Gateway

Sperrlisten für Zertifikate

March 27, 2024

Beitrag von:

Von Zeit zu Zeit stellen Zertifizierungsstellen (CAs) Zertifikatsperrlisten (CRLs) aus. CRLs enthalten Informationen über Zertifikate, denen nicht mehr vertraut werden kann. Angenommen, Ann verlässt die XYZ Corporation. Das Unternehmen kann Anns Zertifikat auf eine CRL legen, um zu verhindern, dass sie Nachrichten mit diesem Schlüssel signiert.

Ebenso können Sie ein Zertifikat widerrufen, wenn ein privater Schlüssel kompromittiert ist oder wenn dieses Zertifikat abgelaufen ist und ein neues verwendet wird. Bevor Sie einem öffentlichen Schlüssel vertrauen, stellen Sie sicher, dass das Zertifikat nicht in einer CRL angezeigt wird.

Citrix Gateway unterstützt die folgenden zwei CRL-Typen:

CRLs, die die Zertifikate auflisten, die widerrufen wurden oder nicht mehr gültig sind
Online Certificate Status Protocol (OSCP), ein Internetprotokoll, das zum Abrufen des Sperrstatus von X.509-Zertifikaten verwendet wird

Um eine CRL hinzuzufügen

Stellen Sie vor dem Konfigurieren der CRL auf dem Citrix Gateway-Gerät sicher, dass die CRL-Datei lokal auf dem Gerät gespeichert ist. Im Falle eines Hochverfügbarkeits-Setups muss die CRL-Datei auf beiden Citrix Gateway-Appliances vorhanden sein, und der Verzeichnispfad zur Datei muss auf beiden Appliances identisch sein.

Wenn Sie die CRL aktualisieren müssen, können Sie die folgenden Parameter verwenden:

CRL-Name: Der Name der CRL, die auf dem Citrix ADC hinzugefügt wird. Maximal 31 Zeichen.
CRL-Datei: Der Name der CRL-Datei, die auf dem Citrix ADC hinzugefügt wird. Der Citrix ADC sucht standardmäßig im Verzeichnis /var/netscaler/ssl nach der CRL-Datei. Maximal 63 Zeichen.
URL: Maximal 127 Zeichen
Basis-DN: Maximal 127 Zeichen
Bind DN: Maximal 127 Zeichen
Kennwort: Maximal 31 Zeichen
Tag (e): Maximal 31

Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration SSL und klicken Sie dann auf CRL.
Klicken Sie im Detailbereich auf “Hinzufügen”.
Geben Sie im Dialogfeld CRL hinzufügen die Werte für Folgendes an:
- CRL-Name
- CRL Datei
- Format (optional)
- CA-Zertifikat (optional)
Klicken Sie auf Create und dann auf Close. Wählen Sie im Bereich CRL-Details die CRL aus, die Sie gerade konfiguriert haben, und überprüfen Sie, ob die Einstellungen, die unten auf dem Bildschirm angezeigt werden, korrekt sind.

So konfigurieren Sie die automatische CRL-Aktualisierung mithilfe von LDAP oder HTTP im Konfigurationsprogramm

Eine CRL wird von einer CA in regelmäßigen Abständen oder in einigen Fällen unmittelbar nach dem Widerruf eines bestimmten Zertifikats generiert und veröffentlicht. Citrix empfiehlt, CRLs auf der Citrix Gateway-Appliance regelmäßig zu aktualisieren, um vor Clients zu schützen, die versuchen, eine Verbindung mit ungültigen Zertifikaten herzustellen.

Das Citrix Gateway-Gerät kann CRLs von einem Webspeicherort oder einem LDAP-Verzeichnis aus aktualisieren. Wenn Sie Aktualisierungsparameter und einen Webspeicherort oder einen LDAP-Server angeben, muss die CRL zum Zeitpunkt der Ausführung des Befehls nicht auf dem lokalen Festplattenlaufwerk vorhanden sein. Bei der ersten Aktualisierung wird eine Kopie auf dem lokalen Festplattenlaufwerk in dem durch den Parameter CRL File angegebenen Pfad gespeichert. Der Standardpfad zum Speichern der CRL lautet /var/netscaler/ssl.

CRL-Aktualisierungsparameter

CRL-Name

Der Name der CRL, die auf dem Citrix Gateway aktualisiert wird.
Aktivieren Sie die automatische Aktualisierung von CRL

Aktivieren oder deaktivieren Sie die automatische Aktualisierung von CRL.
CA-Zertifikat

Das Zertifikat der CA, die die CRL ausgestellt hat. Dieses CA-Zertifikat muss auf der Appliance installiert sein. Der Citrix ADC kann CRLs nur von CAs aktualisieren, deren Zertifikate darauf installiert sind.
Methode

Protokoll, in dem die CRL-Aktualisierung von einem Webserver (HTTP) oder einem LDAP-Server abgerufen werden soll. Mögliche Werte: HTTP, LDAP. Standard: HTTP.
Geltungsbereich

Das Ausmaß des Suchvorgangs auf dem LDAP-Server. Wenn der angegebene Bereich Base ist, erfolgt die Suche auf derselben Ebene wie der Basis-DN. Wenn der angegebene Bereich Eins ist, erstreckt sich die Suche auf eine Ebene unter dem Basis-DN.
Server-IP

Die IP-Adresse des LDAP-Servers, von dem die CRL abgerufen wird. Wählen Sie IPv6 aus, um eine IPv6-IP-Adresse zu verwenden.
Port

Die Portnummer, auf der der LDAP oder der HTTP-Server kommuniziert.
URL

Die URL für den Webstandort, von dem die CRL abgerufen wird.
Basis-DN

Der Basis-DN, der vom LDAP-Server für die Suche nach dem CRL-Attribut verwendet wird. Hinweis: Citrix empfiehlt, das Basis-DN-Attribut anstelle des Ausstellernamens aus dem CA-Zertifikat zu verwenden, um im LDAP-Server nach der CRL zu suchen. Das Feld “Ausstellername” stimmt möglicherweise nicht genau mit dem DN der LDAP-Verzeichnisstruktur überein.
Bind DN

Das Bind-DN-Attribut, das für den Zugriff auf das CRL-Objekt im LDAP-Repository verwendet wird. Die Bind-DN-Attribute sind die Administratoranmeldeinformationen für den LDAP-Server. Konfigurieren Sie diesen Parameter, um den unbefugten Zugriff auf die LDAP-Server einzuschränken.
Kennwort

Das Administratorkennwort, das für den Zugriff auf das CRL-Objekt im LDAP-Repository verwendet wurde. Dies ist erforderlich, wenn der Zugriff auf das LDAP-Repository eingeschränkt ist, d. h. ein anonymer Zugriff nicht zulässig ist.
Intervall

Das Intervall, in dem die CRL-Aktualisierung durchgeführt werden soll. Geben Sie für eine sofortige CRL-Aktualisierung das Intervall als NOW an. Mögliche Werte: MONTHLY, DAILY, WEEKLY, NOW, NONE.
Tage

Der Tag, an dem die CRL-Aktualisierung durchgeführt werden soll. Die Option ist nicht verfügbar, wenn das Intervall auf TÄGLICH gesetzt ist.
Zeit

Die genaue Uhrzeit im 24-Stunden-Format, zu der die CRL-Aktualisierung durchgeführt werden soll.
Binär

Stellen Sie den LDAP-basierten CRL-Abrufmodus auf binär ein. Mögliche Werte: YES, NO. Standard: NEIN.

Erweitern Sie im Navigationsbereich SSL und klicken Sie dann auf CRL.
Wählen Sie die konfigurierte CRL aus, für die Sie Aktualisierungsparameter aktualisieren möchten, und klicken Sie dann auf Öffnen.
Wählen Sie die Option “CRL Auto Refresh aktivieren”.
Geben Sie in der Gruppe CRL Auto Refresh Parameters Werte für die folgenden Parameter an: Hinweis: Ein Sternchen (*) zeigt einen erforderlichen Parameter an.
- Methode
- Binär
- Geltungsbereich
- Server-IP
- Port*
- URL
- Base DN*
- Bind DN
- Kennwort
- Intervall
- Tag (e)
- Zeit
Klicken Sie auf Erstellen. Wählen Sie im CRL-Bereich die CRL aus, die Sie gerade konfiguriert haben, und überprüfen Sie, ob die Einstellungen am unteren Bildschirmrand korrekt sind.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Sperrlisten für Zertifikate

March 27, 2024

Beitrag von:

March 27, 2024

Beitrag von:

In diesem Artikel

Um eine CRL hinzuzufügen
So konfigurieren Sie die automatische CRL-Aktualisierung mithilfe von LDAP oder HTTP im Konfigurationsprogramm