Citrix SD-WAN

Autenticación con certificados

Citrix SD-WAN garantiza que se establezcan rutas seguras entre los dispositivos de la red SD-WAN mediante técnicas de seguridad como el cifrado de red y los túneles IPsec de ruta virtual. Además de las medidas de seguridad existentes, la autenticación basada en certificados se introduce en Citrix SD-WAN 11.0.2.

La autenticación de certificados permite a las organizaciones utilizar certificados emitidos por su entidad de certificación (CA) privada para autenticar dispositivos. Los dispositivos se autentican antes de establecer las rutas virtuales. Por ejemplo, si un dispositivo de sucursal intenta conectarse al centro de datos y el certificado de la sucursal no coincide con el certificado que espera el centro de datos, no se establece la ruta virtual.

El certificado emitido por la entidad emisora de certificados vincula una clave pública al nombre del dispositivo. La clave pública funciona con la clave privada correspondiente que posee el dispositivo identificado por el certificado.

Para habilitar la autenticación del dispositivo, en el editor de configuración, vaya a Global > Network Settings (Configuración de red ) y seleccione Habilitar autenticación del dispositivo.

Habilitar autenticación de dispositivos

Una vez configurada y aplicada la configuración, aparece una nueva opción Autenticación de certificados en Configuración > WAN virtual.

Puede administrar todos los certificados utilizados para la autenticación de rutas virtuales desde la página Autenticación de certificados.

Autenticación con certificados

Nota

Si va a actualizar el software del dispositivo de la versión 11.0 de SD-WAN a la versión 11.1 o superior, desactive la opción Habilitar autenticación del dispositivo y realice la actualización del software. Una vez finalizado el proceso de actualización, seleccione la opción Habilitar autenticación del dispositivo.

Certificado instalado

La sección Certificado instalado proporciona un resumen del certificado instalado en el dispositivo. El dispositivo utiliza este certificado para identificarse en la red.

La sección Emitido a proporciona detalles sobre a quién se ha emitido el certificado. El nombre común del certificado coincide con el nombre del dispositivo, ya que el certificado está vinculado al nombre del dispositivo. En la sección Emisor se proporcionan los detalles de la entidad emisora de certificados que firmó el certificado. Los detalles del certificado incluyen la huella digital del certificado, el número de serie y el período de validez del certificado.

Certificado instalado

Cargar paquete de identidad

El paquete Identidad incluye una clave privada y el certificado asociado a la clave privada. Puede cargar el certificado del dispositivo emitido por la CA en el dispositivo. El paquete de certificados es un archivo PKCS 12 con extensión.p12. Puede elegir protegerlo con una contraseña. Si deja el campo de contraseña en blanco, se considerará que no hay protección con contraseña.

Cargar paquete de identidad

Subir paquete de entidad emisora de certificados

Cargue el paquete PKCS 12 que corresponde a la entidad firmante de certificados. El paquete de entidades emisoras de certificados incluye la cadena completa de firmas, la raíz y toda la entidad firmante intermedia.

Subir paquete ca

Cargar certificados de red

Crear solicitud de firma de certificación

El dispositivo puede generar un certificado sin firmar y crear una solicitud de firma de certificado (CSR). A continuación, la entidad emisora de certificados puede descargar la CSR desde el dispositivo, firmarla y cargarla de nuevo en el dispositivo en formatos PEM o DER. Se utiliza como certificado de identidad para el dispositivo. Para crear una CSR para un dispositivo, proporcione el nombre común del dispositivo, los detalles de la organización y la dirección.

Solicitud de firma de certificado

Administrador de listas de revocación de certificados

Una lista de revocación de certificados (CRL) es una lista publicada de números de serie de certificados que ya no son válidos en la red. El archivo CRL se descarga periódicamente y se almacena localmente en todo el dispositivo. Cuando se autentica un certificado, el respondedor examina la CRL para ver si el certificado de iniciadores ya se revocó. Citrix SD-WAN admite actualmente CRL de la versión 1 en formato PEM y DER.

Para habilitar CRL, seleccione la opción CRL habilitada. Indique la ubicación en la que se mantiene el archivo CRL. Se admiten ubicaciones HTTP, HTTPS y FTP. Especifique el intervalo de tiempo para comprobar y descargar el archivo CRL, el intervalo es de 1 a 1440 minutos.

Lista de revocación de certificados

Nota

El período de reautenticación de una ruta virtua1 puede ser de 10 a 15 minutos; si el intervalo de actualización de CRL se establece en una duración más corta, la lista CRL actualizada puede incluir un número de serie activo actualmente. Hacer que un certificado revocado activamente esté disponible en la red durante un corto período de tiempo.

Autenticación con certificados