Zwischenzertifikate konfigurieren

Ein Zwischenzertifikat ist ein Zertifikat, das zwischen Citrix Gateway (dem Serverzertifikat) und einem Stammzertifikat (auf dem Benutzergerät installiert) verläuft. Ein Zwischenzertifikat ist Teil einer Kette.

Einige Organisationen delegieren die Verantwortung für die Ausstellung von Zertifikaten, um das Problem der geografischen Trennung zwischen Organisationseinheiten zu lösen oder unterschiedliche Ausstellungsrichtlinien auf verschiedene Bereiche der Organisation anzuwenden.

Die Verantwortung für die Ausstellung von Zertifikaten kann durch die Einrichtung untergeordneter Zertifizierungsstellen (CAs) delegiert werden. Zertifizierungsstellen können ihre eigenen Zertifikate signieren (d. h. sie sind selbstsigniert) oder sie können von einer anderen Zertifizierungsstelle signiert werden. Der X.509-Standard beinhaltet ein Modell zum Einrichten einer Hierarchie von CAs. In diesem Modell befindet sich die Stamm-CA, wie in der folgenden Abbildung dargestellt, ganz oben in der Hierarchie und ist ein selbstsigniertes Zertifikat der Zertifizierungsstelle. Die CAs, die der Stamm-CA direkt untergeordnet sind, haben von der Stammzertifizierungsstelle signierte CA-Zertifikate. Zertifizierungsstellen unter den untergeordneten Zertifizierungsstellen in der Hierarchie lassen ihre CA-Zertifikate von den untergeordneten Zertifizierungsstellen signieren.

Abbildung 1. Das X.509-Modell zeigt die hierarchische Struktur einer typischen digitalen Zertifikatskette

Wenn ein Serverzertifikat von einer CA mit einem selbstsignierten Zertifikat signiert wird, besteht die Zertifikatskette aus genau zwei Zertifikaten: dem Entitätszertifikat und der Stammzertifizierungsstelle. Wenn ein Benutzer- oder Serverzertifikat von einer zwischengeschalteten Zertifizierungsstelle signiert wird, ist die Zertifikatskette länger.

Die folgende Abbildung zeigt, dass die ersten beiden Elemente das End-Entitätszertifikat (in diesem Fall gwy01.company.com) und das Zertifikat der zwischengeschalteten Zertifizierungsstelle in dieser Reihenfolge sind. Auf das Zertifikat der zwischengeschalteten Zertifizierungsstelle folgt das Zertifikat ihrer Zertifizierungsstelle. Diese Auflistung wird fortgesetzt, bis das letzte Zertifikat in der Liste für eine Stammzertifizierungsstelle gilt. Jedes Zertifikat in der Kette bestätigt die Identität des vorherigen Zertifikats.

Abbildung 2. Eine typische digitale Zertifikatskette

Installieren Sie ein Zwischenzertifikat

1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf Zertifikate.
2. Klicken Sie im Detailbereich auf Installieren.
3. Geben Sie im Feld Name des Zertifikatsschlüsselpaars den Namen des Zertifikats ein.
4. Klicken Sie unter Details unter Certificate File Name auf Browse (Appliance) und wählen Sie in der Liste Local oder Appliance aus.
5. Navigieren Sie zum Zertifikat auf Ihrem Computer (lokal) oder auf Citrix Gateway (Appliance).
6. Wählen Sie im Zertifikatsformat PEM aus.
7. Klicken Sie auf Installieren und dann auf Schließen.

Wenn Sie ein Zwischenzertifikat auf Citrix Gateway installieren, müssen Sie weder den privaten Schlüssel noch ein Kennwort angeben.

Nachdem das Zertifikat auf der Appliance installiert wurde, muss das Zertifikat mit dem Serverzertifikat verknüpft werden.

Verknüpfen eines Zwischenzertifikats mit einem Serverzertifikat

1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf Zertifikate.
2. Wählen Sie im Detailbereich das Serverzertifikat aus und klicken Sie dann unter Aktion auf Link.
3. Wählen Sie neben CA Certificate Name das Zwischenzertifikat aus der Liste aus und klicken Sie dann auf OK.