Almacén de certificados de intercepción SSL

Un certificado SSL, que es una parte integral de cualquier transacción SSL, es una forma de datos digitales (X509) que identifica a una empresa (dominio) o a un individuo. Un certificado SSL es emitido por una autoridad de certificación (CA). Una CA puede ser privada o pública. Las aplicaciones que realizan transacciones SSL confían en los certificados emitidos por CA públicas, como Verisign. Estas aplicaciones mantienen una lista de CA en las que confían.

Como proxy de reenvío, un dispositivo Citrix Secure Web Gateway™ (SWG) realiza el cifrado y descifrado del tráfico entre un cliente y un servidor. Actúa como servidor para el cliente (usuario) y como cliente para el servidor. Antes de que un dispositivo pueda procesar el tráfico HTTPS, debe validar la identidad de un servidor para evitar transacciones fraudulentas. Por lo tanto, como cliente del servidor de origen, el dispositivo debe verificar el certificado del servidor de origen antes de aceptarlo. Para verificar el certificado de un servidor, todos los certificados (por ejemplo, certificados raíz e intermedios) que se utilizan para firmar y emitir el certificado del servidor deben estar presentes en el dispositivo. Un conjunto predeterminado de certificados CA está preinstalado en un dispositivo. El Citrix® SWG puede usar estos certificados para verificar casi todos los certificados comunes de servidores de origen. Este conjunto predeterminado no se puede modificar. Sin embargo, si tu implementación requiere más certificados CA, puedes crear un paquete de dichos certificados e importarlo al dispositivo. Un paquete también puede contener un solo certificado.

Cuando importas un paquete de certificados al dispositivo, el dispositivo descarga el paquete desde la ubicación remota y, después de verificar que el paquete contiene solo certificados, lo instala en el dispositivo. Debes aplicar un paquete de certificados antes de poder usarlo para validar un certificado de servidor. También puedes exportar un paquete de certificados para editarlo o para almacenarlo en una ubicación sin conexión como copia de seguridad.

Importar y aplicar un paquete de certificados CA en el dispositivo usando la CLI de Citrix SWG

En el símbolo del sistema, escribe:

import ssl certBundle <name> <src>
<!--NeedCopy-->

apply ssl certBundle <name>
<!--NeedCopy-->

show ssl certBundle
<!--NeedCopy-->

ARGUMENTOS:

Nombre:

Nombre que se asignará al paquete de certificados importado. Debe comenzar con un carácter alfanumérico ASCII o un guion bajo (_) y debe contener solo caracteres alfanuméricos ASCII, guion bajo, almohadilla (#), punto (.), espacio, dos puntos (:), arroba (@), signo igual (=) y guion (-). El siguiente requisito se aplica solo a la CLI:

Si el nombre incluye uno o más espacios, encierra el nombre entre comillas dobles o simples (por ejemplo, “mi archivo” o ‘mi archivo’).

Longitud máxima: 31

src:

URL que especifica el protocolo, el host y la ruta, incluido el nombre del archivo, del paquete de certificados que se va a importar o exportar. Por ejemplo, http://www.example.com/cert\_bundle\_file.

NOTA: La importación falla si el objeto a importar se encuentra en un servidor HTTPS que requiere autenticación de certificado de cliente para el acceso.

Longitud máxima: 2047

Ejemplo:

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
<!--NeedCopy-->

apply ssl certBundle swg-certbundle
<!--NeedCopy-->

show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done
<!--NeedCopy-->

Importar y aplicar un paquete de certificados CA en el dispositivo usando la GUI de Citrix SWG

1. Navega a Secure Web Gateway > Getting Started > Certificate Bundles.
2. Realiza una de las siguientes acciones:
   • Selecciona un paquete de certificados de la lista.
   • Para agregar un nuevo paquete de certificados, haz clic en “+” y especifica un nombre y una URL de origen. Haz clic en OK.
3. Haz clic en OK.

Quitar un paquete de certificados CA del dispositivo usando la CLI

En el símbolo del sistema, escribe:

remove certBundle <cert bundle name>
<!--NeedCopy-->

Ejemplo:

remove certBundle mytest-cacert
<!--NeedCopy-->

Exportar un paquete de certificados CA del dispositivo usando la CLI de Citrix SWG

En el símbolo del sistema, escribe:

export certBundle <cert bundle name> <Path to export>
<!--NeedCopy-->

ARGUMENTOS:

Nombre:

Nombre que se asignará al paquete de certificados importado. Debe comenzar con un carácter alfanumérico ASCII o un guion bajo (_) y debe contener solo caracteres alfanuméricos ASCII, guion bajo, almohadilla (#), punto (.), espacio, dos puntos (:), arroba (@), signo igual (=) y guion (-). El siguiente requisito se aplica solo a la CLI:

Si el nombre incluye uno o más espacios, encierra el nombre entre comillas dobles o simples (por ejemplo, “mi archivo” o ‘mi archivo’).

Longitud máxima: 31

src:

URL que especifica el protocolo, el host y la ruta, incluido el nombre del archivo, del paquete de certificados que se va a importar o exportar. Por ejemplo, http://www.example.com/cert\_bundle\_file.

NOTA: La importación falla si el objeto a importar se encuentra en un servidor HTTPS que requiere autenticación de certificado de cliente para el acceso.

Longitud máxima: 2047

Ejemplo:

export certBundle mytest-cacert http://192.0.2.20/
<!--NeedCopy-->

Importar, aplicar y verificar un paquete de certificados CA del almacén de certificados CA de Mozilla

En el símbolo del sistema, escribe:

> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done
<!--NeedCopy-->

Para aplicar el paquete, escribe:

> apply certbundle mozilla_public_ca
Done
<!--NeedCopy-->

Para verificar el paquete de certificados en uso, escribe:

> sh certbundle | grep mozilla
    Name : mozilla_public_ca (Inuse)
<!--NeedCopy-->

Limitación

Los paquetes de certificados no son compatibles en una configuración de clúster ni en un dispositivo particionado.