ADC
Danke für das Feedback

Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)

Zertifikate installieren, verknüpfen und aktualisieren

Informationen zum Installieren eines Zertifikats finden Sie unter Hinzufügen oder Aktualisieren eines Zertifikatschlüsselpaares.

Verknüpfen von Zertifikaten

Viele Serverzertifikate sind von mehreren hierarchischen Zertifizierungsstellen (CA) signiert, was bedeutet, dass die Zertifikate eine Kette wie die folgende bilden:

Zertifikat-Kette

Manchmal wird die Zwischenzertifizierungsstelle in ein primäres und ein sekundäres Zwischenzertifikat der Zertifizierungsstelle aufgeteilt Dann bilden die Zertifikate eine Kette wie folgt:

Zertifikat Kette 2

Clientcomputer enthalten normalerweise das Stammzertifizierungsstellenzertifikat in ihrem lokalen Zertifikatsspeicher, aber nicht ein oder mehrere zwischengeschaltete CA-Zertifikate. Die ADC-Appliance muss ein oder mehrere Zwischenzertifikate der Zertifizierungsstelle an die Clients senden.

Hinweis: Die Appliance darf das Stammzertifizierungsstellenzertifikat nicht an den Client senden. Für das Public Key Infrastructure (PKI) -Trust-Relationship-Modell müssen Root-CA-Zertifikate mithilfe einer Out-of-Band-Methode auf Clients installiert werden. Zum Beispiel sind die Zertifikate im Betriebssystem oder Webbrowser enthalten. Der Client ignoriert ein Stammzertifikat der Zertifizierungsstelle, das von der Appliance gesendet wurde.

Manchmal stellt eine zwischengeschaltete Zertifizierungsstelle, die Standardwebbrowser nicht als vertrauenswürdige Zertifizierungsstelle erkennen, das Serverzertifikat aus. In diesem Fall müssen ein oder mehrere CA-Zertifikate mit dem eigenen Zertifikat des Servers an den Client gesendet werden. Andernfalls beendet der Browser die SSL-Sitzung, da er das Serverzertifikat nicht authentifizieren kann.

Zwischenzertifikate

In den folgenden Abschnitten finden Sie Informationen zum Hinzufügen von Server- und Zwischenzertifikaten:

  • Manuelle Zertifikatsverknüpfung
  • Automatisiertes Verknüpfen von
  • Erstellen Sie eine Kette von Zertifikaten

So verknüpfen Sie ein zwischengeschaltetes Autoritätszertifikat

Manuelle Zertifikatsverknüpfung

Hinweis: Diese Funktion wird auf der Citrix ADC FIPS-Plattform und in einem Cluster-Setup nicht unterstützt.

Anstatt einzelne Zertifikate hinzuzufügen und zu verknüpfen, können Sie jetzt ein Serverzertifikat und bis zu neun Zwischenzertifikate in einer einzigen Datei gruppieren. Sie können den Namen der Datei angeben, wenn Sie ein Zertifikat-Schlüsselpaar hinzufügen. Bevor Sie dies tun, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind.

  • Die Zertifikate in der Datei haben die folgende Reihenfolge:
    • Serverzertifikat (muss das erste Zertifikat in der Datei sein)
    • Optional ein Serverschlüssel
    • Zwischenprodukt Zertifikat 1 (ic1)
    • Zwischenprodukt Zertifikat 2 (ic2)
    • Zwischenzertifikat 3 (ic3) usw. Hinweis: Zwischenzertifikatsdateien werden für jedes Zwischenzertifikat mit dem Namen “<certificatebundlename>.pem_ic < n>” erstellt, wobei n zwischen 1 und 9 liegt. Beispiel: bundle.pem_ic1, wobei Bundle der Name des Zertifikatssatzes und ic1 das erste Zwischenzertifikat im Satz ist.
  • Bundle-Option ist ausgewählt.
  • Die Datei enthält nicht mehr als neun Zwischenzertifikate.

Die Datei wird analysiert und das Serverzertifikat, die Zwischenzertifikate und der Serverschlüssel (falls vorhanden) werden identifiziert. Zunächst werden das Serverzertifikat und der Schlüssel hinzugefügt. Anschließend werden die Zwischenzertifikate in der Reihenfolge hinzugefügt, in der sie der Datei hinzugefügt wurden, und entsprechend verknüpft.

Ein Fehler wird gemeldet, wenn eine der folgenden Bedingungen zutrifft:

  • Eine Zertifikatsdatei für eines der Zwischenzertifikate ist auf der Appliance vorhanden.
  • Der Schlüssel wird in der Datei vor dem Serverzertifikat platziert.
  • Ein Zwischenzertifikat wird vor das Serverzertifikat gestellt.
  • Zwischenzertifikate werden nicht in derselben Reihenfolge in die Datei aufgenommen, in der sie erstellt wurden.
  • In der Datei sind keine Zertifikate enthalten.
  • Ein Zertifikat hat nicht das richtige PEM-Format.
  • Die Anzahl der Zwischenzertifikate in der Datei übersteigt neun.

Hinzufügen eines Zertifikatssatzes mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um einen Zertifikatssatz zu erstellen und die Konfiguration zu überprüfen:

add ssl certKey <certkeyName> -cert <string> -key <string> -bundle (YES | NO) show ssl show ssl certlink

Im folgenden Beispiel enthält der Zertifikatssatz (bundle.pem) die folgenden Dateien:

Serverzertifikat (Bundle) ist mit bundle_ic1 verknüpft

Erstes Zwischenzertifikat (bundle_ic1), das mit bundle_ic2 verknüpft ist

Zweites Zwischenzertifikat (bundle_ic2) mit bundle_ic3 verknüpft

Drittes Zwischenzertifikat (bundle_ic3)

add ssl certKey bundletest -cert bundle9.pem -key bundle9.pem -bundle yes sh ssl certkey 1) Name: ns-server-certificate Cert Path: ns-server.cert Key Path: ns-server.key Format: PEM Status: Valid, Days to expiration:5733 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Server Certificate Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=default OULLFT Validity Not Before: Apr 21 15:56:16 2016 GMT Not After : Mar 3 06:30:56 2032 GMT Subject: C=US,ST=California,L=San Jose,O=Citrix ANG,OU=NS Internal,CN=default OULLFT Public Key Algorithm: rsaEncryption Public Key size: 2048 2) Name: servercert Cert Path: complete/server/server_rsa_1024.pem Key Path: complete/server/server_rsa_1024.ky Format: PEM Status: Valid, Days to expiration:7150 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Server Certificate Version: 3 Serial Number: 1F Signature Algorithm: sha1WithRSAEncryption Issuer: C=IN,ST=KAR,O=Citrix R&D Pvt Ltd,CN=Citrix Validity Not Before: Sep 2 09:54:07 2008 GMT Not After : Jan 19 09:54:07 2036 GMT Subject: C=IN,ST=KAR,O=Citrix Pvt Ltd,CN=Citrix Public Key Algorithm: rsaEncryption Public Key size: 1024 3) Name: bundletest Cert Path: bundle9.pem Key Path: bundle9.pem Format: PEM Status: Valid, Days to expiration:3078 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Server Certificate Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=IN,ST=ka,O=sslteam,CN=ICA9 Validity Not Before: Nov 28 06:43:11 2014 GMT Not After : Nov 25 06:43:11 2024 GMT Subject: C=IN,ST=ka,O=sslteam,CN=Server9 Public Key Algorithm: rsaEncryption Public Key size: 2048 4) Name: bundletest_ic1 Cert Path: bundle9.pem_ic1 Format: PEM Status: Valid, Days to expiration:3078 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Intermediate CA Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=IN,ST=ka,O=sslteam,CN=ICA8 Validity Not Before: Nov 28 06:42:56 2014 GMT Not After : Nov 25 06:42:56 2024 GMT Subject: C=IN,ST=ka,O=sslteam,CN=ICA9 Public Key Algorithm: rsaEncryption Public Key size: 2048 5) Name: bundletest_ic2 Cert Path: bundle9.pem_ic2 Format: PEM Status: Valid, Days to expiration:3078 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Intermediate CA Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=IN,ST=ka,O=sslteam,CN=ICA7 Validity Not Before: Nov 28 06:42:55 2014 GMT Not After : Nov 25 06:42:55 2024 GMT Subject: C=IN,ST=ka,O=sslteam,CN=ICA8 Public Key Algorithm: rsaEncryption Public Key size: 2048 6) Name: bundletest_ic3 Cert Path: bundle9.pem_ic3 Format: PEM Status: Valid, Days to expiration:3078 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Intermediate CA Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=IN,ST=ka,O=sslteam,CN=ICA6 Validity Not Before: Nov 28 06:42:53 2014 GMT Not After : Nov 25 06:42:53 2024 GMT Subject: C=IN,ST=ka,O=sslteam,CN=ICA7 Public Key Algorithm: rsaEncryption Public Key size: 2048 7) Name: bundletest_ic4 Cert Path: bundle9.pem_ic4 Format: PEM Status: Valid, Days to expiration:3078 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Intermediate CA Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=IN,ST=ka,O=sslteam,CN=ICA5 Validity Not Before: Nov 28 06:42:51 2014 GMT Not After : Nov 25 06:42:51 2024 GMT Subject: C=IN,ST=ka,O=sslteam,CN=ICA6 Public Key Algorithm: rsaEncryption Public Key size: 2048 8) Name: bundletest_ic5 Cert Path: bundle9.pem_ic5 Format: PEM Status: Valid, Days to expiration:3078 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Intermediate CA Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=IN,ST=ka,O=sslteam,CN=ICA4 Validity Not Before: Nov 28 06:42:50 2014 GMT Not After : Nov 25 06:42:50 2024 GMT Subject: C=IN,ST=ka,O=sslteam,CN=ICA5 Public Key Algorithm: rsaEncryption Public Key size: 2048 9) Name: bundletest_ic6 Cert Path: bundle9.pem_ic6 Format: PEM Status: Valid, Days to expiration:3078 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Intermediate CA Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=IN,ST=ka,O=sslteam,CN=ICA3 Validity Not Before: Nov 28 06:42:48 2014 GMT Not After : Nov 25 06:42:48 2024 GMT Subject: C=IN,ST=ka,O=sslteam,CN=ICA4 Public Key Algorithm: rsaEncryption Public Key size: 2048 10) Name: bundletest_ic7 Cert Path: bundle9.pem_ic7 Format: PEM Status: Valid, Days to expiration:3078 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Intermediate CA Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=IN,ST=ka,O=sslteam,CN=ICA2 Validity Not Before: Nov 28 06:42:46 2014 GMT Not After : Nov 25 06:42:46 2024 GMT Subject: C=IN,ST=ka,O=sslteam,CN=ICA3 Public Key Algorithm: rsaEncryption Public Key size: 2048 11) Name: bundletest_ic8 Cert Path: bundle9.pem_ic8 Format: PEM Status: Valid, Days to expiration:3078 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Intermediate CA Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=IN,ST=ka,O=sslteam,CN=ICA1 Validity Not Before: Nov 28 06:42:45 2014 GMT Not After : Nov 25 06:42:45 2024 GMT Subject: C=IN,ST=ka,O=sslteam,CN=ICA2 Public Key Algorithm: rsaEncryption Public Key size: 2048 12) Name: bundletest_ic9 Cert Path: bundle9.pem_ic9 Format: PEM Status: Valid, Days to expiration:3078 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: Intermediate CA Version: 3 Serial Number: 01 Signature Algorithm: sha256WithRSAEncryption Issuer: C=IN,ST=ka,O=sslteam,CN=RootCA4096 Validity Not Before: Nov 28 06:42:43 2014 GMT Not After : Nov 25 06:42:43 2024 GMT Subject: C=IN,ST=ka,O=sslteam,CN=ICA1 Public Key Algorithm: rsaEncryption Public Key size: 2048 Done sh ssl certlink 1) Cert Name: bundletest CA Cert Name: bundletest_ic1 2) Cert Name: bundletest_ic1 CA Cert Name: bundletest_ic2 3) Cert Name: bundletest_ic2 CA Cert Name: bundletest_ic3 4) Cert Name: bundletest_ic3 CA Cert Name: bundletest_ic4 5) Cert Name: bundletest_ic4 CA Cert Name: bundletest_ic5 6) Cert Name: bundletest_ic5 CA Cert Name: bundletest_ic6 7) Cert Name: bundletest_ic6 CA Cert Name: bundletest_ic7 8) Cert Name: bundletest_ic7 CA Cert Name: bundletest_ic8 9) Cert Name: bundletest_ic8 CA Cert Name: bundletest_ic9 Done

Hinzufügen eines Zertifikatssatzes über die grafische Benutzeroberfläche

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate > CA-Zertifikate .
  2. Klicken Sie im Detailbereich auf Installieren.
  3. **Geben Sie im Dialogfeld **Zertifikat installieren die Details ein, z. B. das Zertifikat und den Namen der Schlüsseldatei, und wählen Sie dann Zertifikatpaket aus.
  4. Klicken Sie auf Installierenund dann auf Schließen.

Automatisiertes Verknüpfen von

Hinweis: Diese Funktion ist ab Version 13.0 Build 47.x verfügbar.

Sie müssen ein Zertifikat nicht mehr manuell mit seinem Aussteller bis zum Stammzertifikat verknüpfen. Wenn die Zwischenzertifikate der Zertifizierungsstelle und das Stammzertifikat auf der Appliance vorhanden sind, können Sie im Endbenutzerzertifikat auf die Schaltfläche Verknüpfen klicken.

Schaltfläche "Zertifikat verknüpfen"

Die potenzielle Kette erscheint.

Klicken Sie auf Zertifikat verknüpfen, um alle Zertifikate zu verknüpfen.

Erstellen Sie eine Kette von Zertifikaten

Anstatt eine Reihe von Zertifikaten (eine einzelne Datei) zu verwenden, können Sie eine Kette von Zertifikaten erstellen. Die Kette verknüpft das Serverzertifikat mit seinem Aussteller (der Zwischenzertifizierungsstelle). Dieser Ansatz erfordert, dass die Zwischenzertifikatsdatei der Zertifizierungsstelle auf der ADC-Appliance installiert ist und die Clientanwendung einem der Zertifikate in der Kette vertrauen muss. Verknüpfen Sie beispielsweise Cert-Intermediate-A mit Cert-Intermediate-B, wobei Cert-Intermediate-B mit Cert-Intermediate-C verknüpft ist, einem Zertifikat, dem die Clientanwendung vertraut.

Hinweis: Die Appliance unterstützt das Senden von maximal 10 Zertifikaten in der Kette der an den Client gesendeten Zertifikate (ein Serverzertifikat und neun CA-Zertifikate).

Erstellen einer Zertifikatkette mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Zertifikatkette zu erstellen und die Konfiguration zu überprüfen. (Wiederholen Sie den ersten Befehl für jedes neue Glied in der Kette.)

link ssl certkey <certKeyName> <linkCertKeyName> show ssl certlink

Beispiel:

link ssl certkey siteAcertkey CAcertkey Done show ssl certlink linked certificate: 1) Cert Name: siteAcertkey CA Cert Name: CAcertkey Done

Erstellen einer Zertifikatkette mit der GUI

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate.
  2. Wählen Sie ein Serverzertifikat aus, und wählen Sie in der Liste Aktion die Option Verknüpfenaus, und geben Sie einen CA-Zertifikatsnamen an.

Aktualisieren eines vorhandenen Serverzertifikats

Um ein vorhandenes Serverzertifikat manuell zu ändern, müssen Sie die folgenden Schritte ausführen:

  1. Trennen Sie das alte Zertifikat vom virtuellen Server.
  2. Entfernen Sie das Zertifikat aus der Appliance.
  3. Fügen Sie das neue Zertifikat der Appliance hinzu.
  4. Binden Sie das neue Zertifikat an den virtuellen Server.

Um Ausfallzeiten beim Ersetzen eines Zertifikatsschlüsselpaars zu reduzieren, können Sie ein vorhandenes Zertifikat aktualisieren. Wenn Sie ein Zertifikat durch ein Zertifikat ersetzen möchten, das für eine andere Domäne ausgestellt wurde, müssen Sie Domänenprüfungen vor dem Aktualisieren des Zertifikats deaktivieren.

Um Benachrichtigungen über ablaufende Zertifikate zu erhalten, können Sie die Ablaufüberwachung aktivieren.

Wenn Sie ein Zertifikat von einem konfigurierten virtuellen SSL-Server oder -Dienst entfernen oder die Bindung aufheben, wird der virtuelle Server oder Dienst inaktiv. Sie sind aktiv, nachdem ein neues gültiges Zertifikat an sie gebunden wurde. Um Ausfallzeiten zu reduzieren, können Sie die Aktualisierungsfunktion verwenden, um ein Zertifikatsschlüsselpaar zu ersetzen, das an einen virtuellen SSL-Server oder einen SSL-Dienst gebunden ist.

Übersichtsdiagramm zum Aktualisieren eines SSL-Zertifikats auf der Citrix ADC-Appliance.

Overview

So aktualisieren Sie ein vorhandenes Zertifikat

Aktualisieren eines vorhandenen Zertifikatschlüsselpaars mit der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um ein vorhandenes Zertifikatsschlüsselpaar zu aktualisieren und die Konfiguration zu überprüfen:

update ssl certkey <certkeyName> -cert <string> -key <string> show ssl certKey <certkeyName>

Beispiel:

update ssl certkey siteAcertkey -cert /nsconfig/ssl/cert.pem -key /nsconfig/ssl/pkey.pem Done show ssl certkey siteAcertkey Name: siteAcertkey Status: Valid Version: 3 Serial Number: 02 Signature Algorithm: md5WithRSAEncryption Issuer: /C=US/ST=CA/L=Santa Clara/O=siteA/OU=Tech Validity Not Before: Nov 11 14:58:18 2001 GMT Not After: Aug 7 14:58:18 2004 GMT Subject: /C=US/ST-CA/L=San Jose/O=CA/OU=Security Public Key Algorithm: rsaEncryption Public Key size: 2048 Done

Aktualisieren eines vorhandenen Zertifikat-Schlüssel-Paars über die grafische Benutzeroberfläche

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate > Serverzertifikate.

  2. Wählen Sie das Zertifikat aus, das Sie aktualisieren möchten, und klicken Sie auf Aktualisieren. Serverzertifikat aktualisieren

  3. Wählen Sie Zertifikat und Schlüssel aktualisierenaus. Serverzertifikat und Schlüssel aktualisieren

  4. Klicken Sie unter Zertifikatsdateinameauf Datei auswählen > Lokal, und navigieren Sie zur aktualisierten PFX-Datei oder Zertifikats-PEM-Datei. Navigiere zu einer Datei

    • Wenn Sie eine.pfx-Datei hochladen, werden Sie aufgefordert, das PFX-Dateikennwort anzugeben.

    • Wenn Sie eine PEM-Datei für ein Zertifikat hochladen, müssen Sie auch eine Zertifikatsschlüsseldatei hochladen. Wenn der Schlüssel verschlüsselt ist, müssen Sie das Verschlüsselungskennwort angeben.

  5. Wenn der allgemeine Name des neuen Zertifikats nicht mit dem alten Zertifikat übereinstimmt, wählen Sie Keine Domänenprüfungaus.

  6. Klicken Sie auf OK. Alle virtuellen SSL-Server, an die dieses Zertifikat gebunden ist, werden automatisch aktualisiert. Klicken Sie auf OK

  7. Nach dem Ersetzen des Zertifikats müssen Sie möglicherweise die Zertifikatverknüpfung auf ein neues Zwischenzertifikat aktualisieren. Weitere Informationen zum Aktualisieren eines Zwischenzertifikats ohne Unterbrechung der Links finden Sie unter Aktualisieren eines Zwischenzertifikats, ohne die Links zu unterbrechen.

    • Klicken Sie mit der rechten Maustaste auf das aktualisierte Zertifikat, und klicken Sie auf Zertifikatverknüpfungen, um festzustellen, ob es mit einem Zwischenzertifikat verknüpft ist.

    • Wenn das Zertifikat nicht verknüpft ist, klicken Sie mit der rechten Maustaste auf das aktualisierte Zertifikat, und klicken Sie auf Link, um es mit einem Zwischenzertifikat zu verknüpfen. Wenn Sie keine Option zum Verknüpfen sehen, müssen Sie zuerst ein neues Zwischenzertifikat auf der Appliance unter dem Knoten CA Certificates installieren.

    Zwischenzertifikatslink aktualisieren

Aktualisieren eines vorhandenen CA-Zertifikats

Die Schritte zum Aktualisieren eines vorhandenen CA-Zertifikats entsprechen dem Aktualisieren eines vorhandenen Serverzertifikats. Der einzige Unterschied besteht darin, dass Sie bei CA-Zertifikaten keinen Schlüssel benötigen.

CA-Zertifikat aktualisieren

Deaktivieren Sie Domainprüfungen

Wenn ein SSL-Zertifikat auf der Appliance ersetzt wird, muss der auf dem neuen Zertifikat angegebene Domänenname mit dem Domänennamen des zu ersetzenden Zertifikats übereinstimmen. Wenn Sie beispielsweise ein Zertifikat für abc.com ausgestellt haben und es mit einem auf def.com ausgestellten Zertifikat aktualisieren, schlägt die Zertifikatsaktualisierung fehl.

Wenn Sie jedoch möchten, dass der Server, der eine bestimmte Domäne gehostet hat, eine neue Domäne hosten soll, deaktivieren Sie die Domänenprüfung, bevor Sie das Zertifikat aktualisieren.

Deaktivieren Sie die Domänenprüfung für ein Zertifikat mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um die Domänenüberprüfung zu deaktivieren und die Konfiguration zu überprüfen:

update ssl certKey <certkeyName> -noDomainCheck show ssl certKey <certkeyName>

Beispiel:

update ssl certKey sv -noDomainCheck Done show ssl certkey sv Name: sv Cert Path: /nsconfig/ssl/complete/server/server_rsa_512.pem Key Path: /nsconfig/ssl/complete/server/server_rsa_512.ky Format: PEM Status: Valid, Days to expiration:9349 Certificate Expiry Monitor: DISABLED Done

Deaktivieren Sie die Domänenprüfung für ein Zertifikat über die grafische Benutzeroberfläche

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate, wählen Sie ein Zertifikat aus und klicken Sie auf Aktualisieren.
  2. Wählen Sie Keine Domainprüfungaus.

Ersetzen Sie das Standardzertifikat einer ADC-Appliance durch ein vertrauenswürdiges CA-Zertifikat, das dem Hostnamen der Appliance entspricht

Das folgende Verfahren setzt voraus, dass das Standardzertifikat (ns-server-certificate) an die internen Dienste gebunden ist.

  1. Navigieren Sie zu Traffic Management > SSL > SSL-Zertifikate > Zertifikatsanforderung erstellen.
  2. Geben Sie im allgemeinen Namen ein test.citrixadc.com.
  3. Reichen Sie die CSR an eine vertrauenswürdige Zertifizierungsstelle ein.
  4. Nachdem Sie das Zertifikat von der vertrauenswürdigen Zertifizierungsstelle erhalten haben, kopieren Sie die Datei in das Verzeichnis /nsconfig/ssl.
  5. Navigieren Sie zu Traffic Management > SSL > Zertifikate > Serverzertifikate.
  6. Wählen Sie das Standard-Serverzertifikat (ns-server-certificate) aus und klicken Sie auf Aktualisieren.
  7. Navigieren Sie im Dialogfeld Zertifikat aktualisieren unter Certificate File Name zu dem Zertifikat, das Sie nach dem Signieren von der Zertifizierungsstelle erhalten haben.
  8. Geben Sie im Feld Schlüsseldateiname den standardmäßigen privaten Schlüsseldateinamen (ns-server.key) an.
  9. Wählen Sie Keine Domainprüfungaus.
  10. Klicken Sie auf OK.

Ablaufüberwachung aktivieren

Ein SSL-Zertifikat ist für einen bestimmten Zeitraum gültig. Eine typische Bereitstellung umfasst mehrere virtuelle Server, die SSL-Transaktionen verarbeiten, und die an sie gebundenen Zertifikate können zu unterschiedlichen Zeiten ablaufen. Ein auf der Appliance konfigurierter Ablaufmonitor erstellt Einträge in den Syslog- und NS-Überwachungsprotokollen der Appliance, wenn ein konfiguriertes Zertifikat abläuft.

Wenn Sie SNMP-Warnungen für den Ablauf des Zertifikats erstellen möchten, müssen Sie diese separat konfigurieren.

Aktivieren einer Ablaufüberwachung für ein Zertifikat mithilfe der CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Ablaufüberwachung für ein Zertifikat zu aktivieren und die Konfiguration zu überprüfen:

set ssl certKey <certkeyName> [-expiryMonitor ( ENABLED | DISABLED ) [-notificationPeriod <positive_integer>]] show ssl certKey <certkeyName>

Beispiel:

set ssl certKey sv -expiryMonitor ENABLED –notificationPeriod 60 Done

Aktivieren einer Ablaufüberwachung für ein Zertifikat über die grafische Benutzeroberfläche

  1. Navigieren Sie zu Traffic Management > SSL > Zertifikate, wählen Sie ein Zertifikat aus und klicken Sie auf Aktualisieren.
  2. Wählen Sie Bei Ablauf benachrichtigenaus, und geben Sie optional einen Benachrichtigungszeitraum an.

Sie können jetzt ein Zwischenzertifikat aktualisieren, ohne vorhandene Links zu trennen. Die Erweiterung “AuthorityKeyIdentifier” in dem verknüpften Zertifikat, das von dem zu ersetzenden Zertifikat ausgestellt wurde, darf kein Feld mit der Seriennummer des Autoritätszertifikats (“AuthorityCertSerialNumber”) enthalten. Wenn die Erweiterung ‘AuthorityKeyIdentifier’ ein Seriennummernfeld enthält, müssen die Seriennummern des alten und des neuen Zertifikats identisch sein. Sie können eine beliebige Anzahl von Zertifikaten im Link nacheinander aktualisieren, wenn die vorherige Bedingung erfüllt ist. Zuvor wurden die Links unterbrochen, wenn ein Zwischenzertifikat aktualisiert wurde.

Zum Beispiel gibt es vier Zertifikate: CertACertB, CertC, und CertD. Das Zertifikat CertA ist der Aussteller für CertB, CertB ist der Aussteller für CertCund so weiter. Wenn Sie ein Zwischenzertifikat CertB durch CertB_new ersetzen möchten, ohne die Verbindung zu unterbrechen, muss die folgende Bedingung erfüllt sein:

Die Seriennummer des Zertifikats von CertB muss mit der Seriennummer des Zertifikats von CertB_new übereinstimmen, wenn beide der folgenden Bedingungen erfüllt sind:

  • Die Erweiterung AuthorityKeyIdentifier ist in CertC vorhanden.
  • Diese Erweiterung enthält ein Seriennummernfeld.

Wenn sich der allgemeine Name in einem Zertifikat ändert, geben Sie beim Aktualisieren des Zertifikats an nodomaincheck.

Um im vorherigen Beispiel “www.example.com” in CertD zu “*.example.com” zu ändern, wählen Sie den Parameter “No Domain Check” aus.

Aktualisieren Sie das Zertifikat mithilfe der CLI

Geben Sie in der Befehlszeile Folgendes ein:

update ssl certKey <certkeyName> -cert <string> [-password] -key <string> [-noDomainCheck]

Beispiel:

update ssl certkey siteAcertkey -cert /nsconfig/ssl/cert.pem -key /nsconfig/ssl/pkey.pem -noDomainCheck

Eine Zertifikatkette anzeigen

Ein Zertifikat enthält den Namen der ausstellenden Behörde und den Antragsteller, für den das Zertifikat ausgestellt wurde. Um ein Zertifikat zu validieren, müssen Sie sich den Aussteller dieses Zertifikats ansehen und bestätigen, ob Sie dem Aussteller vertrauen. Wenn Sie dem Aussteller nicht vertrauen, müssen Sie sehen, wer das Ausstellerzertifikat ausgestellt hat. Gehen Sie die Kette hoch, bis Sie das Stammzertifizierungsstellenzertifikat oder einen Aussteller erreichen, dem Sie vertrauen.

Wenn ein Client im Rahmen des SSL-Handshakes ein Zertifikat anfordert, präsentiert die Appliance ein Zertifikat und die Kette der Ausstellerzertifikate, die auf der Appliance vorhanden sind. Ein Administrator kann die Zertifikatkette für die auf der Appliance vorhandenen Zertifikate anzeigen und fehlende Zertifikate installieren.

Zeigen Sie die Zertifikatkette für die auf der Appliance vorhandenen Zertifikate mithilfe der CLI an

Geben Sie in der Befehlszeile Folgendes ein:

show ssl certchain <cert_name>

Beispiele

Es gibt 3 Zertifikate: c1, c2 und c3. Zertifikat c3 ist das Stammzertifikat der Zertifizierungsstelle und signiert c2 und c2-Zeichen c1. Die folgenden Beispiele veranschaulichen die Ausgabe des show ssl certchain c1 Befehls in verschiedenen Szenarien.

Szenario 1:

Das Zertifikat c2 ist mit c1 verknüpft, und c3 ist mit c2 verknüpft.

Das Zertifikat c3 ist ein Stammzertifikat der Zertifizierungsstelle.

Wenn Sie den folgenden Befehl ausführen, werden die Zertifikatsverknüpfungen zum Stammzertifikat der Zertifizierungsstelle angezeigt.

show ssl certchain c1 Certificate chain details of certificate name c1 are: 1) Certificate name: c2 linked; not a root certificate 2) Certificate name: c3 linked; root certificate Done

Szenario 2:

Das Zertifikat c2 ist mit c1 verknüpft.

Das Zertifikat c2 ist kein Stammzertifikat der Zertifizierungsstelle.

Wenn Sie den folgenden Befehl ausführen, werden die Informationen angezeigt, dass das Zertifikat c3 ein Stammzertifikat der Zertifizierungsstelle ist, aber nicht mit c2 verknüpft ist.

show ssl certchain c1 Certificate chain details of certificate name c1 are: 1) Certificate Name: c2 linked; not a root certificate 2) Certificate Name: c3 not linked; root certificate Done

Szenario 3:

Zertifikat c1, c2 und c3 sind nicht verknüpft, aber auf der Appliance vorhanden.

Wenn Sie den folgenden Befehl ausführen, werden Informationen zu allen Zertifikaten angezeigt, die mit dem Aussteller des Zertifikats c1 beginnen. Es wird auch angegeben, dass die Zertifikate nicht verknüpft sind.

show ssl certchain c1 Certificate chain details of certificate name c1 are: 1) Certificate Name: c2 not linked; not a root certificate 2) Certificate Name: c3 not linked; root certificate Done

Szenario 4:

Das Zertifikat c2 ist mit c1 verknüpft.

Das Zertifikat c3 ist auf der Appliance nicht vorhanden.

Wenn Sie den folgenden Befehl ausführen, werden Informationen über das mit c1 verknüpfte Zertifikat angezeigt. Sie werden aufgefordert, ein Zertifikat mit dem in c2 angegebenen Antragstellernamen hinzuzufügen. In diesem Fall wird der Benutzer aufgefordert, das Stammzertifizierungsstellenzertifikat c3 hinzuzufügen.

show ssl certchain c1 Certificate chain details of certificate name c1 are: 1) Certificate Name: c2 linked; not a root certificate 2) Certificate Name: /C=IN/ST=ka/O=netscaler/CN=test Action: Add a certificate with this subject name. Done

Szenario 5:

Ein Zertifikat ist nicht mit dem Zertifikat c1 verknüpft, und das Ausstellerzertifikat von c1 ist auf der Appliance nicht vorhanden.

Wenn Sie den folgenden Befehl ausführen, werden Sie aufgefordert, ein Zertifikat mit dem Antragstellernamen in Zertifikat c1 hinzuzufügen.

sh ssl certchain c1 Certificate chain details of certificate name c1 are: 1) Certificate Name: /ST=KA/C=IN Action: Add a certificate with this subject name.
Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.