Gateway

Konfiguration des OCSP-Zertifikatsstatus

Die Konfiguration des Online Certificate Status Protocol (OCSP) umfasst das Hinzufügen eines OCSP-Responders, das Binden des OCSP-Responders an ein signiertes Zertifikat einer Zertifizierungsstelle (CA) und das Binden des Zertifikats und des privaten Schlüssels an einen virtuellen Secure Sockets Layer (SSL) -Server. Wenn Sie ein anderes Zertifikat und einen anderen privaten Schlüssel an einen bereits konfigurierten OCSP-Responder binden müssen, müssen Sie zuerst den Responder lösen und dann den Responder an ein anderes Zertifikat binden.

So konfigurieren Sie OCSP

  1. Erweitern Sie auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf OCSP-Responder.

  2. Klicken Sie im Detailbereich auf “Hinzufügen”.

  3. Geben Sie im Feld Name einen Namen für das Profil ein.

  4. Geben Sie unter URL die Webadresse des OCSP-Responders ein.

    Dieses Feld ist obligatorisch. Die Webadresse darf 32 Zeichen nicht überschreiten.

  5. Um die OCSP-Antworten zwischenzuspeichern, klicken Sie auf Cache und geben Sie unter Timeout die Anzahl der Minuten ein, die Citrix Gateway die Antwort enthält.

  6. Klicken Sie unter Batching anfordern auf Aktivieren.

  7. Geben Sie in Batching Delay die Zeit in Millisekunden an, die für das Stapeln einer Gruppe von OCSP-Anfragen zulässig ist.

    Die Werte können zwischen 0 und 10000 liegen. Der Standardwert ist 1.

  8. Geben Sie unter Produced At Time Skew die Zeit ein, die Citrix Gateway verwenden kann, wenn die Appliance die Antwort überprüfen oder akzeptieren muss.

  9. Wählen Sie unter Reaktionsüberprüfung Vertrauensantworten aus, wenn Sie Signaturprüfungen durch den OCSP-Responder deaktivieren möchten.

    Wenn Sie Trust Responses aktivieren, überspringen Sie Schritt 8 und Schritt 9.

  10. Wählen Sie unter Certificate das Zertifikat aus, das zum Signieren der OCSP-Antworten verwendet wird.

    Wenn kein Zertifikat ausgewählt ist, wird die CA, an die der OCSP-Responder gebunden ist, zur Überprüfung der Antworten verwendet.

  11. Geben Sie unter Request Timeout die Anzahl der Millisekunden ein, um auf eine OCSP-Antwort zu warten.

    Diese Zeit beinhaltet die Batching Delay-Zeit. Die Werte können zwischen 0 und 120000 liegen. Die Standardeinstellung ist 2000.

  12. Wählen Sie unter Signaturzertifikat das Zertifikat und den privaten Schlüssel aus, mit denen OCSP-Anfragen signiert werden. Wenn Sie kein Zertifikat und keinen privaten Schlüssel angeben, werden die Anfragen nicht signiert.

  13. Um die einmal verwendete Rufnummer (Nonce) als Erweiterung zu aktivieren, wählen Sie Nonce aus.

  14. Um ein Clientzertifikat zu verwenden, klicken Sie auf Clientzertifikat einfügen

  15. Klicken Sie auf Create und dann auf Close.

Konfiguration des OCSP-Zertifikatsstatus