Listas de revocación de certificados

De vez en cuando, las entidades de certificación (CA) emiten listas de revocación de certificados (CRL). Las CRL contienen información sobre certificados en los que ya no se puede confiar. Por ejemplo, supongamos que Ann deja XYZ Corporation. La empresa puede colocar el certificado de Ann en una CRL para evitar que firme mensajes con esa clave.

Del mismo modo, puede revocar un certificado si una clave privada está en peligro o si ese certificado ha caducado y se está usando una nueva. Antes de confiar en una clave pública, asegúrese de que el certificado no aparezca en una CRL.

NetScaler Gateway admite los dos tipos de CRL siguientes:

• CRL que enumeran los certificados que se han revocado o que ya no son válidos
• Protocolo de estado de certificados en línea (OSCP), protocolo de Internet utilizado para obtener el estado de revocación de los certificados X.509

Para agregar una CRL:

Antes de configurar la CRL en el dispositivo NetScaler Gateway, asegúrese de que el archivo CRL se almacena localmente en el dispositivo. En el caso de una configuración de alta disponibilidad, el archivo CRL debe estar presente en ambos dispositivos NetScaler Gateway y la ruta de acceso del directorio al archivo debe ser la misma en ambos dispositivos.

Si necesita actualizar la CRL, puede utilizar los siguientes parámetros:

• Nombre de CRL: nombre de la CRL que se agrega en NetScaler ADC. Máximo 31 caracteres.
• Archivo CRL: nombre del archivo CRL que se agrega en NetScaler ADC. NetScaler ADC busca el archivo CRL en el directorio /var/netscaler/ssl de forma predeterminada. Máximo 63 caracteres.
• URL: 127 caracteres como máximo
• DN base: 127 caracteres como máximo
• Enlazar DN: 127 caracteres como máximo
• Contraseña: 31 caracteres como máximo
• Días: máximo 31

1. En la utilidad de configuración, en la ficha Configuración, expanda SSL y, a continuación, haga clic en CRL.
2. En el panel de detalles, haga clic en Agregar.
3. En el cuadro de diálogo Agregar CRL, especifique los valores de lo siguiente:
   • Nombre de CRL
   • Archivo CRL
   • Formato (opcional)
   • Certificado CA (opcional)
4. Haga clic en Create y, luego, en Close. En el panel de detalles de CRL, seleccione la CRL que ha configurado y compruebe que la configuración que aparece en la parte inferior de la pantalla es correcta.

Para configurar la actualización automática de CRL mediante LDAP o HTTP en la GUI:

Una entidad emisora de certificados genera y publica una CRL periódicamente o, a veces, inmediatamente después de revocar un certificado concreto. Citrix recomienda actualizar periódicamente las CRL del dispositivo NetScaler Gateway para protegerse de los clientes que intentan conectarse con certificados que no son válidos.

El dispositivo NetScaler Gateway puede actualizar CRL desde una ubicación web o un directorio LDAP. Cuando especifique parámetros de actualización y una ubicación web o un servidor LDAP, la CRL no tiene que estar presente en la unidad de disco duro local en el momento de ejecutar el comando. La primera actualización almacena una copia en la unidad de disco duro local, en la ruta especificada por el parámetro Archivo CRL. La ruta predeterminada para almacenar la CRL es /var/netscaler/ssl.

Parámetros de actualización de CRL

• Nombre de CRL

  Nombre de la CRL que se está actualizando en NetScaler Gateway.

• Habilitar actualización automática de CRL

  Habilite o inhabilite la actualización automática de CRL.

• Certificado CA

  Certificado de la entidad emisora de certificados que ha emitido la CRL. Este certificado de CA debe estar instalado en el dispositivo. El NetScaler ADC solo puede actualizar CRL desde CA cuyos certificados están instalados en él.

• Método

  Protocolo para obtener la actualización de CRL de un servidor web (HTTP) o de un servidor LDAP. Valores posibles: HTTP, LDAP. Valor predeterminado: HTTP.

• Ámbito

  Extensión de la operación de búsqueda en el servidor LDAP. Si el ámbito especificado es Base, la búsqueda se encuentra al mismo nivel que el DN base. Si el ámbito especificado es Uno, la búsqueda se extiende a un nivel por debajo del DN base.

• IP de servidor

  Dirección IP del servidor LDAP del que se recupera la CRL. Seleccione IPv6 para utilizar una dirección IP IPv6.

• Puerto

  Número de puerto en el que se comunica el servidor LDAP o HTTP.

• URL

  Dirección URL de la ubicación web de la que se recupera la CRL.

• DN base

  DN base utilizado por el servidor LDAP para buscar el atributo CRL. Nota: Citrix recomienda utilizar el atributo DN base en lugar del nombre del emisor del certificado de CA para buscar la CRL en el servidor LDAP. Es posible que el campo Nombre del emisor no coincida exactamente con el DN de la estructura de directorios LDAP.

• Vincular DN

  El atributo bind DN se utiliza para acceder al objeto CRL del repositorio LDAP. Los atributos DN de enlace son las credenciales de administrador del servidor LDAP. Configure este parámetro para restringir el acceso no autorizado a los servidores LDAP.

• Contraseña

  Contraseña de administrador utilizada para acceder al objeto CRL del repositorio LDAP. Se requiere contraseña si el acceso al repositorio LDAP está restringido, es decir, no se permite el acceso anónimo.

• Intervalo

  Intervalo en el que se debe llevar a cabo la actualización de CRL. Para una actualización instantánea de CRL, especifique el intervalo como AHORA. Valores posibles: MENSUAL, DIARIO, SEMANAL, AHORA, NINGUNO.

• Días

  El día en que se debe realizar la actualización de la CRL. La opción no está disponible si el intervalo se establece en DIARIO.

• Hora

  Hora exacta en formato de 24 horas en la que se debe realizar la actualización de CRL.

• Binario

  Establezca el modo de recuperación de CRL basado en LDAP en binario. Valores posibles: SÍ, NO. Predeterminado: NO.

1. En el panel de navegación, expanda SSL y, a continuación, haga clic en CRL.
2. Seleccione la CRL configurada para la que quiere actualizar los parámetros de actualización y, a continuación, haga clic en Abrir.
3. Seleccione la opción Habilitar actualización automática de CRL.
4. En el grupo Parámetros de actualización automática de CRL, especifique valores para los siguientes parámetros: Nota: Un asterisco (*) indica un parámetro obligatorio.
   • Método
   • Binario
   • Ámbito
   • IP de servidor
   • Puerto*
   • URL
   • DNS base*
   • Vincular DN
   • Contraseña
   • Intervalo
   • Días
   • Hora
5. Haga clic en Crear. En el panel CRL, seleccione la CRL que ha configurado y compruebe que la configuración que aparece en la parte inferior de la pantalla es correcta.

Supervisar el estado del certificado con OCSP

El Protocolo de estado de certificados en línea (OCSP) es un protocolo de Internet que se utiliza para determinar el estado de un certificado SSL de cliente. NetScaler Gateway admite OCSP según se define en RFC 2560. OCSP ofrece ventajas significativas sobre las listas de revocación de certificados (CRL) en términos de información oportuna. El estado de revocación actualizado de un certificado de cliente es especialmente útil en transacciones que implican grandes sumas de dinero y operaciones bursátiles de alto valor. También utiliza menos recursos del sistema y de la red. La implementación de OCSP en NetScaler Gateway incluye el procesamiento por lotes de solicitudes y el almacenamiento en caché de respuestas

Implementación de OCSP en NetScaler Gateway

La validación de OCSP en un dispositivo NetScaler Gateway comienza cuando NetScaler Gateway recibe un certificado de cliente durante un enlace SSL. Para validar el certificado, NetScaler Gateway crea una solicitud OCSP y la reenvía al respondedor OCSP. Para ello, NetScaler Gateway extrae la dirección URL del respondedor OCSP del certificado de cliente o utiliza una URL configurada localmente. La transacción está suspendida hasta que NetScaler Gateway evalúa la respuesta del servidor y determina si se permite o se rechaza la transacción. Si la respuesta del servidor se retrasa más allá del tiempo configurado y no hay ningún otro respondedor configurado, NetScaler Gateway permite la transacción o muestra un error, en función de si establece la comprobación de OCSP como opcional u obligatoria. NetScaler Gateway admite el procesamiento por lotes de solicitudes OCSP y el almacenamiento en caché de respuestas OCSP para reducir la carga del respondedor OCSP y proporcionar respuestas más rápidas.

procesamiento por lotes de solicitudes de OCSP

Cada vez que NetScaler Gateway recibe un certificado de cliente, envía una solicitud al respondedor OCSP. Para evitar sobrecargar el respondedor OCSP, NetScaler Gateway puede consultar el estado de más de un certificado de cliente en la misma solicitud. Para que el procesamiento por lotes de solicitudes funcione de forma eficiente, es necesario definir un tiempo de espera para que el procesamiento de un único certificado no se retrase mientras se espera formar un lote.

Almacenamiento en caché de respuestas OCSP

El almacenamiento en caché de las respuestas recibidas del respondedor OCSP permite respuestas más rápidas para el usuario y reduce la carga del respondedor OCSP. Al recibir el estado de revocación de un certificado de cliente del respondedor OCSP, NetScaler Gateway almacena en caché la respuesta localmente durante un período de tiempo predefinido. Cuando se recibe un certificado de cliente durante un protocolo de enlace SSL, NetScaler Gateway comprueba primero su caché local en busca de una entrada para este certificado. Si se encuentra una entrada que sigue siendo válida (dentro del límite de tiempo de espera de la caché), se evalúa la entrada y se acepta o rechaza el certificado de cliente. Si no se encuentra un certificado, NetScaler Gateway envía una solicitud al respondedor OCSP y almacena la respuesta en su caché local durante un período de tiempo configurado.

Configurar el estado del certificado OCSP

La configuración de un Protocolo de estado de certificados en línea (OCSP) implica agregar un respondedor OCSP, vincular el respondedor OCSP a un certificado firmado de una entidad de certificación (CA) y vincular el certificado y la clave privada a un servidor virtual de Secure Sockets Layer (SSL). Si necesita vincular un certificado y una clave privada diferentes a un respondedor OCSP que ya ha configurado, primero debe desvincular el respondedor y, a continuación, enlazar el respondedor a un certificado diferente.

Para configurar OCSP

1. En la ficha Configuración, en el panel de navegación, expanda SSL y, a continuación, haga clic en Respondedor OCSP.

2. En el panel de detalles, haga clic en Agregar.

3. En Nombre , escriba un nombre para el perfil.

4. En URL, escriba la dirección web del respondedor OCSP.

   Este campo es obligatorio. La dirección web no puede superar los 32 caracteres.

5. Para almacenar en caché las respuestas de OCSP, haga clic en Caché y, en Tiempo de espera, escriba el número de minutos que NetScaler Gateway tiene la respuesta.

6. En Solicitar lote, haga clic en Habilitar.

7. En Retraso de procesamiento por lotes, especifique el tiempo, en milisegundos, permitido para agrupar por lotes un grupo de solicitudes OCSP.

   Los valores pueden ser de 0 a 10000. El valor predeterminado es 1.

8. En Sesgo producido en el momento, escriba la cantidad de tiempo que NetScaler Gateway puede utilizar cuando el dispositivo debe comprobar o aceptar la respuesta.

9. En Verificación de respuesta, seleccione Confiar en respuestas si quiere inhabilitar las comprobaciones de firma del respondedor de OCSP.

   Si habilita Respuestas de confianza, omita los pasos 8 y 9.

10. En Certificado, seleccione el certificado que se utiliza para firmar las respuestas de OCSP.

    Si no se selecciona un certificado, la CA a la que está vinculado el respondedor OCSP se utiliza para verificar las respuestas.

11. En Tiempo de espera de solicitud, escriba el número de milisegundos que debe esperar una respuesta de OCSP.

    Este tiempo incluye el tiempo de demora de procesamiento por lotes. Los valores pueden estar comprendidos entre 0 y 120000. El valor por defecto es 2000.

12. En Certificado de firma, seleccione el certificado y la clave privada utilizados para firmar las solicitudes de OCSP. Si no especifica un certificado ni una clave privada, las solicitudes no se firman.

13. Para habilitar el número usado una vez (nonce) extension, selecciona Nonce.

14. Para utilizar un certificado de cliente, haga clic en Inserción de certificados de cliente.

15. Haga clic en Create y, luego, en Close.