SSL Zertifikatsverwaltung
Jede Organisation oder einzelne Website, die den Umgang mit vertraulichen oder sensiblen Informationen erfordert, muss über ein SSL-Zertifikat verfügen. Das SSL-Zertifikat auf einem Webserver garantiert die Authentizität des Webservers gegenüber dem verbindenden Client. Es authentifiziert nicht nur die Identität einer Website, sondern hilft auch bei der Generierung des Sitzungsschlüssels, der später für die Verschlüsselung der gesamten Sitzung verwendet wird.
Ein SSL-Zertifikat (Secure Socket Layer), das Teil einer SSL-Transaktion ist, ist ein digitales Eingabeformular (X509), das ein Unternehmen (Domain) oder eine Person identifiziert. Das Zertifikat verfügt über eine Public-Key-Komponente, die für jeden Client sichtbar ist, der eine sichere Transaktion mit dem Server initiieren möchte. Der entsprechende private Schlüssel, der sich sicher auf der Citrix Application Delivery Controller (ADC) -Appliance befindet, wird verwendet, um die Verschlüsselung und Entschlüsselung des asymmetrischen Schlüssels (oder des öffentlichen Schlüssels) abzuschließen.
NetScaler Application Delivery Management (ADM) bietet Ihnen eine einheitliche Konsole zur Automatisierung der Installation, Aktualisierung, Löschung, Verknüpfung und des Herunterladens von SSL-Zertifikaten. Es hilft dabei, den Ruf der Website und das Vertrauen der Kunden zu erhalten. NetScaler ADM optimiert jetzt alle Aspekte der Zertifikatverwaltung für Sie. Über eine einheitliche Konsole können Sie automatisierte Richtlinien konfigurieren, um den empfohlenen Aussteller, die Schlüsselstärke, das Protokoll und die Algorithmen gemäß den IT-Richtlinien der Organisation sicherzustellen. Auf diese Weise können Sie Zertifikate, die unbenutzt sind oder kurz vor dem Ablauf stehen, genau im Auge behalten.
Sie können ein SSL-Zertifikat und einen Schlüssel auf eine der folgenden Arten beziehen:
-
Von einer autorisierten Zertifizierungsstelle (CA) wie Verisign
-
Durch Generieren eines neuen SSL-Zertifikats und eines neuen Schlüssels auf der NetScaler-Appliance
SSL-Richtlinieneinstellungen für Unternehmen
Jedes Unternehmen hat seine eigene SSL-Richtlinie und definiert die Anforderungen, die alle SSL-Zertifikate einhalten müssen. Sicherheit war bei allen Unternehmensbenutzern immer zu den obersten Prioritäten und daher spielen SSL-Einstellungen eine wichtige Rolle.
Zum Beispiel schreibt eine ABC-Gesellschaft vor, dass alle Zertifikate mindestens wichtige Stärken von 2.048 Bit und mehr haben müssen. Die Zertifikate müssen von vertrauenswürdigen Zertifizierungsstellen oder Emittenten autorisiert werden. Administratoren müssen alle diese SSL-Parameter überprüfen, um sicherzustellen, dass die Zertifikate die Unternehmensrichtlinien einhalten. Es ist eine mühsame Aufgabe, jedes Zertifikat manuell zu überprüfen. Um dieses Szenario zu überwinden, hilft Ihnen das NetScaler ADM bei der Konfiguration von SSL-Richtlinieneinstellungen für Unternehmen und zeigt jedes Nicht-Compliance-Zertifikat mit dem Tag “Nicht empfohlen” an.
Sie können die Zusammenfassung der Non-Compliance-Zertifikate (nicht empfohlen) im SSL-Dashboard anzeigen.
Hinweis
Die “Nicht empfohlenen” Zertifikate werden basierend auf verschiedenen Parametern kategorisiert und Sie können sie in relevanten Komponenten anzeigen.
So funktioniert das NetScaler ADM-Zertifikat
SSL Dashboard bietet Ihnen eine visuelle Darstellung aller SSL-Zertifikate, die auf verschiedenen NetScaler-Instanzen installiert sind. Das SSL-Dashboard enthält die folgenden Informationen für jedes Zertifikat, das auf NetScaler-Instanzen installiert ist. Es ist auf der Grundlage der folgenden kategorisiert:
-
Selbstsigniert gegen CA signiert. Der selbstsignierte und CA-signierte Bereich hilft Ihnen, die Zertifikate in selbstsignierte Zertifikate und CA-signierte Zertifikate zu unterteilen.
-
Signature-Algorithmen. In diesem Abschnitt werden die SSL-Zertifikate basierend auf Signaturalgorithmen getrennt, die für die Verschlüsselung verwendet werden.
-
Verwendung. In diesem Abschnitt werden Ihre SSL-Zertifikate basierend auf verwendeten und ungenutzten Zertifikaten getrennt. Unbenutzte Zertifikate erfordern besondere Aufmerksamkeit, da sie möglicherweise verpasst wurden, um an die virtuellen Server gebunden zu sein.
-
Emittenten. In diesem Abschnitt trennt sich die SSL-Zertifikate basierend auf dem Aussteller der Zertifikate.
-
Wichtigste Stärke. In diesem Abschnitt werden die SSL-Zertifikate basierend auf der Schlüsselstärke eines privaten Schlüssels getrennt.
-
Top-10-Instanz. Dieser Abschnitt enthält die Details der 10 wichtigsten NetScaler-Instanzen basierend auf der Anzahl der installierten SSL-Zertifikate.
Anwendungsfälle für die Verwaltung von SSL-Zertifikaten
In den folgenden Anwendungsfällen wird beschrieben, wie Sie das SSL-Zertifikat verwenden können, um die Zertifikate über mehrere NetScaler-Instanzen hinweg zu verwalten und zu überwachen.
Installieren von SSL-Zertifikaten
Stellen Sie sich vor, Sie haben eine Flotte von NetScaler-Instanz, auf denen Sie die erforderlichen SSL-Zertifikate bereitstellen müssen. NetScaler ADM bietet Ihnen eine einheitliche Konsole, mit der Sie die SSL-Zertifikate in einem Versuch für mehrere NetScaler-Instanzen bereitstellen können.
Beispielsweise möchten Sie möglicherweise einige SSL-Zertifikate auf einer oder mehreren NetScaler-Instanzen installieren. Mit diesem Ansatz können Sie den manuellen Eingriff bei der Installation des SSL-Zertifikats auf jeder NetScaler-Instanz minimieren. Sie können eine Masseninstallation von SSL-Zertifikaten über eine oder mehrere NetScaler-Instanzen durchführen.
Um eine Zusammenfassung der SSL-Zertifikate zu erhalten, melden Sie sich bei NetScaler ADMan und navigieren Sie dann zu Infrastruktur > SSL-Dashboard.
Benachrichtigungseinstellungen für Ablauf des Zertifikats
In diesem Anwendungsfall haben Sie möglicherweise viele Zertifikate für mehrere NetScaler-Instanzen, und es wird zu einem Overhead, um den Ablauf jedes Zertifikats zu verfolgen. Es ist eine mühsame Aufgabe, jedes Zertifikat manuell zu verfolgen und zu aktualisieren, bevor es abläuft. Um solche Szenarien zu vermeiden, können Sie NetScaler ADM so konfigurieren, dass die Benachrichtigungen oder Warnungen an die konfigurierten E-Mail-, Pager-, Slack- oder ServiceNow-Profile gesendet werden. Auf diese Weise können Sie sich über die Ablaufdaten der Zertifikate auf dem Laufenden halten und die Zertifikate lange vor den Ablaufdaten erneuern.
Beispielsweise vergessen Sie möglicherweise, das Zertifikat zu verfolgen, das kurz vor dem Ablauf steht. Und das Zertifikat läuft ab, was zu einem Dienstausfall führt, der sich auf zahlreiche Anwendungen für die Benutzer auswirken kann. Mit den Einstellungen für Benachrichtigungen über den Ablauf von ADM-Zertifikaten können Sie solche unvorhergesehenen Szenarien vermeiden.
Sie können die Zusammenfassung anzeigen und die Zertifikate, die kurz vor dem Ablauf stehen, auf dem SSL-Dashboardverfolgen.
Um den Bericht über abzulaufende Zertifikate in beliebiger Dauer anzuzeigen, können Sie auf die Kachel klicken, um die Details aller derartigen Zertifikate zu erhalten, die in diesem Fenster ablaufen.
Erneuerung von Zertifikaten
Sie können die Zertifikate jetzt von NetScaler ADM erneuern. Sie können entweder die vorhandenen Zertifikate erneuern oder die Zertifikate basierend auf den folgenden Kriterien erstellen:
Aktualisieren Sie das vorhandene Zertifikat
In diesem Anwendungsfall müssen Sie ein vorhandenes Zertifikat aktualisieren, sobald Sie ein erneuertes Zertifikat von der Zertifizierungsstelle (CA) erhalten haben. Sie können jetzt die vorhandenen Zertifikate von NetScaler ADM aktualisieren, ohne sich bei NetScaler-Instanzen anzumelden.
Beispielsweise kann es einige Änderungen oder Änderungen an den vorhandenen Zertifikaten geben. Die CA stellt erneuerte Zertifikate aus. Anstatt zur NetScaler Appliance zu gehen, können Sie jetzt das SSL-Zertifikat von NetScaler ADM aktualisieren.
Um ein Zertifikat zu aktualisieren, melden Sie sich bei NetScaler ADM an und navigieren Sie dann zu Infrastruktur > SSL-Dashboard.
Wählen Sie das Zertifikat aus, das Sie aktualisieren möchten, und klicken Sie auf Aktualisieren.
Sie haben die Möglichkeit, die relevanten Felder des ausgewählten Zertifikats von NetScaler ADM zu aktualisieren.
Erstellen einer Zertifikatsignieranforderung
Stellen Sie sich einen Anwendungsfall vor, in dem eines der SSL-Zertifikate nicht den Richtlinien der Organisation entspricht. Sie möchten ein neues Zertifikat von der Zertifizierungsstelle erhalten. Sie können jetzt eine Zertifikatsignieranforderung (CSR) von NetScaler ADM generieren. Ein CSR und ein öffentlicher Schlüssel können an eine CA gesendet werden, um das SSL-Zertifikat zu erhalten.
Um CSR zu bestimmen und zu erstellen, wählen Sie das gewünschte Zertifikat aus und klicken Sie auf CSR erstellen.
Sie müssen ein öffentliches oder privates Schlüsselwertpaar haben. Um einen Schlüssel hochzuladen, klicken Sie auf Datei auswählen und wählen Sie aus der Liste aus. Um einen Schlüssel zu erstellen, wählen Sie Ich habe keine Schlüsseloption und geben Sie die relevanten Parameter an.
Um weitere Details zum ausgewählten Schlüssel wie Common Name, Org Name, Stadt, Land, Bundesland, Org Unit und E-Mail-ID anzugeben, um die CSR zu erstellen.
SSL-Zertifikate verknüpfen und aufheben
Sie können mehrere SSL-Zertifikate aneinander binden, um ein Zertifikatspaket zu erstellen. Um ein Zertifikat mit einem anderen Zertifikat zu verknüpfen, muss der Aussteller des ersten Zertifikats mit der Domäne des zweiten Zertifikats übereinstimmen.
Auditprotokolle
Audit Logs ist eine Sammlung von Textprotokolldateien, die vom NetScaler ADM generiert werden. Es zeigt eine Historie von SSL-Zertifikaten, die mithilfe von NetScaler ADM für die spezifische NetScaler Appliance hinzugefügt, geändert und geändert werden. Die Überwachungsprotokolle zeigen auch die IP-Adresse der NetScaler Appliance, den Status, die Startzeit und die Endzeit des jeweiligen Vorgangs an.
In diesem Beispiel möchten Sie möglicherweise die Änderung überprüfen, die über einen Zeitraum für das jeweilige Zertifikat stattgefunden hat. Und Sie haben die Möglichkeit, den Verlauf der Änderungen am Zertifikat über das Geräteprotokoll und das Befehlsprotokoll anzuzeigen.
Um die Informationen von SSL-Zertifikaten zu ermitteln, klicken Sie im SSL-Dashboardauf Audit Log. Die Anwendungsübersicht enthält den Status der SSL-Zertifikate mit Startzeit und Endzeit.
Um die Informationen der NetScaler Appliance eines bestimmten SSL-Zertifikats zu ermitteln, aktivieren Sie das entsprechende Kontrollkästchen Ihres Wunschzertifikats. Klicken Sie auf Geräte-Log
Um die Informationen des Befehlstyps und der Meldung anzuzeigen, klicken Sie auf Befehlsprotokoll.
