Zertifikatsignieranforderung erstellen
Um sichere Kommunikation über SSL oder TLS bereitzustellen, ist ein Serverzertifikat auf Citrix Gateway erforderlich. Bevor Sie ein Zertifikat auf Citrix Gateway hochladen können, müssen Sie eine Certificate Signing Request (CSR) und einen privaten Schlüssel generieren. Sie verwenden die im Citrix Gateway-Assistenten enthaltene Zertifikatsanforderung erstellen oder das Konfigurationsdienstprogramm, um die CSR zu erstellen. Die Zertifikatsanforderung erstellen erstellt eine CSR-Datei, die zur Signatur per E-Mail an die Zertifizierungsstelle (CA) gesendet wird, und einen privaten Schlüssel, der auf der Appliance verbleibt. Die CA signiert das Zertifikat und sendet es an die von Ihnen angegebene E-Mail-Adresse an Sie zurück. Wenn Sie das signierte Zertifikat erhalten, können Sie es auf Citrix Gateway installieren. Wenn Sie das Zertifikat von der CA zurückerhalten, koppeln Sie das Zertifikat mit dem privaten Schlüssel.
Wichtig: Wenn Sie den Citrix Gateway-Assistenten zum Erstellen der CSR verwenden, müssen Sie den Assistenten beenden und warten, bis die CA Ihnen das signierte Zertifikat sendet. Wenn Sie das Zertifikat erhalten, können Sie den Citrix Gateway-Assistenten erneut ausführen, um die Einstellungen zu erstellen und das Zertifikat zu installieren. Weitere Informationen zum Citrix Gateway-Assistenten finden Sie unter Konfigurieren von Einstellungen mithilfe des Citrix Gateway-Assistenten.
Erstellen einer CSR mithilfe des Citrix Gateway-Assistenten
- Klicken Sie im Konfigurationsprogramm auf die Registerkarte Konfiguration und dann im Navigationsbereich auf Citrix ADC Gateway.
- Klicken Sie im Detailbereich unter Erste Schritte auf Citrix ADC Gateway Wizard.
- Folgen Sie den Anweisungen des Assistenten, bis Sie zur Seite Serverzertifikat angeben gelangen.
- Klicken Sie auf Erstellen einer Zertifikatsignieranforderung und füllen Sie die Felder aus. Hinweis: Der vollqualifizierte Domänenname (FQDN) muss nicht mit dem Citrix Gateway-Hostnamen übereinstimmen. Der FQDN wird für die Benutzeranmeldung verwendet.
- Klicken Sie auf Erstellen, um das Zertifikat auf Ihrem Computer zu speichern, und klicken Sie dann auf Schließen.
- Beenden Sie den Citrix Gateway Assistenten, ohne Ihre Einstellungen zu speichern.
Erstellen Sie eine CSR mithilfe der Citrix ADC GUI
Sie können auch die Citrix ADC GUI verwenden, um eine CSR zu erstellen, ohne den Citrix Gateway-Assistenten auszuführen.
- Navigieren Sie zu Traffic Management > SSL > SSL-Dateien und wählen SieCertificate Signing Request (CSR) erstellen.
- Füllen Sie die Einstellungen für das Zertifikat aus und klicken Sie dann auf Erstellen.
Nachdem Sie das Zertifikat und den privaten Schlüssel erstellt haben, senden Sie das Zertifikat per E-Mail an die CA wie Thawte oder Verisign.
Ausführliche Vorgehensweise finden Sie unter Erstellen einer Zertifikatsignieranforderung.
Installieren Sie das signierte Zertifikat auf Citrix Gateway
Wenn Sie das signierte Zertifikat von der Certificate Authority (CA) erhalten, koppeln Sie es mit dem privaten Schlüssel auf dem Gerät und installieren Sie das Zertifikat dann auf Citrix Gateway.
Koppeln Sie das signierte Zertifikat über die GUI mit einem privaten Schlüssel
- Kopieren Sie das Zertifikat mithilfe eines Secure Shell (SSH) -Programms wie WinSCP nach Citrix Gateway in den Ordner nsconfig/ssl.
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich SSL > Zertifikate.
- Klicken Sie auf der Seite SSL-Zertifikat auf Erste Schritte.
- Klicken Sie im Detailbereich auf Installieren.
- Geben Sie im Feld Name des Zertifikatsschlüsselpaars den Namen des Zertifikats ein.
- Klicken Sie unter Zertifikatsdateinameauf Appliance
- Navigieren Sie zum Zertifikat, klicken Sie auf Auswählenund dann auf Öffnen.
- Klicken Sie unter Schlüsseldateinameauf Appliance. Der Name des privaten Schlüssels entspricht dem Namen der Certificate Signing Request (CSR). Der private Schlüssel befindet sich auf Citrix Gateway im Verzeichnis\ nsconfig\ ssl.
- Wählen Sie den privaten Schlüssel aus und klicken Sie dann auf Öffnen.
- Wenn das Zertifikat im PEM-Format ist, geben Sie unter Passwort das Passwortfür den privaten Schlüssel ein.
- Wenn Sie eine Benachrichtigung für den Ablauf des Zertifikats konfigurieren möchten, wählen Sie Bei Ablauf benachrichtigen.
- Geben Sie im Feld Benachrichtigungszeitraumdie Anzahl der Tage ein, klicken Sie auf Erstellenund dann auf Schließen.
Binden Sie das Zertifikat und den privaten Schlüssel über die GUI an einen virtuellen Server
Nachdem Sie ein Zertifikat und ein privates Schlüsselpaar erstellt und verknüpft haben, binden Sie es an einen virtuellen Server.
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Virtuelle Server.
- Klicken Sie im Detailbereich auf einen virtuellen Server und dann auf Öffnen.
- Wählen Sie auf der Registerkarte Zertifikate unter Verfügbarein Zertifikat aus, klicken Sie auf Hinzufügenund dann auf OK.
Binden Sie das Zertifikat und den privaten Schlüssel über die CLI an einen virtuellen Server
Geben Sie an der Eingabeaufforderung;
bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional )
<!--NeedCopy-->
Beispiel:
bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory
<!--NeedCopy-->
Hinweis: OSCPCheck ist optional, wenn für das Gerätezertifikat keine OCSP-Prüfung erforderlich ist.
Entbinden von Testzertifikaten über die GUI vom virtuellen Server
Nachdem Sie das signierte Zertifikat installiert haben, lösen Sie die Bindung aller Testzertifikate, die an den virtuellen Server gebunden sind. Sie können Testzertifikate mithilfe des Konfigurationsdienstprogramms aufheben.
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Virtuelle Server.
- Klicken Sie im Detailbereich auf einen virtuellen Server und dann auf Öffnen.
- Wählen Sie auf der Registerkarte Zertifikate unter Konfiguriertdas Testzertifikat aus, und klicken Sie dann auf Entfernen.