Citrix Secure Web Gateway

Zertifikatsspeicher für SSL-Interzeption

September 29, 2025

Beitrag von:

C C

Ein SSL-Zertifikat, das ein integraler Bestandteil jeder SSL-Transaktion ist, ist eine digitale Datenform (X509), die ein Unternehmen (Domäne) oder eine Einzelperson identifiziert. Ein SSL-Zertifikat wird von einer Zertifizierungsstelle (CA) ausgestellt. Eine CA kann privat oder öffentlich sein. Von öffentlichen CAs, wie Verisign, ausgestellte Zertifikate werden von Anwendungen, die SSL-Transaktionen durchführen, als vertrauenswürdig eingestuft. Diese Anwendungen führen eine Liste der CAs, denen sie vertrauen.

Als Forward-Proxy führt eine Citrix Secure Web Gateway™ (SWG)-Appliance die Verschlüsselung und Entschlüsselung des Datenverkehrs zwischen einem Client und einem Server durch. Sie agiert als Server für den Client (Benutzer) und als Client für den Server. Bevor eine Appliance HTTPS-Datenverkehr verarbeiten kann, muss sie die Identität eines Servers validieren, um betrügerische Transaktionen zu verhindern. Daher muss die Appliance als Client des Ursprungsservers das Ursprungsserverzertifikat überprüfen, bevor sie es akzeptiert. Um das Zertifikat eines Servers zu überprüfen, müssen alle Zertifikate (z. B. Root- und Zwischenzertifikate), die zum Signieren und Ausstellen des Serverzertifikats verwendet werden, auf der Appliance vorhanden sein. Ein Standardsatz von CA-Zertifikaten ist auf einer Appliance vorinstalliert. Das Citrix® SWG kann diese Zertifikate verwenden, um fast alle gängigen Ursprungsserver-Zertifikate zu überprüfen. Dieser Standardsatz kann nicht geändert werden. Wenn Ihre Bereitstellung jedoch weitere CA-Zertifikate erfordert, können Sie ein Bündel solcher Zertifikate erstellen und das Bündel in die Appliance importieren. Ein Bündel kann auch ein einzelnes Zertifikat enthalten.

Wenn Sie ein Zertifikatsbündel in die Appliance importieren, lädt die Appliance das Bündel vom Remote-Speicherort herunter und installiert es auf der Appliance, nachdem überprüft wurde, dass das Bündel nur Zertifikate enthält. Sie müssen ein Zertifikatsbündel anwenden, bevor Sie es zur Validierung eines Serverzertifikats verwenden können. Sie können ein Zertifikatsbündel auch exportieren, um es zu bearbeiten oder als Sicherung an einem Offline-Speicherort zu speichern.

Importieren und Anwenden eines CA-Zertifikatsbündels auf der Appliance mithilfe der Citrix SWG CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import ssl certBundle <name> <src>
<!--NeedCopy-->

apply ssl certBundle <name>
<!--NeedCopy-->

show ssl certBundle
<!--NeedCopy-->

ARGUMENTE:

Name:

Name, der dem importierten Zertifikatsbündel zugewiesen werden soll. Muss mit einem alphanumerischen ASCII-Zeichen oder einem Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Rauten (#), Punkte (.), Leerzeichen, Doppelpunkte (:), At-Zeichen (@), Gleichheitszeichen (=) und Bindestriche (-) enthalten. Die folgende Anforderung gilt nur für die CLI:

Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Datei” oder ‘meine Datei’).

Maximale Länge: 31

src:

URL, die das Protokoll, den Host und den Pfad, einschließlich des Dateinamens, des zu importierenden oder exportierenden Zertifikatsbündels angibt. Zum Beispiel: http://www.example.com/cert\_bundle\_file.

HINWEIS: Der Import schlägt fehl, wenn das zu importierende Objekt auf einem HTTPS-Server liegt, der eine Client-Zertifikatsauthentifizierung für den Zugriff erfordert.

Maximale Länge: 2047

Beispiel:

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
<!--NeedCopy-->

apply ssl certBundle swg-certbundle
<!--NeedCopy-->

show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done
<!--NeedCopy-->

Importieren und Anwenden eines CA-Zertifikatsbündels auf der Appliance mithilfe der Citrix SWG GUI

Navigieren Sie zu Secure Web Gateway > Erste Schritte > Zertifikatsbündel.
Führen Sie einen der folgenden Schritte aus:
- Wählen Sie ein Zertifikatsbündel aus der Liste aus.
- Um ein neues Zertifikatsbündel hinzuzufügen, klicken Sie auf „+“ und geben Sie einen Namen und eine Quell-URL an. Klicken Sie auf OK.
Klicken Sie auf OK.

Entfernen eines CA-Zertifikatsbündels von der Appliance mithilfe der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

remove certBundle <cert bundle name>
<!--NeedCopy-->

Beispiel:

remove certBundle mytest-cacert
<!--NeedCopy-->

Exportieren eines CA-Zertifikatsbündels von der Appliance mithilfe der Citrix SWG CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

export certBundle <cert bundle name> <Path to export>
<!--NeedCopy-->

ARGUMENTE:

Name:

Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Datei” oder ‘meine Datei’).

Maximale Länge: 31

src:

HINWEIS: Der Import schlägt fehl, wenn das zu importierende Objekt auf einem HTTPS-Server liegt, der eine Client-Zertifikatsauthentifizierung für den Zugriff erfordert.

Maximale Länge: 2047

Beispiel:

export certBundle mytest-cacert http://192.0.2.20/
<!--NeedCopy-->

Importieren, Anwenden und Überprüfen eines CA-Zertifikatsbündels aus dem Mozilla CA-Zertifikatsspeicher

Geben Sie an der Eingabeaufforderung Folgendes ein:

> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Fertig
<!--NeedCopy-->

Um das Bündel anzuwenden, geben Sie Folgendes ein:

> apply certbundle mozilla_public_ca
Fertig
<!--NeedCopy-->

Um das verwendete Zertifikatsbündel zu überprüfen, geben Sie Folgendes ein:

> sh certbundle | grep mozilla
    Name : mozilla_public_ca (In Verwendung)
<!--NeedCopy-->

Einschränkung

Zertifikatsbündel werden in einer Cluster-Einrichtung oder auf einer partitionierten Appliance nicht unterstützt.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

NetScaler Secure Deployment Guide

Zertifikatsspeicher für SSL-Interzeption

September 29, 2025

Beitrag von:

C C

September 29, 2025

Beitrag von:

C C

In diesem Artikel

Importieren und Anwenden eines CA-Zertifikatsbündels auf der Appliance mithilfe der Citrix SWG CLI
Importieren und Anwenden eines CA-Zertifikatsbündels auf der Appliance mithilfe der Citrix SWG GUI
Entfernen eines CA-Zertifikatsbündels von der Appliance mithilfe der CLI
Exportieren eines CA-Zertifikatsbündels von der Appliance mithilfe der Citrix SWG CLI
Einschränkung

War dieser Artikel hilfreich?

NetScaler Secure Deployment Guide