Gateway

Sperrlisten für Zertifikate

Von Zeit zu Zeit stellen Zertifizierungsstellen (CAs) Zertifikatsperrlisten (CRLs) aus. CRLs enthalten Informationen über Zertifikate, denen nicht mehr vertraut werden kann. Angenommen, Ann verlässt die XYZ Corporation. Das Unternehmen kann Anns Zertifikat auf eine CRL legen, um zu verhindern, dass sie Nachrichten mit diesem Schlüssel signiert.

Ebenso können Sie ein Zertifikat widerrufen, wenn ein privater Schlüssel kompromittiert ist oder wenn dieses Zertifikat abgelaufen ist und ein neues verwendet wird. Bevor Sie einem öffentlichen Schlüssel vertrauen, stellen Sie sicher, dass das Zertifikat nicht in einer CRL angezeigt wird.

Citrix Gateway unterstützt die folgenden zwei CRL-Typen:

  • CRLs, die die Zertifikate auflisten, die widerrufen wurden oder nicht mehr gültig sind
  • Online Certificate Status Protocol (OSCP), ein Internetprotokoll, das zum Abrufen des Sperrstatus von X.509-Zertifikaten verwendet wird

Um eine CRL hinzuzufügen

Stellen Sie vor dem Konfigurieren der CRL auf dem Citrix Gateway-Gerät sicher, dass die CRL-Datei lokal auf dem Gerät gespeichert ist. Im Falle eines Hochverfügbarkeits-Setups muss die CRL-Datei auf beiden Citrix Gateway-Appliances vorhanden sein, und der Verzeichnispfad zur Datei muss auf beiden Appliances identisch sein.

Wenn Sie die CRL aktualisieren müssen, können Sie die folgenden Parameter verwenden:

  • CRL-Name: Der Name der CRL, die auf dem Citrix ADC hinzugefügt wird. Maximal 31 Zeichen.
  • CRL-Datei: Der Name der CRL-Datei, die auf dem Citrix ADC hinzugefügt wird. Der Citrix ADC sucht standardmäßig im Verzeichnis /var/netscaler/ssl nach der CRL-Datei. Maximal 63 Zeichen.
  • URL: Maximal 127 Zeichen
  • Basis-DN: Maximal 127 Zeichen
  • Bind DN: Maximal 127 Zeichen
  • Kennwort: Maximal 31 Zeichen
  • Tag (e): Maximal 31
  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration SSL und klicken Sie dann auf CRL.
  2. Klicken Sie im Detailbereich auf “Hinzufügen”.
  3. Geben Sie im Dialogfeld CRL hinzufügen die Werte für Folgendes an:
    • CRL-Name
    • CRL Datei
    • Format (optional)
    • CA-Zertifikat (optional)
  4. Klicken Sie auf Create und dann auf Close. Wählen Sie im Bereich CRL-Details die CRL aus, die Sie gerade konfiguriert haben, und überprüfen Sie, ob die Einstellungen, die unten auf dem Bildschirm angezeigt werden, korrekt sind.

So konfigurieren Sie die automatische CRL-Aktualisierung mithilfe von LDAP oder HTTP im Konfigurationsprogramm

Eine CRL wird von einer CA in regelmäßigen Abständen oder in einigen Fällen unmittelbar nach dem Widerruf eines bestimmten Zertifikats generiert und veröffentlicht. Citrix empfiehlt, CRLs auf der Citrix Gateway-Appliance regelmäßig zu aktualisieren, um vor Clients zu schützen, die versuchen, eine Verbindung mit ungültigen Zertifikaten herzustellen.

Das Citrix Gateway-Gerät kann CRLs von einem Webspeicherort oder einem LDAP-Verzeichnis aus aktualisieren. Wenn Sie Aktualisierungsparameter und einen Webspeicherort oder einen LDAP-Server angeben, muss die CRL zum Zeitpunkt der Ausführung des Befehls nicht auf dem lokalen Festplattenlaufwerk vorhanden sein. Bei der ersten Aktualisierung wird eine Kopie auf dem lokalen Festplattenlaufwerk in dem durch den Parameter CRL File angegebenen Pfad gespeichert. Der Standardpfad zum Speichern der CRL lautet /var/netscaler/ssl.

CRL-Aktualisierungsparameter

  • CRL-Name

    Der Name der CRL, die auf dem Citrix Gateway aktualisiert wird.

  • Aktivieren Sie die automatische Aktualisierung von CRL

    Aktivieren oder deaktivieren Sie die automatische Aktualisierung von CRL.

  • CA-Zertifikat

    Das Zertifikat der CA, die die CRL ausgestellt hat. Dieses CA-Zertifikat muss auf der Appliance installiert sein. Der Citrix ADC kann CRLs nur von CAs aktualisieren, deren Zertifikate darauf installiert sind.

  • Methode

    Protokoll, in dem die CRL-Aktualisierung von einem Webserver (HTTP) oder einem LDAP-Server abgerufen werden soll. Mögliche Werte: HTTP, LDAP. Standard: HTTP.

  • Geltungsbereich

    Das Ausmaß des Suchvorgangs auf dem LDAP-Server. Wenn der angegebene Bereich Base ist, erfolgt die Suche auf derselben Ebene wie der Basis-DN. Wenn der angegebene Bereich Eins ist, erstreckt sich die Suche auf eine Ebene unter dem Basis-DN.

  • Server-IP

    Die IP-Adresse des LDAP-Servers, von dem die CRL abgerufen wird. Wählen Sie IPv6 aus, um eine IPv6-IP-Adresse zu verwenden.

  • Port

    Die Portnummer, auf der der LDAP oder der HTTP-Server kommuniziert.

  • URL

    Die URL für den Webstandort, von dem die CRL abgerufen wird.

  • Basis-DN

    Der Basis-DN, der vom LDAP-Server für die Suche nach dem CRL-Attribut verwendet wird. Hinweis: Citrix empfiehlt, das Basis-DN-Attribut anstelle des Ausstellernamens aus dem CA-Zertifikat zu verwenden, um im LDAP-Server nach der CRL zu suchen. Das Feld “Ausstellername” stimmt möglicherweise nicht genau mit dem DN der LDAP-Verzeichnisstruktur überein.

  • Bind DN

    Das Bind-DN-Attribut, das für den Zugriff auf das CRL-Objekt im LDAP-Repository verwendet wird. Die Bind-DN-Attribute sind die Administratoranmeldeinformationen für den LDAP-Server. Konfigurieren Sie diesen Parameter, um den unbefugten Zugriff auf die LDAP-Server einzuschränken.

  • Kennwort

    Das Administratorkennwort, das für den Zugriff auf das CRL-Objekt im LDAP-Repository verwendet wurde. Dies ist erforderlich, wenn der Zugriff auf das LDAP-Repository eingeschränkt ist, d. h. ein anonymer Zugriff nicht zulässig ist.

  • Intervall

    Das Intervall, in dem die CRL-Aktualisierung durchgeführt werden soll. Geben Sie für eine sofortige CRL-Aktualisierung das Intervall als NOW an. Mögliche Werte: MONTHLY, DAILY, WEEKLY, NOW, NONE.

  • Tage

    Der Tag, an dem die CRL-Aktualisierung durchgeführt werden soll. Die Option ist nicht verfügbar, wenn das Intervall auf TÄGLICH gesetzt ist.

  • Zeit

    Die genaue Uhrzeit im 24-Stunden-Format, zu der die CRL-Aktualisierung durchgeführt werden soll.

  • Binär

    Stellen Sie den LDAP-basierten CRL-Abrufmodus auf binär ein. Mögliche Werte: YES, NO. Standard: NEIN.

  1. Erweitern Sie im Navigationsbereich SSL und klicken Sie dann auf CRL.
  2. Wählen Sie die konfigurierte CRL aus, für die Sie Aktualisierungsparameter aktualisieren möchten, und klicken Sie dann auf Öffnen.
  3. Wählen Sie die Option “CRL Auto Refresh aktivieren”.
  4. Geben Sie in der Gruppe CRL Auto Refresh Parameters Werte für die folgenden Parameter an: Hinweis: Ein Sternchen (*) zeigt einen erforderlichen Parameter an.
    • Methode
    • Binär
    • Geltungsbereich
    • Server-IP
    • Port*
    • URL
    • Base DN*
    • Bind DN
    • Kennwort
    • Intervall
    • Tag (e)
    • Zeit
  5. Klicken Sie auf Erstellen. Wählen Sie im CRL-Bereich die CRL aus, die Sie gerade konfiguriert haben, und überprüfen Sie, ob die Einstellungen am unteren Bildschirmrand korrekt sind.
Sperrlisten für Zertifikate