ADC

Zertifikatsperrlisten

Ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bleibt in der Regel bis zum Ablaufdatum gültig. Unter bestimmten Umständen kann die Zertifizierungsstelle das ausgestellte Zertifikat jedoch vor dem Ablaufdatum widerrufen. Wenn beispielsweise der private Schlüssel eines Eigentümers kompromittiert wird, ändert sich der Name eines Unternehmens oder einer Person oder die Verknüpfung zwischen dem Subjekt und der Zertifizierungsstelle.

Eine Zertifikatsperrliste (Certificate Revocation List, CRL) identifiziert ungültige Zertifikate anhand der Seriennummer und des Ausstellers.

Zertifizierungsstellen stellen regelmäßig Zertifikatsperrlisten aus. Sie können die Citrix ADC Appliance so konfigurieren, dass eine Zertifikatsperrliste verwendet wird, um Clientanforderungen zu blockieren, die ungültige Zertifikate enthalten.

Wenn Sie bereits eine CRL-Datei von einer Zertifizierungsstelle haben, fügen Sie diese der Citrix ADC Appliance hinzu. Sie können Aktualisierungsoptionen konfigurieren. Sie können Citrix ADC auch so konfigurieren, dass die CRL-Datei automatisch in einem bestimmten Intervall von einem Webspeicherort oder einem LDAP-Standort aus synchronisiert wird. Die Appliance unterstützt CRLs im PEM- oder DER-Dateiformat. Stellen Sie sicher, dass Sie das Dateiformat der CRL-Datei angeben, die der Citrix ADC Appliance hinzugefügt wird.

Wenn Sie den ADC als Zertifizierungsstelle verwendet haben, um Zertifikate zu erstellen, die in SSL-Bereitstellungen verwendet werden, können Sie auch eine CRL erstellen, um ein bestimmtes Zertifikat zu widerrufen. Diese Funktion kann beispielsweise verwendet werden, um sicherzustellen, dass selbstsignierte Zertifikate, die auf dem Citrix ADC erstellt werden, weder in einer Produktionsumgebung noch über ein bestimmtes Datum hinaus verwendet werden.

Hinweis:

Standardmäßig werden Zertifikatsperrlisten im Verzeichnis /var/netscaler/ssl auf der Citrix ADC Appliance gespeichert.

Erstellen einer CRL auf der ADC-Appliance

Da Sie die ADC-Appliance verwenden können, um als Zertifizierungsstelle zu fungieren und selbstsignierte Zertifikate zu erstellen, können Sie auch die folgenden Zertifikate widerrufen:

  • Zertifikate, die Sie erstellt haben.
  • Zertifikate, deren CA-Zertifikat Sie besitzen.

Die Appliance muss ungültige Zertifikate widerrufen, bevor eine Zertifikatsperrliste für diese Zertifikate erstellt wird. Die Appliance speichert die Seriennummern der gesperrten Zertifikate in einer Indexdatei und aktualisiert die Datei jedes Mal, wenn sie ein Zertifikat widerruft. Die Indexdatei wird automatisch erstellt, wenn ein Zertifikat zum ersten Mal gesperrt wird.

Widerrufen eines Zertifikats oder Erstellen einer Zertifikatsperrliste mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

create ssl crl <CAcertFile> <CAkeyFile> <indexFile> (-revoke <input_filename> | -genCRL <output_filename>)
<!--NeedCopy-->

Beispiel:

create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -revoke Invalid-1

create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -genCRL CRL-1
<!--NeedCopy-->

Widerrufen eines Zertifikats oder Erstellen einer Zertifikatsperrliste mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL, und wählen Sie in der Gruppe Erste Schritte die Option CRL-Verwaltung aus.
  2. Geben Sie die Zertifikatsdetails ein und wählen Sie in der Liste Operation auswählen die Option Zertifikat widerrufenoder CRL generierenaus.

Hinzufügen einer vorhandenen Zertifikatsperrliste zum ADC

Bevor Sie die Zertifikatsperrliste auf der Citrix ADC Appliance konfigurieren, stellen Sie sicher, dass die CRL-Datei lokal auf der Citrix ADC-Appliance gespeichert ist. In einem HA-Setup muss die CRL-Datei auf beiden ADC-Appliances vorhanden sein, und der Verzeichnispfad zur Datei muss auf beiden Appliances identisch sein.

Hinzufügen einer Zertifikatsperrliste auf dem Citrix ADC mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Zertifikatsperrliste auf dem Citrix ADC hinzuzufügen und die Konfiguration zu überprüfen:

add ssl crl <crlName> <crlPath> [-inform (DER | PEM)]

show ssl crl [<crlName>]
<!--NeedCopy-->

Beispiel:

> add ssl crl crl-one /var/netscaler/ssl/CRL-one -inform PEM

Done

> show ssl crl crl-one

            Name: crl-one   Status: Valid,  Days to expiration: 29
            CRL Path: /var/netscaler/ssl/CRL-one
            Format: PEM     CAcert: samplecertkey
            Refresh: DISABLED
            Version: 1
            Signature Algorithm: sha1WithRSAEncryption
            Issuer:  C=US,ST=California,L=Santa Clara,O=NetScaler Inc.,OU=SSL Acceleration,CN=www.ns.com/emailAddress=support@Citrix ADC appliance.com
            Last_update:Jun 15 10:53:53 2010 GMT
            Next_update:Jul 15 10:53:53 2010 GMT

    1)      Serial Number: 00
            Revocation Date:Jun 15 10:51:16 2010 GMT
     Done
<!--NeedCopy-->

Hinzufügen einer Zertifikatsperrliste auf dem Citrix ADC mit der GUI

Navigieren Sie zu Traffic Management > SSL > CRL, und fügen Sie eine CRL hinzu.

Konfigurieren von CRL-Aktualisierungsparametern

Eine Zertifikatsperrliste wird von einer Zertifizierungsstelle in regelmäßigen Abständen oder manchmal unmittelbar nach dem Widerruf eines bestimmten Zertifikats generiert und veröffentlicht. Citrix empfiehlt, die Zertifikatsperrlisten auf der Citrix ADC Appliance regelmäßig zu aktualisieren, um den Schutz vor Clients zu gewährleisten, die eine Verbindung mit ungültigen Zertifikaten herstellen möchten.

Die Citrix ADC Appliance kann Zertifikatsperrlisten von einem Webspeicherort oder einem LDAP-Verzeichnis aktualisieren. Wenn Sie Aktualisierungsparameter und einen Webspeicherort oder einen LDAP-Server angeben, muss die Zertifikatsperrliste zum Zeitpunkt der Ausführung des Befehls nicht auf der lokalen Festplatte vorhanden sein. Bei der ersten Aktualisierung wird eine Kopie auf dem lokalen Festplattenlaufwerk in dem durch den Parameter CRL-Datei angegebenen Pfad gespeichert. Der Standardpfad zum Speichern der Zertifikatsperrliste lautet /var/netscaler/ssl.

Hinweis: In Version 10.0 und höher ist die Methode zum Aktualisieren einer Zertifikatsperrliste standardmäßig nicht enthalten. Geben Sie eine HTTP- oder LDAP-Methode an. Wenn Sie ein Upgrade von einer früheren Version auf Version 10.0 oder höher durchführen, müssen Sie eine Methode hinzufügen und den Befehl erneut ausführen.

Konfigurieren der automatischen CRL-Aktualisierung mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um CRL Auto Refresh zu konfigurieren und die Konfiguration zu überprüfen:

set ssl crl <crlName> [-refresh ( ENABLED | DISABLED )] [-CAcert <string>] [-server <ip_addr|ipv6_addr|*> | -url <URL>] [-method ( HTTP | LDAP )] [-port <port>] [-baseDN <string>] [-scope ( Base | One )] [-interval <interval>] [-day <positive_integer>] [-time <HH:MM>][-bindDN <string>] {-password } [-binary ( YES | NO )]

show ssl crl [<crlName>]
<!--NeedCopy-->

Beispiel:

    set CRL crl1  -refresh enabled -method ldap -inform DER -CAcert ca1 -server 10.102.192.192 -port 389 -scope base -baseDN "cn=clnt_rsa4_multicert_der,ou=eng,o=ns,c=in" -time 00:01

    set ssl crl crl1 -refresh enabled -method http -cacert ca1 -port 80 -time 00:10 -url http://10.102.192.192/crl/ca1.crl


    > sh crl

    1)         Name: crl1        Status: Valid,     Days to expiration: 355
                CRL Path: /var/netscaler/ssl/crl1
                Format: PEM      CAcert: ca1
                Refresh: ENABLED          Method: HTTP
                URL: http://10.102.192.192/crl/ca1.crl                 Port:80
                Refresh Time: 00:10
                Last Update: Successful, Date:Tue Jul  6 14:38:13 2010
    Done
<!--NeedCopy-->

Konfigurieren der automatischen CRL-Aktualisierung mit LDAP oder HTTP mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > CRL.
  2. Öffnen Sie eine Zertifikatsperrliste, und wählen Sie Automatische Zertifikatsperrliste aktivieren.
Hinweis

Wenn die neue CRL vor der tatsächlichen Aktualisierungszeit im externen Repository aktualisiert wurde, wie im Feld Letzte Aktualisierungszeit der CRL angegeben, müssen Sie Folgendes tun: Aktualisieren Sie die CRL auf der Citrix ADC Appliance

sofort.

Um die letzte Aktualisierungszeit anzuzeigen, wählen Sie die Zertifikatsperrliste aus, und klicken Sie auf Details.

Synchronisieren von Zertifikatsperrlisten

Die Citrix ADC Appliance verwendet die zuletzt verteilte Zertifikatsperrliste, um zu verhindern, dass Clients mit gesperrten Zertifikaten auf sichere Ressourcen zugreifen.

Wenn Zertifikatsperrlisten häufig aktualisiert werden, benötigt die Citrix ADC Appliance einen automatisierten Mechanismus, um die neuesten Zertifikatsperrlisten aus dem Repository abzurufen. Sie können die Appliance so konfigurieren, dass Zertifikatsperrlisten automatisch in einem angegebenen Aktualisierungsintervall aktualisiert werden.

Die Appliance verwaltet eine interne Liste der Zertifikatsperrlisten, die in regelmäßigen Abständen aktualisiert werden müssen. In diesen festgelegten Intervallen durchsucht die Appliance die Liste nach CRLs, die aktualisiert werden müssen. Es stellt dann eine Verbindung mit dem Remote-LDAP-Server oder HTTP-Server her, ruft die neuesten CRLs ab und aktualisiert dann die lokale CRL-Liste mit den neuen CRLs.

Hinweis:

Wenn die CRL-Prüfung auf obligatorisch gesetzt ist, wenn das CA-Zertifikat an den virtuellen Server gebunden ist und die anfängliche CRL-Aktualisierung fehlschlägt, wird die folgende Aktion für Verbindungen ergriffen:

Alle Client-Authentifizierungsverbindungen mit demselben Aussteller wie die CRL werden bis zur CRL als REVOKED zurückgewiesen wird erfolgreich aktualisiert.

Sie können das Intervall angeben, in dem die CRL-Aktualisierung durchgeführt werden muss. Sie können auch die genaue Zeit angeben.

Synchronisieren der automatischen CRL-Aktualisierung mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

set ssl crl <crlName> [-interval <interval>] [-day <integer>] [-time <HH:MM>]
<!--NeedCopy-->

Beispiel:

set ssl crl CRL-1 -refresh ENABLE -interval MONTHLY -days 10 -time 12:00
<!--NeedCopy-->

Synchronisieren der CRL-Aktualisierung mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > CRL.
  2. Öffnen Sie eine Zertifikatsperrliste, wählen Sie Automatische Zertifikatsperrliste aktivieren und geben Sie das Intervall an.

Ausführen der Clientauthentifizierung mit einer Zertifikatsperrliste

Wenn eine Zertifikatsperrliste (Certificate Revocation List, CRL) auf einer Citrix ADC Appliance vorhanden ist, wird eine Zertifikatsperrlistenprüfung durchgeführt, unabhängig davon, ob die Zertifikatsperrlistenprüfung auf obligatorisch oder optional festgelegt ist.

Der Erfolg oder Misserfolg eines Handshake hängt von einer Kombination der folgenden Faktoren ab:

  • Regel für die CRL-Prüfung
  • Regel für die Clientzertifikatprüfung
  • Status der für das Zertifizierungsstellenzertifikat konfigurierten Zertifikatsperrliste

In der folgenden Tabelle sind die Ergebnisse der möglichen Kombinationen für einen Handshake mit einem gesperrten Zertifikat aufgeführt.

Tabelle 1. Ergebnis eines Handshake mit einem Client unter Verwendung eines gesperrten Zertifikats

Regel für die CRL-Prüfung Regel für die Clientzertifikatprüfung Status der für das Zertifizierungsstellenzertifikat konfigurierten Zertifikatsperrliste Ergebnis eines Handshake mit einem gesperrten Zertifikat
Optional Optional Fehlt Erfolg
Optional Erforderlich Fehlt Erfolg
Optional Erforderlich Vorhanden Fehler
Erforderlich Optional Fehlt Erfolg
Erforderlich Erforderlich Fehlt Fehler
Erforderlich Optional Vorhanden Erfolg
Erforderlich Erforderlich Vorhanden Fehler
Optional/Obligatorisch Optional Abgelaufen Erfolg
Optional/Obligatorisch Erforderlich Abgelaufen Fehler

Hinweis:

  • Die CRL-Prüfung ist standardmäßig optional. Um von optional zu obligatorisch oder umgekehrt zu wechseln, müssen Sie zuerst das Zertifikat vom virtuellen SSL-Server lösen und es dann nach dem Ändern der Option erneut binden.

  • In der Ausgabe des Befehls sh ssl vserver bedeutet OCSP check: optional, dass eine CRL-Prüfung ebenfalls optional ist. Die CRL-Prüfungseinstellungen werden in der Ausgabe des sh ssl vserver Befehls nur angezeigt, wenn die CRL-Prüfung auf obligatorisch gesetzt ist. Wenn die CRL-Prüfung auf optional gesetzt ist, werden die Details der CRL-Prüfung nicht angezeigt.

So konfigurieren Sie die CRL-Prüfung mit der CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

bind ssl vserver <vServerName> -certkeyName <string> [(-CA -crlCheck ( Mandatory | Optional ))]
sh ssl vserver
<!--NeedCopy-->

Beispiel:

bind ssl vs v1 -certkeyName ca -CA -crlCheck mandatory
> sh ssl vs v1

Advanced SSL configuration for VServer v1:

DH: DISABLED
DH Private-Key Exponent Size Limit: DISABLED
Ephemeral RSA: ENABLED Refresh Count: 0
Session Reuse: ENABLED Timeout: 120 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
ClearText Port: 0
Client Auth: ENABLED Client Cert Required: Mandatory
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
OCSP Stapling: DISABLED
HSTS: DISABLED
HSTS IncludeSubDomains: NO
HSTS Max-Age: 0
SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED
Push Encryption Trigger: Always
Send Close-Notify: YES

ECC Curve: P_256, P_384, P_224, P_521

1) CertKey Name: ca CA Certificate CRLCheck: Mandatory CA_Name Sent

1) Cipher Name: DEFAULT
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->

Konfigurieren der CRL-Prüfung mit der GUI

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und öffnen Sie einen virtuellen SSL-Server.
  2. Klicken Sie in den Abschnitt Zertifikate.
  3. Wählen Sie ein Zertifikat aus, und wählen Sie in der Liste OCSP und CRL Check die Option CRL Obligatorisch aus.

Ergebnis eines Handshakes mit einem gesperrten oder gültigen Zertifikat

Regel für die CRL-Prüfung Regel für die Clientzertifikatprüfung Status der für das Zertifizierungsstellenzertifikat konfigurierten Zertifikatsperrliste Ergebnis eines Handshakes mit einem gesperrten Zertifikat Ergebnis eines Handshakes mit gültigem Zertifikat
Erforderlich Erforderlich Vorhanden Fehler Erfolg
Erforderlich Erforderlich Abgelaufen Fehler Fehler
Erforderlich Erforderlich Fehlt Fehler Fehler
Erforderlich Erforderlich Nicht definiert Fehler Fehler
Optional Erforderlich Vorhanden Fehler Erfolg
Optional Erforderlich Abgelaufen Erfolg Erfolg
Optional Erforderlich Fehlt Erfolg Erfolg
Optional Erforderlich Nicht definiert Erfolg Erfolg
Erforderlich Optional Vorhanden Erfolg Erfolg
Erforderlich Optional Abgelaufen Erfolg Erfolg
Erforderlich Optional Fehlt Erfolg Erfolg
Erforderlich Optional Nicht definiert Erfolg Erfolg
Optional Optional Vorhanden Erfolg Erfolg
Optional Optional Abgelaufen Erfolg Erfolg
Optional Optional Fehlt Erfolg Erfolg
Optional Optional Nicht definiert Erfolg Erfolg