Autentificación servidor
Dado que el dispositivo NetScaler realiza la descarga y la aceleración de SSL en nombre de un servidor web, el dispositivo no suele autenticar el certificado del servidor web. Sin embargo, puede autenticar el servidor en implementaciones que requieren cifrado SSL de extremo a extremo.
En tal situación, el dispositivo se convierte en el cliente SSL y realiza una transacción segura con el servidor SSL. Comprueba que una CA cuyo certificado está enlazado al servicio SSL ha firmado el certificado del servidor y comprueba la validez del certificado del servidor.
Para autenticar el servidor, habilite la autenticación del servidor y vincule el certificado de la CA que firmó el certificado del servidor al servicio SSL del dispositivo ADC. Al vincular el certificado, debe especificar el enlace como una opción de CA.
A partir de la versión 13.1, compilación 42.x, el dispositivo NetScaler admite la validación de certificados con firma cruzada. Es decir, si un certificado está firmado por varios emisores, la validación se aprueba si hay al menos una ruta válida al certificado raíz. Anteriormente, si uno de los certificados de la cadena de certificados estaba firmado de forma cruzada y tenía varias rutas al certificado raíz, el dispositivo ADC solo comprobaba si había una ruta. Y si esa ruta no era válida, la validación falló.
Habilitar (o inhabilitar) la autenticación de certificados de servidor
Puede utilizar la CLI y la GUI para habilitar y inhabilitar la autenticación con certificados de servidor.
Habilitar (o inhabilitar) la autenticación con certificados de servidor mediante la CLI
En la línea de comandos, escriba los siguientes comandos para habilitar la autenticación con certificados de servidor y comprobar la configuración:
set ssl service <serviceName> -serverAuth ( ENABLED | DISABLED )
show ssl service <serviceName>
<!--NeedCopy-->
Ejemplo:
set ssl service ssl-service-1 -serverAuth ENABLED
show ssl service ssl-service-1
Advanced SSL configuration for Back-end SSL Service ssl-service-1:`
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Habilitar (o inhabilitar) la autenticación con certificados de servidor mediante la interfaz gráfica de usuario
- Vaya a Administración del tráfico > Equilibrio de carga > Serviciosy abra un servicio SSL.
- En la sección Parámetros SSL, seleccione Habilitar la autenticación del servidor y especifique un nombre común.
- En Configuración avanzada, seleccione Certificados y vincule un certificado de CA al servicio.
Enlazar el certificado de CA al servicio mediante la CLI
En la línea de comandos, escriba los siguientes comandos para vincular el certificado de CA al servicio y comprobar la configuración:
bind ssl service <serviceName> -certkeyName <string> -CA
show ssl service <serviceName>
<!--NeedCopy-->
Ejemplo:
bind ssl service ssl-service-1 -certkeyName samplecertkey -CA
show ssl service ssl-service-1
Advanced SSL configuration for Back-end SSL Service ssl-service-1:
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: samplecertkey CA Certificate CRLCheck: Optional
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Configurar un nombre común para la autenticación con certificados de servidor
En el cifrado de extremo a extremo con la autenticación del servidor habilitada, puede incluir un nombre común en la configuración de un servicio o grupo de servicios SSL. El nombre que especifique se compara con el nombre común del certificado de servidor durante un protocolo de enlace SSL. Si los dos nombres coinciden, el apretón de manos se realiza correctamente. Si los nombres comunes no coinciden, el nombre común especificado para el servicio o grupo de servicios se compara con los valores del campo de nombre alternativo del sujeto (SAN) del certificado. Si coincide con uno de esos valores, el apretón de manos se realiza correctamente. Esta configuración es especialmente útil si hay, por ejemplo, dos servidores detrás de un firewall y uno de los servidores falsifica la identidad del otro. Si el nombre común no está marcado, se acepta un certificado presentado por cualquiera de los servidores si la dirección IP coincide.
Nota: Solo se comparan las entradas DNS de nombre de dominio, URL e ID de correo electrónico del campo SAN.
Configure la verificación de nombres comunes para un servicio SSL o grupo de servicios mediante la CLI
En la línea de comandos, escriba los siguientes comandos para especificar la autenticación del servidor con la verificación de nombres comunes y comprobar la configuración:
-
Para configurar un nombre común en un servicio, escriba:
set ssl service <serviceName> -commonName <string> -serverAuth ENABLED show ssl service <serviceName> <!--NeedCopy-->
-
Para configurar un nombre común en un grupo de servicios, escriba:
set ssl serviceGroup <serviceGroupName> -commonName <string> -serverAuth ENABLED show ssl serviceGroup <serviceGroupName> <!--NeedCopy-->
Ejemplo:
set ssl service svc1 -commonName xyz.com -serverAuth ENABLED
show ssl service svc
Advanced SSL configuration for Back-end SSL Service svc1:
DH: DISABLED
Ephemeral RSA: DISABLED
Session Reuse: ENABLED Timeout: 300 seconds
Cipher Redirect: DISABLED
SSLv2 Redirect: DISABLED
Server Auth: ENABLED Common Name: www.xyz.com
SSL Redirect: DISABLED
Non FIPS Ciphers: DISABLED
SNI: DISABLED
SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED
1) CertKey Name: cacert CA Certificate OCSPCheck: Optional
1) Cipher Name: ALL
Description: Predefined Cipher Alias
Done
<!--NeedCopy-->
Configure la verificación de nombres comunes para un servicio SSL o grupo de servicios mediante la interfaz gráfica de usuario
- Vaya a Administración del tráfico > Equilibrio de carga > Servicios o vaya a Administración del tráfico > Equilibrio de carga > Gruposde servicios y abra un servicio o grupo de servicios.
- En la sección Parámetros SSL, seleccione Habilitar la autenticación del servidory especifique un nombre común.