ADC

Preguntas frecuentes sobre SSL

Preguntas básicas

El acceso HTTPS a la GUI falla en una instancia VPX. ¿Cómo puedo acceder?

Se requiere un par de claves de certificado para el acceso HTTPS a la GUI. En un dispositivo NetScaler, un par de claves de certificado se enlaza automáticamente a los servicios internos. En un dispositivo MPX o SDX, el tamaño de clave predeterminado es de 1024 bytes y, en una instancia VPX, el tamaño de clave predeterminado es de 512 bytes. Sin embargo, la mayoría de los navegadores actuales no aceptan una clave inferior a 1024 bytes. Como resultado, se bloquea el acceso HTTPS a la utilidad de configuración VPX.

Citrix recomienda instalar un par de claves de certificado de al menos 1024 bytes y vincularlo al servicio interno para acceder mediante HTTPS a la utilidad de configuración. Como alternativa, actualice el ns-server-certificate a 1024 bytes. Puede usar el acceso HTTP a la utilidad de configuración o a la CLI para instalar el certificado.

Si añado una licencia a un dispositivo MPX, se pierde el enlace del par de claves de certificado. ¿Cómo puedo resolver este problema?

Si no hay una licencia en un dispositivo MPX cuando se inicia, agrega una licencia más adelante y reinicia el dispositivo, es posible que pierda el enlace del certificado. Reinstalar el certificado y vincularlo al servicio interno

Citrix recomienda instalar la licencia adecuada antes de iniciar el dispositivo.

¿Cuáles son los distintos pasos necesarios para configurar un canal seguro para una transacción SSL?

La configuración de un canal seguro para una transacción SSL implica los siguientes pasos:

  1. El cliente envía una solicitud HTTPS para un canal seguro al servidor.

  2. Tras seleccionar el protocolo y el cifrado, el servidor envía su certificado al cliente.

  3. El cliente comprueba la autenticidad del certificado del servidor.

  4. Si alguna de las comprobaciones falla, el cliente muestra los comentarios correspondientes.

  5. Si las comprobaciones se aprueban o el cliente decide continuar incluso si una comprobación falla, el cliente crea una clave desechable temporal. Esta clave se denomina secreto previo al maestro y el cliente la cifra mediante la clave pública del certificado del servidor.

  6. El servidor, al recibir el secreto previo al maestro, lo descifra mediante la clave privada del servidor y genera las claves de sesión. El cliente también genera las claves de sesión a partir del secreto previo al maestro. Por lo tanto, tanto el cliente como el servidor ahora tienen una clave de sesión común, que se utiliza para cifrar y descifrar los datos de la aplicación.

Comprendo que el SSL es un proceso que requiere un uso intensivo de la CPU. ¿Cuál es el coste de la CPU asociado al proceso SSL?

Las dos etapas siguientes están asociadas al proceso SSL:

  • El apretón de manos inicial y la configuración segura del canal mediante la tecnología de clave pública y privada.

  • Cifrado masivo de datos mediante la tecnología de clave simétrica.

Las dos etapas anteriores pueden afectar al rendimiento del servidor y requieren un procesamiento intensivo de la CPU por los siguientes motivos:

  1. El apretón de manos inicial implica la criptografía de clave público-privada, que consume mucha CPU debido a los grandes tamaños de clave (1024 bits, 2048 bits, 4096 bits).

  2. El cifrado/descifrado de datos también es costoso desde el punto de vista computacional, según la cantidad de datos que se deben cifrar o descifrar.

¿Cuáles son las distintas entidades de una configuración SSL?

Una configuración SSL tiene las siguientes entidades:

  • Certificado de servidor
  • Certificado de autoridad de certificación (CA)
  • Conjunto de cifrado que especifica los protocolos para las siguientes tareas:
    • Intercambio inicial de claves
    • Autenticación de servidor y cliente
    • algoritmo de cifrado masivo
    • autenticación de mensajes
  • Client authentication
  • CRL
  • Herramienta de generación de claves de certificados SSL que le permite crear los siguientes archivos:
    • Solicitud de certificado
    • Certificado autofirmado
    • Teclas RSA
    • Parámetros DH

Quiero utilizar la función de descarga SSL del dispositivo NetScaler. ¿Cuáles son las distintas opciones para recibir un certificado SSL?

Debe recibir un certificado SSL antes de poder configurar la configuración de SSL en el dispositivo NetScaler. Puede utilizar cualquiera de los siguientes métodos para recibir un certificado SSL:

  • Solicite un certificado a una autoridad de certificación (CA) autorizada.

  • Utilice el certificado de servidor existente.

  • Cree un par de claves de certificado en el dispositivo NetScaler.

Nota: Este certificado es un certificado de prueba firmado por la CA raíz de prueba generada por el dispositivo NetScaler. Los navegadores no aceptan los certificados de prueba firmados por test Root-CA. El navegador muestra un mensaje de advertencia que indica que no se puede autenticar el certificado del servidor.

  • Para cualquier otra cosa que no sea una prueba, debe proporcionar un certificado de CA y una clave de CA válidos para firmar el certificado del servidor.

¿Cuáles son los requisitos mínimos para una configuración SSL?

Los requisitos mínimos para configurar una configuración SSL son los siguientes:

  • Obtenga los certificados y las claves.
  • Cree un servidor virtual SSL de equilibrio de carga.
  • Enlaza los servicios HTTP o SSL al servidor virtual SSL.
  • Enlaza un par de claves de certificado al servidor virtual SSL.

¿Cuáles son los límites de los distintos componentes de SSL?

Los componentes SSL tienen los siguientes límites:

  • Tamaño de bits de los certificados SSL: 4096.
  • Número de certificados SSL: depende de la memoria disponible en el dispositivo.
  • Número máximo de certificados CA SSL intermedios enlazados: 9 por cadena.
  • Revocaciones de CRL: dependen de la memoria disponible en el dispositivo.

¿Cuáles son los distintos pasos que implica el cifrado de datos de extremo a extremo en un dispositivo NetScaler?

Los pasos incluidos en el proceso de cifrado del lado del servidor en un dispositivo NetScaler son los siguientes:

  1. El cliente se conecta al SSL VIP configurado en el dispositivo NetScaler en el sitio seguro.

  2. Tras recibir la solicitud segura, el dispositivo descifra la solicitud y aplica técnicas de conmutación de contenido de capa 4 a 7 y directivas de equilibrio de carga. A continuación, selecciona el mejor servidor web de fondo disponible para la solicitud.

  3. El dispositivo NetScaler crea una sesión SSL con el servidor seleccionado.

  4. Tras establecer la sesión SSL, el dispositivo cifra la solicitud del cliente y la envía al servidor web mediante la sesión SSL segura.

  5. Cuando el dispositivo recibe la respuesta cifrada del servidor, descifra y vuelve a cifrar los datos. A continuación, envía los datos al cliente mediante la sesión SSL del lado del cliente.

La técnica de multiplexación del dispositivo NetScaler permite al dispositivo reutilizar las sesiones SSL que se han establecido con los servidores web. Por lo tanto, el dispositivo evita el intercambio intensivo de claves de la CPU, conocido como apretón de manos completo. Este proceso reduce la cantidad total de sesiones SSL en el servidor y mantiene la seguridad de extremo a extremo.

Certificados y claves

¿Puedo colocar los archivos de certificados y claves en cualquier ubicación? ¿Hay alguna ubicación recomendada para almacenar estos archivos?

Puede almacenar los archivos de certificados y claves en el dispositivo NetScaler o en un equipo local. Sin embargo, Citrix recomienda almacenar los archivos de certificados y claves en el directorio /nsconfig/ssl del dispositivo NetScaler. El /etc directorio existe en la memoria flash del dispositivo NetScaler. Esta acción proporciona portabilidad y facilita la copia de seguridad y la restauración de los archivos de certificados del dispositivo.

Nota: Asegúrese de que el certificado y los archivos de clave estén almacenados en el mismo directorio.

¿Cuál es el tamaño máximo de la clave de certificado que admite el dispositivo NetScaler?

Un dispositivo NetScaler que ejecuta una versión de software anterior a la 9.0 admite un tamaño máximo de clave de certificado de 2048 bits. La versión 9.0 y las posteriores admiten un tamaño máximo de clave de certificado de 4096 bits. Este límite se aplica a los certificados RSA.

Un dispositivo MPX admite certificados de 512 bits hasta los siguientes tamaños:

  • Certificado de servidor de 4096 bits en el servidor virtual

  • Certificado de cliente de 4096 bits en el servicio

  • Certificado de CA de 4096 bits (incluye certificados intermedios y raíz)

  • Certificado de 4096 bits en el servidor de fondo

  • Certificado de cliente de 4096 bits (si la autenticación de cliente está habilitada en el servidor virtual)

Un dispositivo virtual admite certificados de 512 bits hasta los siguientes tamaños:

  • Certificado de servidor de 4096 bits en el servidor virtual

  • Certificado de cliente de 4096 bits en el servicio

  • Certificado de CA de 4096 bits (incluye certificados intermedios y raíz)

  • Certificado de 4096 bits en el servidor de fondo

  • Certificado de cliente de 2048 bits (si la autenticación de cliente está habilitada en el servidor virtual)

¿Cuál es el tamaño máximo del parámetro DH admitido en el dispositivo NetScaler?

El dispositivo NetScaler admite un parámetro DH de 2048 como máximo. A partir de la versión 14.1-25.x, el límite máximo se incrementa a 4096 bits.

Nota:

Para las plataformas Cavium, el límite máximo es de 2048 bits.

¿Cuál es la longitud máxima de la cadena de certificados, es decir, el número máximo de certificados de una cadena, que admite un dispositivo NetScaler?

Un dispositivo NetScaler puede enviar un máximo de 10 certificados en cadena al enviar un mensaje de certificado de servidor. Una cadena de la longitud máxima incluye el certificado del servidor y nueve certificados de CA intermedios.

¿Cuáles son los distintos formatos de certificados y claves que admite el dispositivo NetScaler?

El dispositivo NetScaler admite los siguientes formatos de certificados y claves:

  • Correo con privacidad mejorada (PEM)
  • Regla de codificación distinguida (DER)

¿Existe un límite para la cantidad de certificados y claves que puedo instalar en el dispositivo NetScaler?

No. La cantidad de certificados y claves que se pueden instalar solo está limitada por la memoria disponible en el dispositivo NetScaler.

He guardado los archivos del certificado y la clave en el equipo local. Quiero transferir estos archivos al dispositivo NetScaler mediante el protocolo FTP. ¿Hay algún modo preferido para transferir estos archivos al dispositivo NetScaler?

Sí. Si utiliza el protocolo FTP, debe utilizar el modo binario para transferir los archivos de certificado y clave al dispositivo NetScaler.

Nota: De forma predeterminada, el FTP está desactivado. Citrix recomienda utilizar el protocolo SCP para transferir los archivos de certificados y claves. La utilidad de configuración usa implícitamente SCP para conectarse al dispositivo.

¿Cuál es la ruta de directorio predeterminada para el certificado y la clave?

La ruta de directorio predeterminada para el certificado y la clave es ‘/nsconfig/ssl’.

Al agregar un par de certificados y claves, ¿qué ocurre si no especifico una ruta absoluta a los archivos de certificado y clave?

Al agregar un par de claves de certificado, especifique una ruta absoluta a los archivos de certificado y clave. Si no lo especifica, el dispositivo ADC busca estos archivos en el directorio predeterminado e intenta cargarlos en el núcleo. El directorio predeterminado es /nsconfig/ssl. Por ejemplo, si los archivos cert1024.pem y rsa1024.pem están disponibles en el directorio /nsconfig/ssl del dispositivo, los dos comandos siguientes funcionan correctamente:

add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
<!--NeedCopy-->
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem
<!--NeedCopy-->

He configurado una configuración de alta disponibilidad. Quiero implementar la función SSL en la configuración. ¿Cómo debo gestionar los archivos de certificados y claves en una configuración de alta disponibilidad?

En una configuración de alta disponibilidad, debe almacenar los archivos de certificado y clave tanto en el dispositivo NetScaler principal como en el secundario. La ruta del directorio de los archivos de certificado y clave debe ser la misma en ambos dispositivos antes de agregar un par de claves de certificado SSL en el dispositivo principal.

NCipher nShield® HSM

Al integrar con nCipher nShield® HSM, ¿debemos tener en cuenta alguna configuración específica al agregar el dispositivo NetScaler a HA?

Configure los mismos dispositivos nCipher en ambos nodos de HA. Los comandos de configuración de nCipher no se sincronizan en HA. Para obtener información sobre los requisitos previos para nCipher nShield® HSM, consulte Requisitos previos.

¿Tenemos que integrar individualmente ambos dispositivos con NCipher NShield® HSM y RFS? ¿Debemos completar esta acción antes o después de la configuración de HA?

Puede completar la integración antes o después de la configuración de HA. Si la integración se realiza después de la configuración de HA, las claves importadas en el nodo principal antes de configurar el nodo secundario no se sincronizan con el nodo secundario. Por lo tanto, Citrix recomienda la integración de nCipher antes de configurar la HA.

¿Debemos importar la clave a los dispositivos NetScaler principales y secundarios, o las claves están sincronizadas del nodo principal al nodo secundario?

Si nCipher está integrado en ambos dispositivos antes de formar la HA, las claves se sincronizan automáticamente desde RFS en el proceso de integración.

Dado que el HSM no está en el dispositivo NetScaler, sino en nCipher, ¿qué ocurre con las claves y los certificados cuando un nodo falla y se reemplaza?

Si un nodo falla, puede sincronizar las claves y los certificados con el nuevo nodo integrando nCipher en el nuevo nodo. A continuación, ejecute los siguientes comandos:

sync ha files ssl
force ha sync
<!--NeedCopy-->

Los certificados se sincronizan y se agregan si las claves se sincronizan en el proceso de integración de nCipher.

Cifrados

¿Qué es un cifrado nulo?

Los cifrados sin cifrado se conocen como cifrados nulos. Por ejemplo, NULL-MD5 es un cifrado nulo.

¿Los cifrados nulos están habilitados de forma predeterminada para un SSL VIP o un servicio SSL?

No. Los cifrados nulos no están habilitados de forma predeterminada para un SSL VIP o un servicio SSL.

¿Cuál es el procedimiento para eliminar los cifrados nulos?

Para eliminar los cifrados nulos de un VIP SSL, ejecute el siguiente comando:

bind ssl cipher <SSL_VIP> REM NULL
<!--NeedCopy-->

Para eliminar los cifrados nulos de un servicio SSL, ejecute el siguiente comando:

bind ssl cipher <SSL_Service> REM NULL -service
<!--NeedCopy-->

¿Cuáles son los distintos alias de cifrado compatibles con el dispositivo NetScaler?

Para enumerar los alias de cifrado admitidos en el dispositivo, en la línea de comandos, escriba:

sh cipher
<!--NeedCopy-->

¿Cuál es el comando para mostrar todos los cifrados predefinidos del dispositivo NetScaler?

Para mostrar todos los cifrados predefinidos del dispositivo NetScaler, en la CLI, escriba:

show ssl cipher
<!--NeedCopy-->

¿Cuál es el comando para mostrar los detalles de un cifrado individual del dispositivo NetScaler?

Para mostrar los detalles de un cifrado individual del dispositivo NetScaler, en la CLI, escriba:

show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>
<!--NeedCopy-->

Ejemplo:

show cipher SSL3-RC4-SHA
     1) Cipher Name: SSL3-RC4-SHA
     Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
    Mac=SHA1
     Done
<!--NeedCopy-->

¿Cuál es la importancia de agregar los cifrados predefinidos del dispositivo NetScaler?

Al agregar los cifrados predefinidos del dispositivo NetScaler, los cifrados nulos se agregan a un SSL VIP o a un servicio SSL.

¿Es posible cambiar el orden del cifrado sin desvincularlo de un grupo de cifrado en un dispositivo NetScaler?

Sí. Es posible cambiar el orden del cifrado sin desvincular los cifrados de un grupo de cifrado personalizado. Sin embargo, no puede cambiar la prioridad en los grupos de cifrado integrados. Para cambiar la prioridad de un cifrado enlazado a una entidad SSL, primero desvincule el cifrado del servidor, servicio o grupo de servicios virtual.

Nota: Si el grupo de cifrado enlazado a una entidad SSL está vacío, el protocolo de enlace SSL falla porque no hay ningún cifrado negociado. El grupo de cifrado debe contener al menos un cifrado.

¿El dispositivo NetScaler admite ECDSA?

El ECDSA es compatible con las siguientes plataformas de NetScaler. Para obtener información detallada sobre las compilaciones compatibles, consulte la Tabla 1 y la Tabla 2 de Ciphers disponibles en los dispositivos NetScaler.

  • Dispositivos NetScaler MPX y SDX con chips N3
  • NetScaler MPX 5900/8900/15000/26000
  • NetScaler SDX 8900/15000
  • Dispositivos NetScaler VPX

¿El dispositivo NetScaler VPX admite los cifrados AES-GCM/SHA2 en la interfaz?

Sí, los cifrados AES-GCM/SHA2 se admiten en el dispositivo NetScaler VPX. Para obtener información detallada sobre las compilaciones compatibles, consulte Cifrados disponibles en los dispositivos NetScaler.

Certificados

¿El nombre distintivo de un certificado de cliente está disponible durante la sesión de usuario?

Sí. Puede acceder al nombre distintivo del certificado de cliente en solicitudes posteriores durante la sesión de usuario. Es decir, incluso después de que se haya completado el protocolo de enlace SSL y el navegador no vuelva a enviar el certificado. Utilice una variable y una asignación tal como se detalla en la siguiente configuración de ejemplo:

Ejemplo:

add ns variable v2 -type "text(100)"

add ns assignment a1 -variable "$v2" -set       "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"

add rewrite action act1 insert_http_header subject "$v2"  // example: to insert the distinguished name in the header

add rewrite policy pol1 true a1

add rewrite policy pol2 true act1

bind rewrite global pol1 1 next -type RES_DEFAULT

bind rewrite global pol2 2 next -type RES_DEFAULT

set rewrite param -undefAction RESET
<!--NeedCopy-->

¿Por qué necesito vincular el certificado del servidor?

Vincular los certificados del servidor es el requisito básico para habilitar la configuración SSL para procesar las transacciones SSL.

Para vincular el certificado del servidor a un SSL VIP, en la CLI, escriba:

bind ssl vserver <vServerName> -certkeyName <cert_name>
<!--NeedCopy-->

Para vincular el certificado del servidor a un servicio SSL, en la CLI, escriba:

bind ssl service <serviceName> -certkeyName <cert_name>
<!--NeedCopy-->

¿Cuántos certificados puedo vincular a un servicio SSL VIP o SSL?

En un dispositivo FIPS VPX, MPX/SDX (N3) y MPX/SDX 14000 de NetScaler, puede vincular dos certificados a un servidor virtual SSL o a un servicio SSL si el SNI está inhabilitado. Los certificados deben ser de tipo RSA y ECDSA. Si el SNI está activado, puede vincular varios certificados de servidor de tipo RSA o ECDSA. En un dispositivo FIPS NetScaler MPX (N2) o MPX 9700, si el SNI está inhabilitado, solo puede vincular un certificado de tipo RSA. Si el SNI está habilitado, solo puede vincular varios certificados de servidor de tipo RSA.

¿Qué ocurre si desenlace o sobrescribo un certificado de servidor?

Al desvincular o sobrescribir un certificado de servidor, se terminan todas las conexiones y sesiones SSL creadas con el certificado existente. Al sobrescribir un certificado existente, aparece el siguiente mensaje:

ERROR:

Warning: Current certificate replaces the previous binding.
<!--NeedCopy-->

¿Cómo instalo un certificado intermedio en un dispositivo NetScaler y vincularlo a un certificado de servidor?

Consulte el artículo en http://support.citrix.com/article/ctx114146 para obtener información sobre la instalación de un certificado intermedio.

¿Por qué aparece el error “El recurso ya existe” cuando intento instalar un certificado en NetScaler?

Consulte el artículo en http://support.citrix.com/article/CTX117284 para obtener instrucciones sobre cómo resolver el error “el recurso ya existe”.

Quiero crear un certificado de servidor en un dispositivo NetScaler para probar y evaluar el producto. ¿Cuál es el procedimiento para crear un certificado de servidor?

Realice el siguiente procedimiento para crear un certificado de prueba.

Nota: Un certificado creado con este procedimiento no se puede utilizar para autenticar a todos los usuarios y navegadores. Después de usar el certificado para realizar pruebas, debe obtener un certificado de servidor firmado por una autoridad de certificación raíz autorizada.

Para crear un certificado de servidor autofirmado:

  1. Para crear un certificado de CA raíz, en la CLI, escriba:

    create ssl rsakey /nsconfig/ssl/test-ca.key 1024
    
    create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key
    
    Enter the required information when prompted, and then type the following command:
    
    create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key
    <!--NeedCopy-->
    
  2. Realice el siguiente procedimiento para crear un certificado de servidor y firmarlo con el certificado de CA raíz que acaba de crear.

    1. Para crear la solicitud y la clave, en la CLI, escriba:

      create ssl rsakey /nsconfig/ssl/test-server.key 1024
      
          create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key
      <!--NeedCopy-->
      
    2. Introduzca la información requerida cuando se le solicite.

    3. Para crear un archivo de números de serie, en la CLI, escriba:

      shell
       # echo '01' >
      /nsconfig/ssl/serial.txt
       # exit
      <!--NeedCopy-->
      
    4. Para crear un certificado de servidor firmado por el certificado de CA raíz creado en el paso 1, en la CLI, escriba:

      create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt
      <!--NeedCopy-->
      
    5. Para crear un par de claves de certificado de NetScaler, que es el objeto en memoria que contiene la información del certificado del servidor para los enlaces de enlace SSL y el cifrado masivo, en la CLI, escriba:

      add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key
      <!--NeedCopy-->
      
    6. Para vincular el par de claves de certificación al servidor virtual SSL, en la CLI, escriba:

      bind ssl vserver <vServerName> -certkeyName <cert_name>
      <!--NeedCopy-->
      

He recibido un dispositivo NetScaler en el que está instalada la versión 9.0 del software NetScaler. He visto un archivo de licencia adicional en el dispositivo. ¿Hay algún cambio en la directiva de licencias a partir de la versión 9.0 del software NetScaler?

Sí. A partir de la versión 9.0 del software NetScaler, es posible que el dispositivo no tenga un solo archivo de licencia. La cantidad de archivos de licencia depende de la edición de lanzamiento del software NetScaler. Por ejemplo, si ha instalado la edición avanzada, es posible que necesite archivos de licencia adicionales para la funcionalidad completa de las distintas funciones. Sin embargo, si ha instalado la edición Premium, el dispositivo solo tiene un archivo de licencia.

¿Cómo puedo exportar el certificado desde el Servicio de información de Internet (IIS)?

Hay muchas formas, pero mediante el método siguiente se exportan el certificado y la clave privada apropiados para el sitio web. Este procedimiento debe realizarse en el servidor IIS actual.

  1. Abra la herramienta de administración de Internet Information Services (IIS) Manager.

  2. Amplíe el nodo de sitios web y localice el sitio web compatible con SSL que desee ofrecer a través del dispositivo NetScaler.

  3. Haga clic con el botón derecho en este sitio web y haga clic en Propiedades.

  4. Haga clic en la ficha Seguridad del directorio y, en la sección Comunicaciones seguras de la ventana, seleccione la casilla Ver certificado.

  5. Haga clic en la ficha Detalles y, a continuación, en Copiar a archivo.

  6. En la página Bienvenido al asistente de exportación de certificados, haga clic en Siguiente.

  7. Seleccione Sí, exporte la clave privada y haga clic en Siguiente.

    Nota: La clave privada DEBE exportarse para que SSL Offload funcione en NetScaler.

  8. Asegúrese de que el botón de opción Intercambio de información personal -PKCS #12 esté seleccionado y, si es posible, active únicamente la casilla Incluir todos los certificados en la ruta de certificación. Haga clic en Siguiente.

  9. Introduzca una contraseña y haga clic en Siguiente.

  10. Introduzca el nombre y la ubicación del archivo y, a continuación, haga clic en Siguiente. Asigne al archivo una extensión de .PFX.

  11. Haga clic en Finalizar.

¿Cómo convierto el certificado PKCS #12 y lo instalo en NetScaler?

  1. Mueva el archivo de certificado.PFX exportado a una ubicación desde la que pueda copiarse al dispositivo NetScaler. Es decir, a una máquina que permite el acceso mediante SSH a la interfaz de administración de un dispositivo NetScaler. Copie el certificado al dispositivo mediante una utilidad de copia segura, como SCP.

  2. Acceda al shell de BSD y convierta el certificado (por ejemplo, cert.pfx) al formato .PEM:

    root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM
    <!--NeedCopy-->
    
  3. Para asegurarse de que el certificado convertido tiene el formato x509 correcto, compruebe que el siguiente comando no produce ningún error:

    root@ns# openssl x509 -in cert.PEM -text
    <!--NeedCopy-->
    
  4. Compruebe que el archivo de certificado contiene una clave privada. Empiece por ejecutar el siguiente comando:

    root@ns# cat cert.PEM
    
    Verify that the output file includes an RSA PRIVATE KEY section.
    
    -----BEGIN RSA PRIVATE KEY-----
    Mkm^s9KMs9023pz/s...
    -----END RSA PRIVATE KEY-----
    <!--NeedCopy-->
    

    El siguiente es otro ejemplo de una sección de clave privada de RSA:

        Bag Attributes
        1.3.6.1.4.1.311.17.2: <No Values>
        localKeyID: 01 00 00 00
        Microsoft CSP Name: Microsoft RSA SChannel Cryptographic
        Provider
        friendlyName:
        4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f
    
        Key Attributes
        X509v3 Key Usage: 10
        -----BEGIN RSA PRIVATE KEY-----
        Proc-Type: 4,ENCRYPTED
        DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968
        pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg
    
        ... (more random characters)
        v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh
    
        5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg==
        -----END RSA PRIVATE KEY-----
    <!--NeedCopy-->
    

    La siguiente es una sección de CERTIFICADOS DE SERVIDOR:

        Bag Attributes
        localKeyID: 01 00 00 00
        friendlyName: AG Certificate
        subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother
        Asiapacific/OU=Support/CN=davemother.food.lan
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK
    
        ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/
    
        MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog=
        -----END CERTIFICATE-----
    <!--NeedCopy-->
    

    La siguiente es una sección de CERTIFICADOS DE CA INTERMEDIOS:

        Bag Attributes: <Empty Attributes>
        subject=/DC=lan/DC=food/CN=hotdog
        issuer=/DC=lan/DC=food/CN=hotdog
        -----BEGIN CERTIFICATE-----
        MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8
    
        ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk=
    
        -----END CERTIFICATE-----
    <!--NeedCopy-->
    

    Es posible que le sigan más certificados de CA intermedios, según la ruta de certificación del certificado exportado.

  5. Abra el archivo .PEM en un editor de texto

  6. Busque la primera línea del archivo .PEM y la primera instancia de la siguiente línea y copie esas dos líneas y todas las líneas que hay entre ellas:

    -----END CERTIFICATE-----
    
    Note: Make sure that last copied line is the first
    -----END CERTIFICATE----- line in the .PEM file.
    
    <!--NeedCopy-->
    
  7. Pegue las líneas copiadas en un archivo nuevo. Llama al nuevo archivo de forma intuitiva, como cert-key.pem. Este par de claves de certificado es para el servidor que aloja el servicio HTTPS. Este archivo debe contener tanto la sección denominada CLAVE PRIVADA RSA como la sección titulada CERTIFICADO DE SERVIDOR del ejemplo anterior.

    Nota: El archivo par de claves de certificado contiene la clave privada y debe mantenerse seguro.

  8. Busque las secciones siguientes que comiencen por —BEGIN CERTIFICATE— y terminen por —END CERTIFICATE—, y copie cada una de esas secciones en un archivo nuevo independiente.

    Estas secciones corresponden a los certificados de las CA de confianza que se han incluido en la ruta de certificación. Estas secciones se deben copiar y pegar en nuevos archivos individuales para estos certificados. Por ejemplo, la sección CERTIFICADO DE CA INTERMEDIO del ejemplo anterior debe copiarse y pegarse en un archivo nuevo).

    Para varios certificados de CA intermedios del archivo original, cree archivos para cada certificado de CA intermedio en el orden en que aparecen en el archivo. Lleve un registro (utilizando los nombres de archivo adecuados) del orden en que aparecen los certificados, ya que deberán vincularse entre sí en el orden correcto en un paso posterior.

  9. Copie el archivo de clave de certificado (cert-key.pem) y cualquier archivo de certificado de CA adicional en el directorio /nsconfig/ssl del dispositivo NetScaler.

  10. Salga del shell de BSD y acceda a la línea de comandos de NetScaler.

  11. Siga los pasos que se indican en “Instalar los archivos de clave de certificado en el dispositivo” para instalar la clave o el certificado una vez cargados en el dispositivo.

¿Cómo convierto el certificado PKCS #7 y lo instalo en el dispositivo NetScaler?

Puede usar OpenSSL para convertir un certificado PKCS #7 a un formato reconocible por el dispositivo NetScaler. El procedimiento es idéntico al procedimiento para los certificados PKCS #12, excepto que se invoca OpenSSL con parámetros diferentes. Los pasos para convertir los certificados PKCS #7 son los siguientes:

  1. Copie el certificado al dispositivo mediante una utilidad de copia segura, como SCP.

  2. Convierta el certificado (por ejemplo, Cert.p7b) al formato PEM:

    openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem
    <!--NeedCopy-->
    
  3. Siga los pasos 3 a 7 tal y como se describe en la respuesta para los certificados PKCS #12. Nota: Antes de cargar el certificado PKCS #7 convertido en el dispositivo, compruebe que contiene una clave privada, tal como se describe en el paso 3 del procedimiento PKCS #12. Los certificados PKCS #7, especialmente los certificados exportados desde IIS, no suelen contener una clave privada.

Cuando enlazo un cifrado a un servidor o servicio virtual mediante el comando bind cipher, aparece el mensaje de error “Comando obsoleto”. “?

El comando para vincular un sistema de cifrado a un servidor o servicio virtual ha cambiado.

Utilice el comando bind ssl vserver <vsername> -ciphername <ciphername> para vincular un cifrado SSL a un servidor virtual SSL.

Utilice el comando bind ssl service <serviceName> -ciphername <ciphername> para vincular un cifrado SSL a un servicio SSL.

Nota: Los nuevos sistemas de cifrado y grupos de cifrado se añaden a la lista existente y no se sustituyen.

¿Por qué no puedo crear un grupo de cifrado y vincular los cifrados a él mediante el comando add cipher?

La funcionalidad del comando add cipher ha cambiado en la versión 10. El comando solo crea un grupo de cifrado. Para agregar cifrados al grupo, utilice el comando bind cipher.

OpenSSL

¿Cómo utilizo OpenSSL para convertir certificados entre PEM y DER?

Para usar OpenSSL, debe tener una instalación funcional del software OpenSSL y poder ejecutar OpenSSL desde la línea de comandos.

Los certificados x509 y las claves RSA se pueden almacenar en varios formatos diferentes.

Los dos formatos más comunes son:

  • DER (un formato binario utilizado principalmente en las plataformas Java y Macintosh)
  • PEM (una representación en base64 de DER con información de encabezado y pie de página, que se utiliza principalmente en las plataformas UNIX y Linux).

La clave y el certificado correspondiente, además del certificado raíz y cualquier certificado intermedio, también se pueden almacenar en un único archivo PKCS #12 (.P12, .PFX).

Procedimiento

Utilice el comando OpenSSL para convertir entre formatos de la siguiente manera:

  1. Para convertir un certificado de PEM a DER:

    x509 -in input.crt -inform PEM -out output.crt -outform DER
    <!--NeedCopy-->
    
  2. Para convertir un certificado de DER a PEM:

    x509 -in input.crt -inform DER -out output.crt -outform PEM
    <!--NeedCopy-->
    
  3. Para convertir una clave de PEM a DER:

    rsa -in input.key -inform PEM -out output.key -outform DER
    <!--NeedCopy-->
    
  4. Para convertir una clave de DER a PEM:

    rsa -in input.key -inform DER -out output.key -outform PEM
    <!--NeedCopy-->
    

    Nota: Si la clave que va a importar está cifrada con un cifrado simétrico compatible, se le pedirá que introduzca la contraseña.

    Nota: Para convertir una clave al formato NET (servidor Netscape) obsoleto, sustituya NET por PEM o DER, según corresponda. La clave almacenada se cifra en un cifrado simétrico RC4 débil y sin sal, por lo que se solicita una frase de contraseña. Se acepta una frase de contraseña en blanco.

Límites del sistema

¿Cuáles son los números importantes que hay que recordar?

  1. Crear solicitud de certificado:

    • Nombre del archivo de solicitud: 63 caracteres como máximo
    • Nombre del archivo clave: 63 caracteres como máximo
    • Contraseña PEM (para clave cifrada): 31 caracteres como máximo
    • Nombre común: 63 caracteres como máximo
    • Ciudad: 127 caracteres como máximo
    • Nombre de la organización: 63 caracteres como máximo
    • Nombre del estado/provincia: 63 caracteres como máximo
    • Dirección de correo electrónico: 255 caracteres como máximo
    • Unidad organizativa: 63 caracteres como máximo
    • Contraseña de desafío: máximo 20 caracteres
    • Nombre de la empresa: 127 caracteres como máximo
  2. Crear certificado:

    • Nombre del archivo del certificado: 63 caracteres como máximo
    • Nombre del archivo de solicitud de certificado: 63 caracteres como máximo
    • Nombre del archivo clave: 63 caracteres como máximo
    • Contraseña PEM: 31 caracteres como máximo
    • Período de validez: máximo 3650 días
    • Nombre del archivo del certificado de CA: 63 caracteres como máximo
    • Nombre del archivo de clave de CA: 63 caracteres como máximo
    • Contraseña PEM: 31 caracteres como máximo
    • Archivo de número de serie CA: 63 caracteres como máximo
  3. Cree e instale un certificado de prueba de servidor:

    • Nombre del archivo del certificado: 31 caracteres como máximo
    • Nombre de dominio completo: 63 caracteres como máximo
  4. Cree la clave Diffie-Hellman (DH):
    • Nombre de archivo DH (con ruta): 63 caracteres como máximo
    • Tamaño del parámetro DH: máximo 2048 bits (a partir de la versión 14.1-25.x, el límite máximo se incrementa a 4096)

    Nota:

    Para las plataformas Cavium, el límite máximo es de 2048 bits.

    A partir de la versión 14.1-25.x, puede crear claves DH de hasta 4096 bits en algunas de las plataformas basadas en Intel Coleto e Intel Lewisburg, y en las plataformas en las que el procesamiento SSL solo se realiza en el software. Anteriormente, el tamaño estaba restringido a 2048 bits.

    Para crear una clave DH de más de 2048 bits, use el comando OpenSSL desde la línea de comandos de NetScaler.

    Para obtener más información sobre las plataformas basadas en Intel Coleto e Intel Lewisburg, consulte Generación de parámetros Diffie-Hellmany obtención de PFS con DHE.

  5. Importar clave PKCS12:

    • Nombre del archivo de salida: 63 caracteres como máximo
    • Nombre de archivo PKCS12:63 caracteres como máximo
    • Importar contraseña: 31 caracteres como máximo
    • Contraseña PEM: 31 caracteres como máximo
    • Verifique la contraseña de PEM: 31 caracteres como máximo
  6. Exportar PKCS12
    • Nombre de archivo PKCS12:63 caracteres como máximo
    • Nombre del archivo del certificado: 63 caracteres como máximo
    • Nombre del archivo clave: 63 caracteres como máximo
    • Contraseña de exportación: 31 caracteres como máximo
    • Contraseña PEM: 31 caracteres como máximo
  7. Gestión de CRL:
    • Nombre del archivo del certificado de CA: 63 caracteres como máximo
    • Nombre del archivo de clave de CA: 63 caracteres como máximo
    • Contraseña del archivo de clave de CA: 31 caracteres
    • Nombre del archivo de índice: 63 caracteres como máximo
    • Nombre del archivo del certificado: 63 caracteres como máximo
  8. Crear clave RSA:
    • Nombre del archivo clave: 63 caracteres como máximo
    • Tamaño de clave: máximo 4096 bits
    • Contraseña PEM: 31 caracteres como máximo
    • Verificar contraseña: 31 caracteres como máximo
  9. Cambie la configuración avanzada de SSL:
    • Tamaño máximo de memoria CRL: 1024 MB como máximo
    • Tiempo de espera del disparador de cifrado (ticks de 10 mS): máximo 200
    • Recuento de paquetes activadores de cifrado: máximo 50
    • Tamaño de caché OCSP: 512 Mbytes como máximo
  10. Certificado de instalación:
    • Nombre del par de claves de certificado: 31 caracteres como máximo
    • Nombre del archivo del certificado: 63 caracteres como máximo
    • Nombre del archivo de clave privada: 63 caracteres como máximo
    • Contraseña: 31 caracteres como máximo
    • Período de notificación: máximo 100
  11. Crear grupo de cifrado:
    • Nombre del grupo de cifrado: 39 caracteres como máximo
  12. Crear CRL:
    • Nombre CRL: 31 caracteres como máximo
    • Archivo CRL: 63 caracteres como máximo
    • URL: 127 caracteres como máximo
    • DN base: 127 caracteres como máximo
    • Enlazar DN: 127 caracteres como máximo
    • Contraseña: 31 caracteres como máximo
    • Días: máximo 31
  13. Cree una directiva SSL:
    • Nombre: 127 caracteres como máximo
  14. Crear acción SSL:
    • Nombre: 127 caracteres como máximo
  15. Cree OCSP Responder:
    • Nombre: Máximo 32 caracteres
    • URL: 128 caracteres como máximo
    • Profundidad de procesamiento por lotes: máximo 8
    • Retraso de procesamiento por lotes: máximo 10000
    • Producido con sesgo temporal: máximo 86400
    • Tiempo de espera de solicitud: Máximo 120000
  16. Crear servidor virtual:
    • Nombre: 127 caracteres como máximo
    • URL de redireccionamiento: 127 caracteres como máximo
    • Tiempo de espera del cliente: máximo 31536000 segundos
  17. Crear servicio:
    • Nombre: 127 caracteres como máximo
    • Tiempo de espera de inactividad (segundos): Cliente: máximo 31536000 Servidor: máximo 31536000
  18. Crear grupo de servicios:
    • Nombre del grupo de servicios: 127 caracteres como máximo
    • ID de servidor: máximo 4294967295
    • Tiempo de espera de inactividad (segundos): Cliente: valor máximo 31536000 Servidor: máximo 31536000
  19. Crear monitor:
    • Nombre: Máximo 31 caracteres
  20. Crear servidor:
    • Nombre del servidor: 127 caracteres como máximo
    • Nombre de dominio: 255 caracteres como máximo
    • Resolver reintento: máximo 20939 segundos
Preguntas frecuentes sobre SSL