Gateway

Listas de revocación de certificados

January 26, 2024

Contribución de:

De vez en cuando, las entidades de certificación (CA) emiten listas de revocación de certificados (CRL). Las CRL contienen información sobre certificados en los que ya no se puede confiar. Por ejemplo, supongamos que Ann deja XYZ Corporation. La empresa puede colocar el certificado de Ann en una CRL para evitar que firme mensajes con esa clave.

Del mismo modo, puede revocar un certificado si una clave privada está en peligro o si ese certificado ha caducado y se está usando una nueva. Antes de confiar en una clave pública, asegúrese de que el certificado no aparezca en una CRL.

NetScaler Gateway admite los dos tipos de CRL siguientes:

CRL que enumeran los certificados que se han revocado o que ya no son válidos
Protocolo de estado de certificados en línea (OSCP), protocolo de Internet utilizado para obtener el estado de revocación de los certificados X.509

Para agregar una CRL

Antes de configurar la CRL en el dispositivo NetScaler Gateway, asegúrese de que el archivo CRL se almacena localmente en el dispositivo. En el caso de una configuración de alta disponibilidad, el archivo CRL debe estar presente en ambos dispositivos NetScaler Gateway y la ruta de acceso del directorio al archivo debe ser la misma en ambos dispositivos.

Si necesita actualizar la CRL, puede utilizar los siguientes parámetros:

Nombre de CRL: nombre de la CRL que se agrega en NetScaler ADC. Máximo 31 caracteres.
Archivo CRL: nombre del archivo CRL que se agrega en NetScaler ADC. NetScaler ADC busca el archivo CRL en el directorio /var/netscaler/ssl de forma predeterminada. Máximo 63 caracteres.
URL: 127 caracteres como máximo
DN base: 127 caracteres como máximo
Enlazar DN: 127 caracteres como máximo
Contraseña: 31 caracteres como máximo
Día (s): máximo 31

En la utilidad de configuración, en la pestaña Configuración, expanda SSL y, a continuación, haga clic en CRL.
En el panel de detalles, haga clic en Agregar.
En el cuadro de diálogo Agregar CRL, especifique los valores de lo siguiente:
- Nombre de CRL
- Archivo CRL
- Formato (opcional)
- Certificado CA (opcional)
Haga clic en Create y, luego, en Close. En el panel de detalles de la CRL, seleccione la CRL que acaba de configurar y compruebe que la configuración que aparece en la parte inferior de la pantalla es correcta.

Para configurar la actualización automática de CRL mediante LDAP o HTTP en la utilidad de configuración

Una CA genera y publica una CRL de forma periódica o, en algunos casos, inmediatamente después de revocar un certificado determinado. Citrix recomienda actualizar periódicamente las CRL del dispositivo NetScaler Gateway para protegerse de los clientes que intentan conectarse con certificados que no son válidos.

El dispositivo NetScaler Gateway puede actualizar CRL desde una ubicación web o un directorio LDAP. Cuando especifique parámetros de actualización y una ubicación web o un servidor LDAP, la CRL no tiene que estar presente en la unidad de disco duro local en el momento de ejecutar el comando. La primera actualización almacena una copia en la unidad de disco duro local, en la ruta especificada por el parámetro Archivo CRL. La ruta predeterminada para almacenar la CRL es /var/netscaler/ssl.

Parámetros de actualización de CRL

Nombre de CRL

Nombre de la CRL que se está actualizando en NetScaler Gateway.
Habilitar actualización automática de CRL

Habilite o inhabilite la actualización automática de CRL.
Certificado CA

Certificado de la entidad emisora de certificados que ha emitido la CRL. Este certificado de CA debe estar instalado en el dispositivo. El NetScaler ADC solo puede actualizar CRL desde CA cuyos certificados están instalados en él.
Método

Protocolo para obtener la actualización de CRL de un servidor web (HTTP) o de un servidor LDAP. Valores posibles: HTTP, LDAP. Valor predeterminado: HTTP.
Ámbito

Extensión de la operación de búsqueda en el servidor LDAP. Si el ámbito especificado es Base, la búsqueda se encuentra al mismo nivel que el DN base. Si el ámbito especificado es Uno, la búsqueda se extiende a un nivel por debajo del DN base.
IP de servidor

Dirección IP del servidor LDAP del que se recupera la CRL. Seleccione IPv6 para utilizar una dirección IP IPv6.
Puerto

Número de puerto en el que se comunica el servidor LDAP o HTTP.
URL

Dirección URL de la ubicación web de la que se recupera la CRL.
DN base

El DN base utilizado por el servidor LDAP para buscar el atributo CRL. Nota: Citrix recomienda utilizar el atributo DN base en lugar del nombre del emisor del certificado de CA para buscar la CRL en el servidor LDAP. Es posible que el campo Nombre del emisor no coincida exactamente con el DN de la estructura de directorios LDAP.
Vincular DN

El atributo DN de enlace utilizado para acceder al objeto CRL en el repositorio LDAP. Los atributos DN de enlace son las credenciales de administrador del servidor LDAP. Configure este parámetro para restringir el acceso no autorizado a los servidores LDAP.
Contraseña

Contraseña de administrador utilizada para acceder al objeto CRL del repositorio LDAP. Esto es necesario si el acceso al repositorio LDAP está restringido, es decir, no se permite el acceso anónimo.
Intervalo

El intervalo en el que debe realizarse la actualización de la CRL. Para una actualización instantánea de CRL, especifique el intervalo como AHORA. Valores posibles: MENSUAL, DIARIO, SEMANAL, AHORA, NINGUNO.
Días

El día en el que se debe realizar la actualización de la CRL. La opción no está disponible si el intervalo está establecido en DIARIO.
Hora

La hora exacta en formato de 24 horas en la que se debe realizar la actualización de la CRL.
Binario

Establezca el modo de recuperación de CRL basado en LDAP en binario. Valores posibles: SÍ, NO. Predeterminado: NO.

En el panel de navegación, expanda SSL y, a continuación, haga clic en CRL.
Seleccione la CRL configurada para la que quiere actualizar los parámetros de actualización y, a continuación, haga clic en Abrir.
Seleccione la opción Habilitar actualización automática de CRL.
En el grupo Parámetros de actualización automática de CRL, especifique valores para los siguientes parámetros: Nota: Un asterisco (*) indica un parámetro obligatorio.
- Método
- Binario
- Ámbito
- IP de servidor
- Puerto*
- URL
- DNS base*
- Vincular DN
- Contraseña
- Intervalo
- Día (s)
- Hora
Haga clic en Crear. En el panel CRL, seleccione la CRL que acaba de configurar y compruebe que la configuración que aparece en la parte inferior de la pantalla es correcta.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

Listas de revocación de certificados

January 26, 2024

Contribución de:

January 26, 2024

Contribución de:

En este artículo

Para agregar una CRL
Para configurar la actualización automática de CRL mediante LDAP o HTTP en la utilidad de configuración