Listas de revocación de certificados
De vez en cuando, las entidades de certificación (CA) emiten listas de revocación de certificados (CRL). Las CRL contienen información sobre certificados en los que ya no se puede confiar. Por ejemplo, supongamos que Ann deja XYZ Corporation. La empresa puede colocar el certificado de Ann en una CRL para evitar que firme mensajes con esa clave.
Del mismo modo, puede revocar un certificado si una clave privada está en peligro o si ese certificado ha caducado y se está usando una nueva. Antes de confiar en una clave pública, asegúrese de que el certificado no aparezca en una CRL.
NetScaler Gateway admite los dos tipos de CRL siguientes:
- CRL que enumeran los certificados que se han revocado o que ya no son válidos
- Protocolo de estado de certificados en línea (OSCP), protocolo de Internet utilizado para obtener el estado de revocación de los certificados X.509
Para agregar una CRL
Antes de configurar la CRL en el dispositivo NetScaler Gateway, asegúrese de que el archivo CRL se almacena localmente en el dispositivo. En el caso de una configuración de alta disponibilidad, el archivo CRL debe estar presente en ambos dispositivos NetScaler Gateway y la ruta de acceso del directorio al archivo debe ser la misma en ambos dispositivos.
Si necesita actualizar la CRL, puede utilizar los siguientes parámetros:
- Nombre de CRL: nombre de la CRL que se agrega en NetScaler ADC. Máximo 31 caracteres.
- Archivo CRL: nombre del archivo CRL que se agrega en NetScaler ADC. NetScaler ADC busca el archivo CRL en el directorio /var/netscaler/ssl de forma predeterminada. Máximo 63 caracteres.
- URL: 127 caracteres como máximo
- DN base: 127 caracteres como máximo
- Enlazar DN: 127 caracteres como máximo
- Contraseña: 31 caracteres como máximo
- Día (s): máximo 31
- En la utilidad de configuración, en la pestaña Configuración, expanda SSL y, a continuación, haga clic en CRL.
- En el panel de detalles, haga clic en Agregar.
- En el cuadro de diálogo Agregar CRL, especifique los valores de lo siguiente:
- Nombre de CRL
- Archivo CRL
- Formato (opcional)
- Certificado CA (opcional)
- Haga clic en Create y, luego, en Close. En el panel de detalles de la CRL, seleccione la CRL que acaba de configurar y compruebe que la configuración que aparece en la parte inferior de la pantalla es correcta.
Para configurar la actualización automática de CRL mediante LDAP o HTTP en la utilidad de configuración
Una CA genera y publica una CRL de forma periódica o, en algunos casos, inmediatamente después de revocar un certificado determinado. Citrix recomienda actualizar periódicamente las CRL del dispositivo NetScaler Gateway para protegerse de los clientes que intentan conectarse con certificados que no son válidos.
El dispositivo NetScaler Gateway puede actualizar CRL desde una ubicación web o un directorio LDAP. Cuando especifique parámetros de actualización y una ubicación web o un servidor LDAP, la CRL no tiene que estar presente en la unidad de disco duro local en el momento de ejecutar el comando. La primera actualización almacena una copia en la unidad de disco duro local, en la ruta especificada por el parámetro Archivo CRL. La ruta predeterminada para almacenar la CRL es /var/netscaler/ssl.
Parámetros de actualización de CRL
-
Nombre de CRL
Nombre de la CRL que se está actualizando en NetScaler Gateway.
-
Habilitar actualización automática de CRL
Habilite o inhabilite la actualización automática de CRL.
-
Certificado CA
Certificado de la entidad emisora de certificados que ha emitido la CRL. Este certificado de CA debe estar instalado en el dispositivo. El NetScaler ADC solo puede actualizar CRL desde CA cuyos certificados están instalados en él.
-
Método
Protocolo para obtener la actualización de CRL de un servidor web (HTTP) o de un servidor LDAP. Valores posibles: HTTP, LDAP. Valor predeterminado: HTTP.
-
Ámbito
Extensión de la operación de búsqueda en el servidor LDAP. Si el ámbito especificado es Base, la búsqueda se encuentra al mismo nivel que el DN base. Si el ámbito especificado es Uno, la búsqueda se extiende a un nivel por debajo del DN base.
-
IP de servidor
Dirección IP del servidor LDAP del que se recupera la CRL. Seleccione IPv6 para utilizar una dirección IP IPv6.
-
Puerto
Número de puerto en el que se comunica el servidor LDAP o HTTP.
-
URL
Dirección URL de la ubicación web de la que se recupera la CRL.
-
DN base
El DN base utilizado por el servidor LDAP para buscar el atributo CRL. Nota: Citrix recomienda utilizar el atributo DN base en lugar del nombre del emisor del certificado de CA para buscar la CRL en el servidor LDAP. Es posible que el campo Nombre del emisor no coincida exactamente con el DN de la estructura de directorios LDAP.
-
Vincular DN
El atributo DN de enlace utilizado para acceder al objeto CRL en el repositorio LDAP. Los atributos DN de enlace son las credenciales de administrador del servidor LDAP. Configure este parámetro para restringir el acceso no autorizado a los servidores LDAP.
-
Contraseña
Contraseña de administrador utilizada para acceder al objeto CRL del repositorio LDAP. Esto es necesario si el acceso al repositorio LDAP está restringido, es decir, no se permite el acceso anónimo.
-
Intervalo
El intervalo en el que debe realizarse la actualización de la CRL. Para una actualización instantánea de CRL, especifique el intervalo como AHORA. Valores posibles: MENSUAL, DIARIO, SEMANAL, AHORA, NINGUNO.
-
Días
El día en el que se debe realizar la actualización de la CRL. La opción no está disponible si el intervalo está establecido en DIARIO.
-
Hora
La hora exacta en formato de 24 horas en la que se debe realizar la actualización de la CRL.
-
Binario
Establezca el modo de recuperación de CRL basado en LDAP en binario. Valores posibles: SÍ, NO. Predeterminado: NO.
- En el panel de navegación, expanda SSL y, a continuación, haga clic en CRL.
- Seleccione la CRL configurada para la que quiere actualizar los parámetros de actualización y, a continuación, haga clic en Abrir.
- Seleccione la opción Habilitar actualización automática de CRL.
- En el grupo Parámetros de actualización automática de CRL, especifique valores para los siguientes parámetros:
Nota: Un asterisco (*) indica un parámetro obligatorio.
- Método
- Binario
- Ámbito
- IP de servidor
- Puerto*
- URL
- DNS base*
- Vincular DN
- Contraseña
- Intervalo
- Día (s)
- Hora
- Haga clic en Crear. En el panel CRL, seleccione la CRL que acaba de configurar y compruebe que la configuración que aparece en la parte inferior de la pantalla es correcta.