Zertifikatspeicher für SSL-Interception
Ein SSL-Zertifikat, das integraler Bestandteil jeder SSL-Transaktion ist, ist ein digitales Eingabeformular (X509), das ein Unternehmen (Domain) oder eine Person identifiziert. Ein SSL-Zertifikat wird von einer Zertifizierungsstelle ausgestellt. Eine Zertifizierungsstelle kann privat oder öffentlich sein. Zertifikate, die von öffentlichen Zertifizierungsstellen ausgestellt werden, wie z. B. Verisign, werden von Anwendungen, die SSL-Transaktionen durchführen, vertrauenswürdig. Diese Anwendungen verwalten eine Liste der Zertifizierungsstellen, denen sie vertrauen.
Als Forward Proxy führt eine Citrix Secure Web Gateway (SWG) -Appliance Verschlüsselung und Entschlüsselung des Datenverkehrs zwischen einem Client und einem Server durch. Es fungiert als Server für den Client (Benutzer) und als Client für den Server. Bevor eine Appliance HTTPS-Datenverkehr verarbeiten kann, muss sie die Identität eines Servers überprüfen, um betrügerische Transaktionen zu verhindern. Daher muss die Appliance als Client für den Ursprungsserver das Ursprungsserverzertifikat überprüfen, bevor sie es akzeptiert. Um das Serverzertifikat zu überprüfen, müssen alle Zertifikate (z. B. Stamm- und Zwischenzertifikate), die zum Signieren und Ausstellen des Serverzertifikats verwendet werden, auf der Appliance vorhanden sein. Ein Standardsatz von Zertifizierungsstellenzertifikaten ist auf einer Appliance vorinstalliert. Citrix SWG kann diese Zertifikate verwenden, um fast alle gängigen Ursprungsserver-Zertifikate zu überprüfen. Dieser Standardsatz kann nicht geändert werden. Wenn Ihre Bereitstellung jedoch mehr Zertifizierungsstellenzertifikate erfordert, können Sie ein Bündel solcher Zertifikate erstellen und das Paket in die Appliance importieren. Ein Bundle kann auch ein einzelnes Zertifikat enthalten.
Wenn Sie ein Zertifikatpaket in die Appliance importieren, lädt die Appliance das Paket vom Remotestandort herunter und installiert es nach der Überprüfung, ob das Paket nur Zertifikate enthält, auf der Appliance. Sie müssen ein Zertifikatpaket anwenden, bevor Sie es zum Überprüfen eines Serverzertifikats verwenden können. Sie können ein Zertifikatpaket auch exportieren, um es zu bearbeiten oder als Backup an einem Offline-Speicherort zu speichern.
Importieren und Anwenden eines Zertifizierungsstellenzertifikatbündels mit der Citrix SWG CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
import ssl certBundle <name> <src>
<!--NeedCopy-->
apply ssl certBundle <name>
<!--NeedCopy-->
show ssl certBundle
<!--NeedCopy-->
ARGUMENTS:
Nome:
Name, der dem importierten Zertifikatspaket zugewiesen werden soll. Muss mit einem alphanumerischen ASCII-Zeichen oder Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), equals (=) und Bindestrich (-) enthalten. Die folgende Anforderung gilt nur für die CLI:
Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Datei” oder ‘meine Datei’).
Maximale Länge: 31
src:
URL zur Angabe des Protokolls, des Hosts und des Pfads, einschließlich des Dateinamens, zum Zertifikatpaket, das importiert oder exportiert werden soll. Beispiel: http://www.example.com/cert\_bundle\_file
.
HINWEIS: Der Import schlägt fehl, wenn sich das zu importierende Objekt auf einem HTTPS-Server befindet, der Clientzertifikatauthentifizierung für den Zugriff erfordert.
Maximale Länge: 2047
Beispiel:
import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
<!--NeedCopy-->
apply ssl certBundle swg-certbundle
<!--NeedCopy-->
show ssl certbundle
Name : swg-certbundle(Inuse)
URL : http://www.example.com/cert_bundle
Done
<!--NeedCopy-->
Importieren und Anwenden eines Zertifizierungsstellenzertifikatbündels mit der Citrix SWG-GUI auf die Appliance
- Navigieren Sie zu Secure Web Gateway > Erste Schritte > Zertifikatpakete .
- Führen Sie einen der folgenden Schritte aus:
- Wählen Sie ein Zertifikatspaket aus der Liste aus.
- Um ein neues Zertifikatpaket hinzuzufügen, klicken Sie auf + und geben Sie einen Namen und eine Quell-URL an. Klicken Sie auf OK.
- Klicken Sie auf OK.
Entfernen eines Zertifizierungsstellenzertifikatpakets aus der Appliance mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung Folgendes ein:
remove certBundle <cert bundle name>
<!--NeedCopy-->
Beispiel:
remove certBundle mytest-cacert
<!--NeedCopy-->
Exportieren eines Zertifizierungsstellenzertifikatpakets aus der Appliance mit der Citrix SWG CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
export certBundle <cert bundle name> <Path to export>
<!--NeedCopy-->
ARGUMENTS:
Nome:
Name, der dem importierten Zertifikatspaket zugewiesen werden soll. Muss mit einem alphanumerischen ASCII-Zeichen oder Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), equals (=) und Bindestrich (-) enthalten. Die folgende Anforderung gilt nur für die CLI:
Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Datei” oder ‘meine Datei’).
Maximale Länge: 31
src:
URL zur Angabe des Protokolls, des Hosts und des Pfads, einschließlich des Dateinamens, zum Zertifikatpaket, das importiert oder exportiert werden soll. Beispiel: http://www.example.com/cert\_bundle\_file
.
HINWEIS: Der Import schlägt fehl, wenn sich das zu importierende Objekt auf einem HTTPS-Server befindet, der Clientzertifikatauthentifizierung für den Zugriff erfordert.
Maximale Länge: 2047
Beispiel:
export certBundle mytest-cacert http://192.0.2.20/
<!--NeedCopy-->
Importieren, Anwenden und Überprüfen eines CA-Zertifikatpakets aus dem Mozilla CA-Zertifikatspeicher
Geben Sie an der Eingabeaufforderung Folgendes ein:
> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done
<!--NeedCopy-->
Geben Sie Folgendes ein, um das Bündel anzuwenden:
> apply certbundle mozilla_public_ca
Done
<!--NeedCopy-->
Geben Sie Folgendes ein, um das verwendete Zertifikatbündel zu überprüfen:
> sh certbundle | grep mozilla
Name : mozilla_public_ca (Inuse)
<!--NeedCopy-->
Einschränkung
Zertifikatpakete werden in einem Cluster-Setup oder auf einer partitionierten Appliance nicht unterstützt.
In diesem Artikel
- Importieren und Anwenden eines Zertifizierungsstellenzertifikatbündels mit der Citrix SWG CLI
- Importieren und Anwenden eines Zertifizierungsstellenzertifikatbündels mit der Citrix SWG-GUI auf die Appliance
- Entfernen eines Zertifizierungsstellenzertifikatpakets aus der Appliance mit der Befehlszeilenschnittstelle
- Exportieren eines Zertifizierungsstellenzertifikatpakets aus der Appliance mit der Citrix SWG CLI
- Einschränkung