Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1

Zertifikate für globale Standorte

May 11, 2023
Beitrag von: 
C

Ein globales Standortzertifikat ist ein Serverzertifikat für spezielle Zwecke, dessen Schlüssellänge mehr als 128 Bit beträgt. Ein globales Standortzertifikat besteht aus einem Serverzertifikat und einem zugehörigen CA-Zwischenzertifikat. Importieren Sie das globale Standortzertifikat und seinen Schlüssel vom Server in die NetScaler-Appliance.

So funktionieren globale Standortzertifikate

Exportversionen von Browsern verwenden eine 40-Bit-Verschlüsselung, um Verbindungen zu SSL-Webservern herzustellen. Der Server reagiert auf Verbindungsanfragen, indem er sein Zertifikat sendet. Der Client und der Server entscheiden dann auf der Grundlage des Serverzertifikatstyps über eine Verschlüsselungsstärke:

  • Wenn es sich bei dem Serverzertifikat um ein normales Zertifikat und nicht um ein globales Standortzertifikat handelt, schließen der Exportclient und der Server den SSL-Handshake ab und verwenden eine 40-Bit-Verschlüsselung für die Datenübertragung.
  • Wenn es sich bei dem Serverzertifikat um ein globales Standortzertifikat handelt und der Browser die Exportclient-Funktion unterstützt, aktualisiert der Exportclient automatisch auf eine 128-Bit-Verschlüsselung für die Datenübertragung.

Wenn es sich bei dem Serverzertifikat um ein globales Standortzertifikat handelt, sendet der Server sein Zertifikat zusammen mit dem zugehörigen Zwischenzertifikat der CA. Der Browser validiert zunächst das Zwischenzertifikat, indem er eines der Root-CA-Zertifikate verwendet, die normalerweise in Webbrowsern enthalten sind. Nach erfolgreicher Validierung des Intermediate-CA-Zertifikats verwendet der Browser das Intermediate-CA-Zertifikat, um das Serverzertifikat zu validieren. Sobald der Server erfolgreich validiert wurde, verhandelt der Browser die SSL-Verbindung neu (aktualisiert) sie auf 128-Bit-Verschlüsselung.

Wenn bei der Server Gated Cryptography (SGC) von Microsoft der Microsoft IIS-Server mit einem SGC-Zertifikat konfiguriert ist, verhandeln Exportclients, die das Zertifikat erhalten, neu, um die 128-Bit-Verschlüsselung zu verwenden.

Ein globales Standortzertifikat importieren

Um ein globales Site-Zertifikat zu importieren, exportieren Sie zunächst das Zertifikat und den Serverschlüssel vom Webserver. Globale Standortzertifikate werden in einem Binärformat exportiert. Konvertieren Sie daher vor dem Import des globalen Standortzertifikats das Zertifikat und den Schlüssel in das PEM-Format.

Um ein globales Site-Zertifikat zu importieren

  1. Kopieren Sie das Serverzertifikat und das zugehörige Zwischenzertifikat der CA in zwei separate Dateien mit einem Texteditor.

    Das individuelle PEM-codierte Zertifikat beginnt mit dem Header ----- BEGIN CERTIFICATE----- und endet mit dem Trailer. -----END CERTIFICATE-----

  2. Verwenden Sie einen SFTP-Client, um das Serverzertifikat, das Zwischenzertifikat und den Serverschlüssel an die NetScaler-Appliance zu übertragen.

  3. Verwenden Sie den folgenden OpenSSL-Befehl, um das Serverzertifikat und das Zwischenzertifikat der CA anhand der beiden separaten Dateien zu identifizieren.

    Hinweis: Sie können die OpenSSL-Schnittstelle über das Konfigurationsprogramm starten. Klicken Sie im Navigationsbereich auf SSL. Klicken Sie im Detailbereich unter Tools auf SSL-Schnittstelle öffnen.

    openssl x509 -in >path of the CA cert file< text X509v3 Basic Constraints: CA:TRUE
            X509v3 Key Usage:
                Certificate Sign, CRL Sign
            Netscape Cert Type:
                SSL CA, S/MIME CA

openssl x509 -in >path of the server certificate file< -text

X509v3 Basic Constraints:
                CA:FALSE
            Netscape Cert Type:
                SSL Server

<!--NeedCopy-->

  4. Geben Sie an der FreeBSD-Shell-Prompt den folgenden Befehl ein:

    openssl x509 -in cert.pem -text | more
<!--NeedCopy-->

    Wobei cert.pem eine der beiden Zertifikatsdateien ist

    Lesen Sie das Feld Betreff in der Befehlsausgabe. Zum Beispiel

    Subject: C=US, ST=Oregon, L=Portland, O=mycompany, Inc., OU=IT, CN=www.mycompany.com
<!--NeedCopy-->

    Wenn das CN-Feld im Betreff mit dem Domainnamen Ihrer Website übereinstimmt, ist dieses Zertifikat das Serverzertifikat und das andere Zertifikat das dazugehörige Zwischenzertifikat der CA.

  5. Verwenden Sie das Serverzertifikat und den privaten Schlüssel), um ein Zertifikatschlüsselpaar auf der NetScaler Appliance zu erstellen. Weitere Informationen zum Erstellen eines Zertifikatschlüsselpaars auf dem NetScaler finden Sie unter Hinzufügen eines Zertifikatschlüsselpaars.

  6. Fügen Sie das zwischengeschaltete CA-Zertifikat auf der NetScaler Appliance hinzu. Verwenden Sie das Serverzertifikat, das Sie in Schritt 4 erstellt haben, um dieses Zwischenzertifikat zu signieren. Weitere Informationen zum Erstellen eines Zwischenzertifikats auf dem NetScaler finden Sie unter Generieren eines Testzertifikats.

Zertifikate für globale Standorte
May 11, 2023
Beitrag von: 
C
May 11, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.