SSL-Dateien importieren und konvertieren
Sie können jetzt SSL-Ressourcen wie Zertifikate, private Schlüssel, CRLs und DH-Schlüssel von Remote-Hosts importieren, auch wenn kein FTP-Zugriff auf diese Hosts verfügbar ist. Diese Funktion ist besonders in Umgebungen hilfreich, in denen der Shell-Zugriff auf den Remote-Host eingeschränkt ist. Standardordner werden in /nsconfig/ssl wie folgt erstellt:
- Für Zertifikatsdateien: /nsconfig/ssl/certfile
- Für private Schlüssel: die /nsconfig/ssl/keyfile
- Für CRLs: /var/netscaler/ssl/crlfile
- Für DH-Schlüssel: /nsconfig/ssl/dhfile
Importe von HTTP- und HTTPS-Servern werden unterstützt. Der Import schlägt jedoch fehl, wenn sich die Datei auf einem HTTPS-Server befindet, für den Zugriff eine Clientzertifikatsauthentifizierung erforderlich ist.
Hinweise:
- Der Importbefehl ist nicht in der Konfigurationsdatei (ns.conf) gespeichert, da ein erneutes Importieren der Datei nach einem Neustart zu einem Fehler führen kann.
- Der Importbefehl schlägt fehl, wenn sich das zu importierende Objekt auf einem HTTPS-Server befindet, für den Zugriff eine Clientzertifikatauthentifizierung erforderlich ist, und das Ausstellerzertifikat des HTTPS-Servers nicht im Verzeichnis
/etc/ssl
auf NetScaler vorhanden ist, um den HTTPS-Server zu authentifizieren.
Eine Zertifikatsdatei importieren
Sie können die CLI und die GUI verwenden, um eine Datei (Ressource) von einem Remote-Host zu importieren.
Importieren Sie eine Zertifikatsdatei von einem Remote-Host mithilfe der CLI
Geben Sie in der Befehlszeile Folgendes ein:
import ssl certFile [<name>] [<src>]
<!--NeedCopy-->
Beispiel:
import ssl certfile my-certfile http://www.example.com/file_1
<!--NeedCopy-->
show ssl certfile
Name : my-certfile
URL : http://www.example.com/file_1
<!--NeedCopy-->
Um eine Zertifikatsdatei zu entfernen, verwenden Sie den rm ssl certFile
Befehl, der nur das Argument ‘name’ akzeptiert.
Importieren Sie eine Schlüsseldatei von einem Remote-Host mithilfe der CLI
Geben Sie in der Befehlszeile Folgendes ein:
import ssl keyFile [<name>] [<src>]
<!--NeedCopy-->
Beispiel:
import ssl keyfile my-keyfile http://www.example.com/key_file
<!--NeedCopy-->
show ssl keyfile
Name : my-keyfile
URL : http://www.example.com/key_file
<!--NeedCopy-->
Um eine Schlüsseldatei zu entfernen, verwenden Sie den rm ssl keyFile
Befehl, der nur das Argument ‘name’ akzeptiert.
Importieren Sie eine CRL-Datei von einem Remote-Host mithilfe der CLI
Geben Sie in der Befehlszeile Folgendes ein:
import ssl crlFile [<name>] [<src>]
<!--NeedCopy-->
Um eine CRL-Datei zu entfernen, verwenden Sie den Befehl rm ssl crlFile
, der nur das Argument <name> akzeptiert.
Beispiel:
import ssl crlfile my-crlfile http://www.example.com/crl_file
show ssl crlfile
Name : my-crlfile
URL : http://www.example.com/crl_file
<!--NeedCopy-->
Importieren Sie eine DH-Datei von einem Remote-Host mithilfe der CLI
Geben Sie in der Befehlszeile Folgendes ein:
import ssl dhFile [<name>] [<src>]
<!--NeedCopy-->
Beispiel:
import ssl dhfile my-dhfile http://www.example.com/dh_file
show ssl dhfile
Name : my-dhfile
URL : http://www.example.com/dh_file
<!--NeedCopy-->
Um eine DH-Datei zu entfernen, verwenden Sie den Befehl rm ssl dhFile
, der nur das Argument <name> akzeptiert.
Importieren Sie eine SSL-Ressource mithilfe der GUI
Navigieren Sie zu Traffic Management > SSL > Importeund wählen Sie dann die entsprechende Registerkarte aus.
PKCS #8 - und PKCS #12 -Zertifikate importieren
Wenn Sie Zertifikate und Schlüssel verwenden möchten, die Sie bereits auf anderen sicheren Servern oder Anwendungen in Ihrem Netzwerk haben, können Sie sie exportieren und dann in die NetScaler-Appliance importieren. Möglicherweise müssen Sie exportierte Zertifikate und Schlüssel konvertieren, bevor Sie sie in die NetScaler-Appliance importieren können.
Einzelheiten zum Exportieren von Zertifikaten von sicheren Servern oder Anwendungen in Ihrem Netzwerk finden Sie in der Dokumentation des Servers oder der Anwendung, von dem Sie exportieren möchten.
Hinweis:
Bei der Installation auf der NetScaler-Appliance dürfen Schlüssel- und Zertifikatsnamen keine anderen Leerzeichen oder Sonderzeichen als die vom UNIX-Dateisystem unterstützten Zeichen enthalten. Halten Sie sich beim Speichern des exportierten Schlüssels und Zertifikats an die entsprechende Namenskonvention.
Ein Zertifikat und ein privates Schlüsselpaar werden üblicherweise im PKCS #12 -Format gesendet. Die Appliance unterstützt die Formate PEM und DER für Zertifikate und Schlüssel. Informationen zur Konvertierung von PKCS #12 in PEM oder DER oder von PEM oder DER in PKCS #12 finden Sie im Abschnitt “SSL-Zertifikate für den Import oder Export konvertieren” weiter unten auf dieser Seite.
Die NetScaler-Appliance unterstützt keine PEM-Schlüssel im PKCS #8 -Format. Sie können diese Schlüssel jedoch mithilfe der OpenSSL-Schnittstelle in ein unterstütztes Format konvertieren, auf die Sie über die CLI oder das Konfigurationsprogramm zugreifen können. Bevor Sie den Schlüssel konvertieren, müssen Sie überprüfen, ob der private Schlüssel im PKCS #8 -Format vorliegt. Schlüssel im PKCS #8 -Format beginnen normalerweise mit dem folgenden Text:
-----BEGIN ENCRYPTED PRIVATE KEY-----
leuSSZQZKgrgUQ==
-----END ENCRYPTED PRIVATE KEY-----
<!--NeedCopy-->
Öffnen Sie die OpenSSL-Schnittstelle über die CLI
- Öffnen Sie mithilfe eines SSH-Clients wie PuTTY eine SSH-Verbindung zur Appliance.
- Melden Sie sich mit den Administratoranmeldeinformationen bei der Appliance an.
- Geben Sie an der Eingabeaufforderung shell ein.
- Geben Sie an der Shell-Eingabeaufforderung ein
openssl
.
Öffnen Sie die OpenSSL-Schnittstelle über die GUI
Navigieren Sie zu Traffic Management > SSL und wählen Sie in der Gruppe Tools die OpenSSL-Schnittstelleaus.
Konvertieren Sie ein nicht unterstütztes PKCS #8 Schlüsselformat mithilfe der OpenSSL-Schnittstelle in ein verschlüsseltes unterstütztes Schlüsselformat
Geben Sie an der OpenSSL-Eingabeaufforderung einen der folgenden Befehle ein, je nachdem, ob das nicht unterstützte Tastenformat vom Typ RSA oder ECDSA ist:
OpenSSL>rsa- in <PKCS#8 Key Filename> -des3 -out <encrypted Key Filename>
OpenSSL>ec -in <PKCS#8 Key Filename> -des3 -out <encrypted Key Filename>
<!--NeedCopy-->
Parameter zum Konvertieren eines nicht unterstützten Schlüsselformats in ein unterstütztes Schlüsselformat
- PKCS #8 -Schlüsseldateiname: Der Name der Eingabedatei des inkompatiblen privaten PKCS #8 -Schlüssels.
- verschlüsselter Schlüsseldateiname: Der Name der Ausgabedatei des kompatiblen verschlüsselten privaten Schlüssels im PEM-Format.
- unverschlüsselter Schlüsseldateiname: Der Name der Ausgabedatei des kompatiblen unverschlüsselten privaten Schlüssels im PEM-Format.
SSL-Zertifikate für Import oder Export konvertieren
Eine NetScaler-Appliance unterstützt die Formate PEM und DER für SSL-Zertifikate. Andere Anwendungen, wie Client-Browser und einige externe sichere Server, erfordern verschiedene PKCS-Formate (Public Key Cryptography Standard). Die Appliance kann das PKCS #12 -Format in das PEM- oder DER-Format konvertieren, um ein Zertifikat in die Appliance zu importieren, und kann PEM oder DER in PKCS #12 konvertieren, um ein Zertifikat zu exportieren. Für mehr Sicherheit kann die Konvertierung einer zu importierenden Datei die Verschlüsselung des privaten Schlüssels mit dem DES- oder DES3-Algorithmus beinhalten.
Hinweise:
- Wenn Sie die GUI verwenden, um ein PKCS #12 -Zertifikat zu importieren und das Kennwort ein Dollarzeichen ($), ein Anführungszeichen (`) oder ein Escape-Zeichen () enthält, schlägt der Import möglicherweise fehl. Wenn dies der Fall ist, wird die Meldung FEHLER: Ungültiges Kennwort angezeigt. Wenn Sie im Kennwort ein Sonderzeichen verwenden müssen, stellen Sie sicher, dass Sie diesem ein Escape-Zeichen () voranstellen, sofern nicht alle Importe mit der CLI durchgeführt werden.
Ab NetScaler Version 14.1 Build 21.x wird die Länge des Pfads für das Zertifikat und die Schlüsselparameter in den folgenden Befehlen von 63 auf 255 Zeichen erhöht:
- convert ssl pkcs12 - convert ssl pkcs8
Konvertieren Sie das Format eines Zertifikats mithilfe der CLI
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
convert ssl pkcs12 <outfile> [-import [-pkcs12File <inputFilename>] [-des | -des3] [-export [-certFile <inputFilename>] [-keyFile <inputFilename>]]
<!--NeedCopy-->
Während des Vorgangs werden Sie aufgefordert, ein Import- oder Exportkennwort einzugeben. Bei einer verschlüsselten Datei werden Sie außerdem aufgefordert, eine Passphrase einzugeben.
Beispiel:
convert ssl pkcs12 Cert-Import-1.pem -import -pkcs12File Cert-Import-1.pfx -des
convert ssl pkcs12 Cert-Client-1.pfx -export -certFile Cert-Client-1 -keyFile Key-Client-1
<!--NeedCopy-->
Konvertieren Sie das Format eines Zertifikats mithilfe der GUI
-
Navigieren Sie zu Traffic Management > SSL und wählen Sie in der Gruppe Tools die Option PKCS #12 importierenaus.
-
Geben Sie den Namen des PEM-Zertifikats im Feld Name der Ausgabedatei an.
-
Navigieren Sie auf Ihrem lokalen Computer oder der Appliance zum Speicherort des PFX-Zertifikats.
-
Klicken Sie auf OK.
-
Klicken Sie auf Zertifikate verwalten /Schlüssel/CSRs, um die konvertierte PEM-Datei anzuzeigen.
-
Sie können die hochgeladene PFX-Datei und die konvertierte PEM-Datei ansehen.
-
Navigieren Sie zu SSL > Zertifikate > Serverzertifikate und klicken Sie auf Installieren.
-
Geben Sie einen Namen für das Zertifikatsschlüsselpaaran.
-
Navigieren Sie zum Speicherort der PEM-Datei.
-
Geben Sie das Kennwort an, wenn Sie dazu aufgefordert werden.
-
Klicken Sie auf Installieren.
-
Binden Sie das Zertifikatschlüsselpaar an einen virtuellen SSL-Server.