Konfigurieren von Zwischenzertifikaten
Ein Zwischenzertifikat ist ein Zertifikat, das zwischen Citrix Gateway (dem Serverzertifikat) und einem Stammzertifikat (normalerweise auf dem Benutzergerät installiert) wechselt. Ein Zwischenzertifikat ist Teil einer Kette.
Einige Organisationen delegieren die Verantwortung für die Ausstellung von Zertifikaten, um das Problem der geografischen Trennung zwischen Organisationseinheiten zu lösen oder unterschiedliche Ausstellungsrichtlinien auf verschiedene Bereiche der Organisation anzuwenden.
Die Zuständigkeit für die Ausstellung von Zertifikaten kann durch Einrichtung untergeordneter Zertifizierungsstellen delegiert werden. Zertifizierungsstellen können ihre eigenen Zertifikate signieren (d. h. sie sind selbstsigniert) oder sie können von einer anderen Zertifizierungsstelle signiert werden. Der X.509-Standard enthält ein Modell zum Einrichten einer Hierarchie von Zertifizierungsstellen. In diesem Modell befindet sich die Stammzertifizierungsstelle, wie in der folgenden Abbildung dargestellt, ganz oben in der Hierarchie und ist ein selbstsigniertes Zertifikat von der Zertifizierungsstelle. Die Zertifizierungsstellen, die der Stammzertifizierungsstelle direkt untergeordnet sind, verfügen über Zertifizierungsstellenzertifikate, die von der Stammzertifizierungsstelle signiert sind. Zertifizierungsstellen unter den untergeordneten Zertifizierungsstellen in der Hierarchie haben ihre Zertifizierungsstellenzertifikate, die von den untergeordneten Zertifizierungsstellen signiert werden.
Abbildung 1. Das Modell X.509 zeigt die hierarchische Struktur einer typischen digitalen Zertifikatskette
Wenn ein Serverzertifikat von einer Zertifizierungsstelle mit einem selbstsignierten Zertifikat signiert wird, besteht die Zertifikatkette aus genau zwei Zertifikaten: dem Entitätszertifikat und der Stammzertifizierungsstelle. Wenn ein Benutzer- oder Serverzertifikat von einer Zwischenzertifizierungsstelle signiert wird, ist die Zertifikatkette länger.
Die folgende Abbildung zeigt, dass die ersten beiden Elemente das End-Entity-Zertifikat (in diesem Fall gwy01.company.com) und das Zertifikat der Zwischenzertifizierungsstelle in dieser Reihenfolge sind. Auf das Zertifikat der Zwischenzertifizierungsstelle folgt das Zertifikat ihrer Zertifizierungsstelle. Diese Auflistung wird fortgesetzt, bis das letzte Zertifikat in der Liste für eine Stammzertifizierungsstelle gilt. Jedes Zertifikat in der Kette bestätigt die Identität des vorherigen Zertifikats.
Abbildung 2. Eine typische digitale Zertifikatskette
So installieren Sie ein Zwischenzertifikat
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf Zertifikate.
- Klicken Sie im Detailbereich auf Installieren.
- Geben Sie unter Name des Zertifikatschlüsselpaares den Namen des Zertifikats ein.
- Klicken Sie unter Details unter Zertifikatdateiname auf Durchsuchen (Appliance), und wählen Sie im Dropdown-Feld Lokal oder Appliance aus.
- Navigieren Sie zum Zertifikat auf Ihrem Computer (lokal) oder auf Citrix Gateway (Appliance).
- Wählen Sie unter Zertifikatformat die Option PEM aus.
- Klicken Sie auf Installieren und dann auf Schließen.
Wenn Sie ein Zwischenzertifikat auf Citrix Gateway installieren, müssen Sie weder den privaten Schlüssel noch ein Kennwort angeben.
Nachdem das Zertifikat auf der Appliance installiert wurde, muss das Zertifikat mit dem Serverzertifikat verknüpft werden.
So verknüpfen Sie ein Zwischenzertifikat mit einem Serverzertifikat
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf Zertifikate.
- Wählen Sie im Detailbereich das Serverzertifikat aus, und klicken Sie dann unter Aktion auf Verknüpfen.
- Wählen Sie neben Zertifizierungsstellenzertifikatname das Zwischenzertifikat aus der Liste aus, und klicken Sie dann auf OK.