüfung fehl.
Serverzertifikatauthentifizierung aktivieren (oder deaktivieren)
Sie können die CLI und die GUI verwenden, um die Serverzertifikatauthentifizierung zu aktivieren und zu deaktivieren.
Aktivieren (oder deaktivieren) Sie die Serverzertifikatauthentifizierung mit der CLI
Geben Sie an der Befehlszeile die folgenden Befehle ein, um die Serverzertifikatsauthentifizierung zu aktivieren und die Konfiguration zu überprüfen:
set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>
<!--NeedCopy-->
Beispiel:
set ssl service ssl-service-1 -serverAuth ENABLED
show ssl service ssl-service-1
Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Aktivieren (oder deaktivieren) Sie die Serverzertifikatauthentifizierung mithilfe der GUI
- Navigieren Sie zu Traffic Management > Load Balancing > Servicesund öffnen Sie einen SSL-Dienst.
- Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivieren aus und geben Sie einen allgemeinen Namen an.
- Wählen Sie unter Erweiterte Einstellungen die Option Zertifikate aus und binden Sie ein CA-Zertifikat an den Dienst.
Binden Sie das CA-Zertifikat mithilfe der CLI an den Dienst
Geben Sie an der Befehlszeile die folgenden Befehle ein, um das CA-Zertifikat an den Dienst zu binden und die Konfiguration zu überprüfen:
bind ssl service <serviceName> -certkeyName <string> -CA
show ssl service <serviceName>
<!--NeedCopy-->
Beispiel:
bind ssl service ssl-service-1 -certkeyName samplecertkey -CA
show ssl service ssl-service-1
Advanced SSL configuration for Back-end SSL Service ssl-service-1:
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: samplecertkey CA Certificate CRLCheck: Optional
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Konfigurieren Sie einen allgemeinen Namen für die Serverzertifikatauthentifizierung
Bei der Ende-zu-Ende-Verschlüsselung mit aktivierter Serverauthentifizierung können Sie einen allgemeinen Namen in die Konfiguration eines SSL-Dienstes oder einer Dienstgruppe aufnehmen. Der von Ihnen angegebene Name wird während eines SSL-Handshakes mit dem allgemeinen Namen im Serverzertifikat verglichen. Stimmen die beiden Namen überein, ist der Handshake erfolgreich. Wenn die allgemeinen Namen nicht übereinstimmen, wird der für den Dienst oder die Dienstgruppe angegebene allgemeine Name mit den Werten im Feld Subject Alternative Name (SAN) im Zertifikat verglichen. Wenn es mit einem dieser Werte übereinstimmt, ist der Handshake erfolgreich. Diese Konfiguration ist besonders nützlich, wenn sich beispielsweise zwei Server hinter einer Firewall befinden und einer der Server die Identität des anderen vortäuscht. Wenn der allgemeine Name nicht aktiviert ist, wird ein von einem der Server vorgelegten Zertifikate akzeptiert, sofern die IP-Adresse übereinstimmt.
Hinweis: Nur die DNS-Einträge für Domainname, URL und E-Mail-ID im SAN-Feld werden verglichen.
Konfigurieren Sie die Überprüfung allgemeiner Namen für einen SSL-Dienst oder eine Dienstgruppe mithilfe der CLI
Geben Sie an der Befehlszeile die folgenden Befehle ein, um die Serverauthentifizierung mit Common-Name-Verifizierung festzulegen und die Konfiguration zu überprüfen:
-
Um einen allgemeinen Namen in einem Dienst zu konfigurieren, geben Sie Folgendes ein:
set ssl service <serviceName> -commonName <string> -serverAuth ENABLED show ssl service <serviceName> <!--NeedCopy-->
-
Um einen allgemeinen Namen in einer Dienstgruppe zu konfigurieren, geben Sie Folgendes ein:
set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED show ssl serviceGroup <serviceGroupName> <!--NeedCopy-->
Beispiel:
set ssl service svc1 -commonName xyz.com -serverAuth ENABLED
show ssl service svc
Advanced SSL configuration for Back-end SSL Service svc1:
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED Common Name: www.xyz.com
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Konfigurieren Sie die Überprüfung allgemeiner Namen für einen SSL-Dienst oder eine Dienstgruppe mithilfe der GUI
- Navigieren Sie zu Traffic Management > Load Balancing > Services oder navigieren Sie zu Traffic Management > Load Balancing > Service Groupsund öffnen Sie einen Dienst oder eine Dienstgruppe.
- Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivierenaus und geben Sie einen allgemeinen Namen an.