Serverauthentifizierung
Da die Citrix ADC Appliance SSL-Offload und -Beschleunigung im Auftrag eines Webservers durchführt, authentifiziert die Appliance das Zertifikat des Webservers normalerweise nicht. Sie können den Server jedoch in Bereitstellungen authentifizieren, die eine End-to-End-SSL-Verschlüsselung erfordern.
In einer solchen Situation wird die Appliance zum SSL-Client und führt eine sichere Transaktion mit dem SSL-Server durch. Es wird überprüft, ob eine CA, deren Zertifikat an den SSL-Dienst gebunden ist, das Serverzertifikat signiert hat, und prüft die Gültigkeit des Serverzertifikats.
Um den Server zu authentifizieren, aktivieren Sie die Serverauthentifizierung und binden Sie das Zertifikat der CA, die das Zertifikat des Servers signiert hat, an den SSL-Dienst auf der ADC-Appliance. Beim Binden des Zertifikats müssen Sie die Option “Bindung als CA” angeben.
Aktivieren (oder Deaktivieren) der Serverzertifikatsauthentifizierung
Sie können die CLI und die GUI verwenden, um die Serverzertifikatsauthentifizierung zu aktivieren und zu deaktivieren.
Aktivieren (oder deaktivieren) der Serverzertifikatsauthentifizierung mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Serverzertifikatsauthentifizierung zu aktivieren und die Konfiguration zu überprüfen:
set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>
<!--NeedCopy-->
Beispiel:
set ssl service ssl-service-1 -serverAuth ENABLED
<!--NeedCopy-->
show ssl service ssl-service-1
Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Aktivieren (oder deaktivieren) der Serverzertifikatsauthentifizierung mit der GUI
- Navigieren Sie zu Traffic Management > Load Balancing > Services, und öffnen Sie einen SSL-Dienst.
- Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivieren aus, und geben Sie einen allgemeinen Namen an.
- Wählen Sie unter Erweiterte Einstellungen Zertifikate aus, und binden Sie ein Zertifizierungsstellenzertifikat an den Dienst.
Binden des Zertifizierungsstellenzertifikats an den Dienst mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um das Zertifizierungsstellenzertifikat an den Dienst zu binden und die Konfiguration zu überprüfen:
bind ssl service <serviceName> -certkeyName <string> -CA
show ssl service <serviceName>
<!--NeedCopy-->
Beispiel:
bind ssl service ssl-service-1 -certkeyName samplecertkey -CA
<!--NeedCopy-->
show ssl service ssl-service-1
Advanced SSL configuration for Back-end SSL Service ssl-service-1:
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: samplecertkey CA Certificate CRLCheck: Optional
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Konfigurieren eines allgemeinen Namens für die Serverzertifikatauthentifizierung
Bei der End-to-End-Verschlüsselung mit aktivierter Serverauthentifizierung können Sie einen gemeinsamen Namen in die Konfiguration eines SSL-Dienstes oder einer Dienstgruppe aufnehmen. Der angegebene Name wird während eines SSL-Handshakes mit dem allgemeinen Namen im Serverzertifikat verglichen. Wenn die beiden Namen übereinstimmen, ist der Handshake erfolgreich. Wenn die allgemeinen Namen nicht übereinstimmen, wird der für den Dienst oder die Dienstgruppe angegebene allgemeine Name mit den Werten im Feld Subject Alternative Name (SAN) im Zertifikat verglichen. Wenn er einem dieser Werte entspricht, ist der Handshake erfolgreich. Diese Konfiguration ist besonders nützlich, wenn sich beispielsweise zwei Server hinter einer Firewall befinden und einer der Server die Identität des anderen hinterlässt. Wenn der allgemeine Name nicht aktiviert ist, wird ein von beiden Servern vorgestelltes Zertifikat akzeptiert, wenn die IP-Adresse übereinstimmt.
Hinweis: Im SAN-Feld werden nur Domänenname, URL und E-Mail-ID DNS-Einträge verglichen.
Konfigurieren der Überprüfung gemeinsamem Namen für einen SSL-Dienst oder eine Dienstgruppe mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Serverauthentifizierung mit der Überprüfung des gemeinsamen Namens anzugeben und die Konfiguration zu überprüfen:
-
Um einen allgemeinen Namen in einem Dienst zu konfigurieren, geben Sie Folgendes ein:
set ssl service <serviceName> -commonName <string> -serverAuth ENABLED show ssl service <serviceName> <!--NeedCopy-->
-
Um einen allgemeinen Namen in einer Dienstgruppe zu konfigurieren, geben Sie Folgendes ein:
set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED show ssl serviceGroup <serviceGroupName> <!--NeedCopy-->
Beispiel:
> set ssl service svc1 -commonName xyz.com -serverAuth ENABLED
<!--NeedCopy-->
show ssl service svc
Advanced SSL configuration for Back-end SSL Service svc1:
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED Common Name: www.xyz.com
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Konfigurieren der Überprüfung gemeinsamem Namen für einen SSL-Dienst oder eine Dienstgruppe mit der GUI
- Navigieren Sie zu Traffic Management > Load Balancing > Services, oder navigieren Sie zu Traffic Management > Load Balancing > Dienstgruppen, und öffnen Sie einen Dienst oder eine Dienstgruppe.
- Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivieren aus, und geben Sie einen allgemeinen Namen an.