Konfigurieren von Zwischenzertifikaten
Ein Zwischenzertifikat ist ein Zertifikat, das zwischen Citrix Gateway (dem Serverzertifikat) und einem Stammzertifikat (auf dem Benutzergerät installiert) verläuft. Ein Zwischenzertifikat ist Teil einer Kette.
Einige Organisationen delegieren die Verantwortung für die Ausstellung von Zertifikaten, um das Problem der geografischen Trennung zwischen Organisationseinheiten zu lösen oder unterschiedliche Ausstellungsrichtlinien auf verschiedene Bereiche der Organisation anzuwenden.
Die Verantwortung für die Ausstellung von Zertifikaten kann durch die Einrichtung untergeordneter Zertifizierungsstellen (CAs) delegiert werden. Zertifizierungsstellen können ihre eigenen Zertifikate signieren (d. h. sie sind selbst signiert) oder sie können von einer anderen CA signiert werden. Der X.509-Standard beinhaltet ein Modell zum Einrichten einer Hierarchie von CAs. In diesem Modell steht die Stammzertifizierungsstelle, wie in der folgenden Abbildung dargestellt, an der Spitze der Hierarchie und ist ein selbstsigniertes Zertifikat der CA. Die CAs, die der Root-CA direkt untergeordnet sind, haben CA-Zertifikate, die von der Root-CA signiert wurden. Zertifizierungsstellen unter den untergeordneten Zertifizierungsstellen in der Hierarchie lassen ihre CA-Zertifikate von den untergeordneten Zertifizierungsstellen signieren.
Abbildung 1. Das X.509-Modell zeigt die hierarchische Struktur einer typischen digitalen Zertifikatskette
Wenn ein Serverzertifikat von einer CA mit einem selbstsignierten Zertifikat signiert wird, besteht die Zertifikatskette aus genau zwei Zertifikaten: dem Endentitätszertifikat und der Stammzertifizierungsstelle. Wenn ein Benutzer- oder Serverzertifikat von einer zwischengeschalteten CA signiert wird, ist die Zertifikatskette länger.
Die folgende Abbildung zeigt, dass die ersten beiden Elemente das Endentitätszertifikat (in diesem Fall gwy01.company.com) und das Zertifikat der Zwischenzertifikate in dieser Reihenfolge sind. Auf das Zertifikat der Zwischenzertifikate folgt das Zertifikat ihrer CA. Diese Auflistung wird fortgesetzt, bis das letzte Zertifikat in der Liste für eine Stammzertifizierungsstelle bestimmt ist. Jedes Zertifikat in der Kette bestätigt die Identität des vorherigen Zertifikats.
Abbildung 2. Eine typische digitale Zertifikatskette
So installieren Sie ein Zwischenzertifikat
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf Zertifikate.
- Klicken Sie im Detailbereich auf Installieren.
- Geben Sie im Feld Name des Zertifikatsschlüsselpaars den Namen des Zertifikats ein.
- Klicken Sie unter Details unter Name der Zertifikatsdatei auf Durchsuchen (Gerät) und wählen Sie im Menüfeld Lokal oder Einheit aus.
- Navigieren Sie zum Zertifikat auf Ihrem Computer (lokal) oder auf Citrix Gateway (Appliance).
- Wählen Sie im Zertifikatsformat PEM aus.
- Klicken Sie auf Installieren und dann auf Schließen.
Wenn Sie ein Zwischenzertifikat auf Citrix Gateway installieren, müssen Sie weder den privaten Schlüssel noch ein Kennwort angeben.
Nachdem das Zertifikat auf der Appliance installiert wurde, muss das Zertifikat mit dem Serverzertifikat verknüpft werden.
So verknüpfen Sie ein Zwischenzertifikat mit einem Serverzertifikat
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf Zertifikate.
- Wählen Sie im Detailbereich das Serverzertifikat aus und klicken Sie dann unter Aktion auf Link.
- Wählen Sie neben CA Certificate Name das Zwischenzertifikat aus der Liste aus und klicken Sie dann auf OK.