Zertifikatsperrlisten

Von Zeit zu Zeit stellen Zertifizierungsstellen (Certificate Authorities, CAs) Zertifikatsperrlisten aus. Zertifikatsperrlisten enthalten Informationen zu Zertifikaten, denen nicht mehr vertraut werden kann. Angenommen, Ann verlässt XYZ Corporation. Das Unternehmen kann Ann’s Zertifikat auf eine CRL platzieren, um zu verhindern, dass sie Nachrichten mit diesem Schlüssel signiert.

Ebenso können Sie ein Zertifikat widerrufen, wenn ein privater Schlüssel kompromittiert ist oder wenn dieses Zertifikat abgelaufen ist und ein neuer verwendet wird. Bevor Sie einem öffentlichen Schlüssel vertrauen, stellen Sie sicher, dass das Zertifikat nicht auf einer Zertifikatsperrliste angezeigt wird.

Citrix Gateway unterstützt die folgenden zwei CRL-Typen:

• Zertifikatsperrlisten, die gesperrte oder nicht mehr gültige Zertifikate auflisten
• Online Certificate Status Protocol (OSCP), ein Internetprotokoll, das zum Abrufen des Sperrstatus von X.509-Zertifikaten verwendet wird

So fügen Sie eine Zertifikatssperrliste hinzu

Bevor Sie die Zertifikatsperrliste auf der Citrix Gateway-Appliance konfigurieren, stellen Sie sicher, dass die CRL-Datei lokal auf der Appliance gespeichert ist. Im Falle eines Hochverfügbarkeits-Setups muss die CRL-Datei auf beiden Citrix Gateway-Appliances vorhanden sein, und der Verzeichnispfad zur Datei muss auf beiden Appliances identisch sein.

Wenn Sie die Zertifikatsperrliste aktualisieren müssen, können Sie die folgenden Parameter verwenden:

• CRL-Name: Der Name der Zertifikatsperrliste, die im Citrix ADC hinzugefügt wird. Maximal 31 Zeichen.
• CRL-Datei: Der Name der CRL-Datei, die im Citrix ADC hinzugefügt wird. Der Citrix ADC sucht standardmäßig nach der CRL-Datei im Verzeichnis /var/netscaler/ssl. Maximal 63 Zeichen.
• URL: Maximal 127 Zeichen
• Basis-DN: Maximal 127 Zeichen
• Bind DN: Maximal 127 Zeichen
• Kennwort: Maximal 31 Zeichen
• Tag (e): Maximum 31

1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration SSL und klicken Sie dann auf Zertifikatsperrliste.
2. Klicken Sie im Detailbereich auf “Hinzufügen”.
3. Geben Sie im Dialogfeld Zertifikatsperrliste hinzufügen die folgenden Werte an:
   • Name der Zertifikatsperrliste
   • CRL-Datei
   • Format (optional)
   • Zertifizierungsstellenzertifikat (optional)
4. Klicken Sie auf Create und dann auf Close. Wählen Sie im Bereich Zertifikatsperrlistendetails die CRL aus, die Sie gerade konfiguriert haben, und stellen Sie sicher, dass die am unteren Bildschirmrand angezeigten Einstellungen korrekt sind.

So konfigurieren Sie die automatische CRL-Aktualisierung mit LDAP oder HTTP im Konfigurationsdienstprogramm

Eine Zertifikatsperrliste wird von einer Zertifizierungsstelle in regelmäßigen Abständen oder in einigen Fällen unmittelbar nach dem Widerruf eines bestimmten Zertifikats generiert und veröffentlicht. Citrix empfiehlt, dass Sie CRLs auf der Citrix Gateway-Appliance regelmäßig aktualisieren, um vor Clients zu schützen, die versuchen, eine Verbindung mit ungültigen Zertifikaten herzustellen.

Die Citrix Gateway-Appliance kann CRLs von einem Webspeicherort oder einem LDAP-Verzeichnis aktualisieren. Wenn Sie Aktualisierungsparameter und einen Webspeicherort oder einen LDAP-Server angeben, muss die Zertifikatsperrliste zum Zeitpunkt der Ausführung des Befehls nicht auf der lokalen Festplatte vorhanden sein. Bei der ersten Aktualisierung wird eine Kopie auf dem lokalen Festplattenlaufwerk in dem durch den Parameter CRL-Datei angegebenen Pfad gespeichert. Der Standardpfad zum Speichern der Zertifikatsperrliste lautet /var/netscaler/ssl.

CRL-Aktualisierungsparameter

• Name der Zertifikatsperrliste

  Der Name der CRL, die auf Citrix Gateway aktualisiert wird.

• Automatische Aktualisierung der Zertifikatssperrliste aktivieren

  Aktivieren oder deaktivieren Sie die automatische Aktualisierung der Zertifikatssperrliste.

• Zertifizierungsstellenzertifikat

  Das Zertifikat der Zertifizierungsstelle, die die Zertifikatsperrliste ausgestellt hat. Dieses Zertifizierungsstellenzertifikat muss auf der Appliance installiert sein. Der Citrix ADC kann CRLs nur von Zertifizierungsstellen aktualisieren, deren Zertifikate darauf installiert sind.

• Methode

  Protokoll, in dem die CRL-Aktualisierung von einem Webserver (HTTP) oder einem LDAP-Server abgerufen werden soll. Mögliche Werte: HTTP, LDAP. Standard: HTTP.

• Geltungsbereich

  Die Ausdehnung des Suchvorgangs auf dem LDAP-Server. Wenn der angegebene Bereich “ Basis” ist, erfolgt die Suche auf der gleichen Ebene wie der Basis-DN. Wenn der angegebene Bereich Eins ist, erstreckt sich die Suche auf eine Ebene unterhalb des Basis-DN.

• Server-IP

  Die IP-Adresse des LDAP-Servers, von dem die Zertifikatsperrliste abgerufen wird. Wählen Sie IPv6 aus, um eine IPv6-IP-Adresse zu verwenden.

• Port

  Die Portnummer, über die der LDAP oder der HTTP-Server kommuniziert.

• URL

  Die URL für den Webspeicherort, von dem die Zertifikatsperrliste abgerufen wird.

• Basis DN

  Der Basis-DN, der vom LDAP-Server zur Suche nach dem CRL-Attribut verwendet wird. Hinweis: Citrix empfiehlt, das Basis-DN-Attribut anstelle des Ausstellernamens aus dem Zertifizierungsstellenzertifikat zu verwenden, um nach der Zertifikatsperrliste auf dem LDAP-Server zu suchen. Das Feld “Ausstellername” stimmt möglicherweise nicht genau mit dem DN der LDAP-Verzeichnisstruktur überein.

• Bind DN

  Das Bind-DN-Attribut, das für den Zugriff auf das CRL-Objekt im LDAP-Repository verwendet wird. Die Bind-DN-Attribute sind die Administratoranmeldeinformationen für den LDAP-Server. Konfigurieren Sie diesen Parameter, um den unbefugten Zugriff auf die LDAP-Server zu beschränken.

• Kennwort

  Das Administratorkennwort, das für den Zugriff auf das Zertifikatsperrlistenobjekt im LDAP-Repository verwendet wird. Dies ist erforderlich, wenn der Zugriff auf das LDAP-Repository eingeschränkt ist, d. h. der anonyme Zugriff ist nicht zulässig.

• Intervall

  Das Intervall, in dem die CRL-Aktualisierung durchgeführt werden soll. Geben Sie für eine sofortige CRL-Aktualisierung das Intervall als JETZT an. Mögliche Werte: MONTHLY, DAILY, WEEKLY, NOW, NONE.

• Tage

  Der Tag, an dem die CRL-Aktualisierung durchgeführt werden soll. Die Option ist nicht verfügbar, wenn das Intervall auf DAILY gesetzt ist.

• Zeit

  Die genaue Zeit im 24-Stunden-Format, zu der die CRL-Aktualisierung durchgeführt werden soll.

• Binär

  Setzen Sie den LDAP-basierten CRL-Abrufmodus auf binär. Mögliche Werte: YES, NO. Standard: NEIN.

1. Erweitern Sie im Navigationsbereich SSL, und klicken Sie dann auf Zertifikatsperrliste.
2. Wählen Sie die konfigurierte Zertifikatsperrliste aus, für die Sie Aktualisierungsparameter aktualisieren möchten, und klicken Sie dann auf Öffnen.
3. Wählen Sie die Option Automatische CRL-Aktualisierung aktivieren.
4. Geben Sie in der Gruppe Parameter für automatische Aktualisierung der Zertifikatsperrliste Werte für die folgenden Parameter an: Hinweis: Ein Sternchen (*) gibt einen erforderlichen Parameter an.
   • Methode
   • Binär
   • Geltungsbereich
   • Server-IP
   • Port*
   • URL
   • Basis DN *
   • Bind DN
   • Kennwort
   • Intervall
   • Tag (e)
   • Zeit
5. Klicken Sie auf Erstellen. Wählen Sie im CRL-Bereich die CRL aus, die Sie gerade konfiguriert haben, und stellen Sie sicher, dass die am unteren Bildschirmrand angezeigten Einstellungen korrekt sind.