Listas de revocación de certificados
De vez en cuando, las entidades de certificación (CA) emiten listas de revocación de certificados (CRL). Las CRL contienen información sobre certificados en los que ya no se puede confiar. Por ejemplo, supongamos que Ann deja XYZ Corporation. La empresa puede colocar el certificado de Ann en una CRL para evitar que firme mensajes con esa clave.
Del mismo modo, puede revocar un certificado si una clave privada está en peligro o si ese certificado ha caducado y se está usando una nueva. Antes de confiar en una clave pública, asegúrese de que el certificado no aparezca en una CRL.
NetScaler Gateway admite los dos tipos de CRL siguientes:
- CRL que enumeran los certificados que se han revocado o que ya no son válidos
- Protocolo de estado de certificados en línea (OSCP), protocolo de Internet utilizado para obtener el estado de revocación de los certificados X.509
Para agregar una CRL:
Antes de configurar la CRL en el dispositivo NetScaler Gateway, asegúrese de que el archivo CRL se almacena localmente en el dispositivo. En el caso de una configuración de alta disponibilidad, el archivo CRL debe estar presente en ambos dispositivos NetScaler Gateway y la ruta de acceso del directorio al archivo debe ser la misma en ambos dispositivos.
Si necesita actualizar la CRL, puede utilizar los siguientes parámetros:
- Nombre de CRL: nombre de la CRL que se agrega en NetScaler ADC. Máximo 31 caracteres.
- Archivo CRL: nombre del archivo CRL que se agrega en NetScaler ADC. NetScaler ADC busca el archivo CRL en el directorio /var/netscaler/ssl de forma predeterminada. Máximo 63 caracteres.
- URL: 127 caracteres como máximo
- DN base: 127 caracteres como máximo
- Enlazar DN: 127 caracteres como máximo
- Contraseña: 31 caracteres como máximo
- Días: máximo 31
- En la utilidad de configuración, en la ficha Configuración, expanda SSL y, a continuación, haga clic en CRL.
- En el panel de detalles, haga clic en Agregar.
- En el cuadro de diálogo Agregar CRL, especifique los valores de lo siguiente:
- Nombre de CRL
- Archivo CRL
- Formato (opcional)
- Certificado CA (opcional)
- Haga clic en Create y, luego, en Close. En el panel de detalles de CRL, seleccione la CRL que ha configurado y compruebe que la configuración que aparece en la parte inferior de la pantalla es correcta.
Para configurar la actualización automática de CRL mediante LDAP o HTTP en la GUI:
Una entidad emisora de certificados genera y publica una CRL periódicamente o, a veces, inmediatamente después de revocar un certificado concreto. Citrix recomienda actualizar periódicamente las CRL del dispositivo NetScaler Gateway para protegerse de los clientes que intentan conectarse con certificados que no son válidos.
El dispositivo NetScaler Gateway puede actualizar CRL desde una ubicación web o un directorio LDAP. Cuando especifique parámetros de actualización y una ubicación web o un servidor LDAP, la CRL no tiene que estar presente en la unidad de disco duro local en el momento de ejecutar el comando. La primera actualización almacena una copia en la unidad de disco duro local, en la ruta especificada por el parámetro Archivo CRL. La ruta predeterminada para almacenar la CRL es /var/netscaler/ssl.
Parámetros de actualización de CRL
-
Nombre de CRL
Nombre de la CRL que se está actualizando en NetScaler Gateway.
-
Habilitar actualización automática de CRL
Habilite o inhabilite la actualización automática de CRL.
-
Certificado CA
Certificado de la entidad emisora de certificados que ha emitido la CRL. Este certificado de CA debe estar instalado en el dispositivo. El NetScaler ADC solo puede actualizar CRL desde CA cuyos certificados están instalados en él.
-
Método
Protocolo para obtener la actualización de CRL de un servidor web (HTTP) o de un servidor LDAP. Valores posibles: HTTP, LDAP. Valor predeterminado: HTTP.
-
Ámbito
Extensión de la operación de búsqueda en el servidor LDAP. Si el ámbito especificado es Base, la búsqueda se encuentra al mismo nivel que el DN base. Si el ámbito especificado es Uno, la búsqueda se extiende a un nivel por debajo del DN base.
-
IP de servidor
Dirección IP del servidor LDAP del que se recupera la CRL. Seleccione IPv6 para utilizar una dirección IP IPv6.
-
Puerto
Número de puerto en el que se comunica el servidor LDAP o HTTP.
-
URL
Dirección URL de la ubicación web de la que se recupera la CRL.
-
DN base
DN base utilizado por el servidor LDAP para buscar el atributo CRL. Nota: Citrix recomienda utilizar el atributo DN base en lugar del nombre del emisor del certificado de CA para buscar la CRL en el servidor LDAP. Es posible que el campo Nombre del emisor no coincida exactamente con el DN de la estructura de directorios LDAP.
-
Vincular DN
El atributo bind DN se utiliza para acceder al objeto CRL del repositorio LDAP. Los atributos DN de enlace son las credenciales de administrador del servidor LDAP. Configure este parámetro para restringir el acceso no autorizado a los servidores LDAP.
-
Contraseña
Contraseña de administrador utilizada para acceder al objeto CRL del repositorio LDAP. Se requiere contraseña si el acceso al repositorio LDAP está restringido, es decir, no se permite el acceso anónimo.
-
Intervalo
Intervalo en el que se debe llevar a cabo la actualización de CRL. Para una actualización instantánea de CRL, especifique el intervalo como AHORA. Valores posibles: MENSUAL, DIARIO, SEMANAL, AHORA, NINGUNO.
-
Días
El día en que se debe realizar la actualización de la CRL. La opción no está disponible si el intervalo se establece en DIARIO.
-
Hora
Hora exacta en formato de 24 horas en la que se debe realizar la actualización de CRL.
-
Binario
Establezca el modo de recuperación de CRL basado en LDAP en binario. Valores posibles: SÍ, NO. Predeterminado: NO.
- En el panel de navegación, expanda SSL y, a continuación, haga clic en CRL.
- Seleccione la CRL configurada para la que quiere actualizar los parámetros de actualización y, a continuación, haga clic en Abrir.
- Seleccione la opción Habilitar actualización automática de CRL.
- En el grupo Parámetros de actualización automática de CRL, especifique valores para los siguientes parámetros:
Nota: Un asterisco (*) indica un parámetro obligatorio.
- Método
- Binario
- Ámbito
- IP de servidor
- Puerto*
- URL
- DNS base*
- Vincular DN
- Contraseña
- Intervalo
- Días
- Hora
- Haga clic en Crear. En el panel CRL, seleccione la CRL que ha configurado y compruebe que la configuración que aparece en la parte inferior de la pantalla es correcta.
Supervisar el estado del certificado con OCSP
El Protocolo de estado de certificados en línea (OCSP) es un protocolo de Internet que se utiliza para determinar el estado de un certificado SSL de cliente. NetScaler Gateway admite OCSP según se define en RFC 2560. OCSP ofrece ventajas significativas sobre las listas de revocación de certificados (CRL) en términos de información oportuna. El estado de revocación actualizado de un certificado de cliente es especialmente útil en transacciones que implican grandes sumas de dinero y operaciones bursátiles de alto valor. También utiliza menos recursos del sistema y de la red. La implementación de OCSP en NetScaler Gateway incluye el procesamiento por lotes de solicitudes y el almacenamiento en caché de respuestas
Implementación de OCSP en NetScaler Gateway
La validación de OCSP en un dispositivo NetScaler Gateway comienza cuando NetScaler Gateway recibe un certificado de cliente durante un enlace SSL. Para validar el certificado, NetScaler Gateway crea una solicitud OCSP y la reenvía al respondedor OCSP. Para ello, NetScaler Gateway extrae la dirección URL del respondedor OCSP del certificado de cliente o utiliza una URL configurada localmente. La transacción está suspendida hasta que NetScaler Gateway evalúa la respuesta del servidor y determina si se permite o se rechaza la transacción. Si la respuesta del servidor se retrasa más allá del tiempo configurado y no hay ningún otro respondedor configurado, NetScaler Gateway permite la transacción o muestra un error, en función de si establece la comprobación de OCSP como opcional u obligatoria. NetScaler Gateway admite el procesamiento por lotes de solicitudes OCSP y el almacenamiento en caché de respuestas OCSP para reducir la carga del respondedor OCSP y proporcionar respuestas más rápidas.
procesamiento por lotes de solicitudes de OCSP
Cada vez que NetScaler Gateway recibe un certificado de cliente, envía una solicitud al respondedor OCSP. Para evitar sobrecargar el respondedor OCSP, NetScaler Gateway puede consultar el estado de más de un certificado de cliente en la misma solicitud. Para que el procesamiento por lotes de solicitudes funcione de forma eficiente, es necesario definir un tiempo de espera para que el procesamiento de un único certificado no se retrase mientras se espera formar un lote.
Almacenamiento en caché de respuestas OCSP
El almacenamiento en caché de las respuestas recibidas del respondedor OCSP permite respuestas más rápidas para el usuario y reduce la carga del respondedor OCSP. Al recibir el estado de revocación de un certificado de cliente del respondedor OCSP, NetScaler Gateway almacena en caché la respuesta localmente durante un período de tiempo predefinido. Cuando se recibe un certificado de cliente durante un protocolo de enlace SSL, NetScaler Gateway comprueba primero su caché local en busca de una entrada para este certificado. Si se encuentra una entrada que sigue siendo válida (dentro del límite de tiempo de espera de la caché), se evalúa la entrada y se acepta o rechaza el certificado de cliente. Si no se encuentra un certificado, NetScaler Gateway envía una solicitud al respondedor OCSP y almacena la respuesta en su caché local durante un período de tiempo configurado.
Configurar el estado del certificado OCSP
La configuración de un Protocolo de estado de certificados en línea (OCSP) implica agregar un respondedor OCSP, vincular el respondedor OCSP a un certificado firmado de una entidad de certificación (CA) y vincular el certificado y la clave privada a un servidor virtual de Secure Sockets Layer (SSL). Si necesita vincular un certificado y una clave privada diferentes a un respondedor OCSP que ya ha configurado, primero debe desvincular el respondedor y, a continuación, enlazar el respondedor a un certificado diferente.
Para configurar OCSP
-
En la ficha Configuración, en el panel de navegación, expanda SSL y, a continuación, haga clic en Respondedor OCSP.
-
En el panel de detalles, haga clic en Agregar.
-
En Nombre , escriba un nombre para el perfil.
-
En URL, escriba la dirección web del respondedor OCSP.
Este campo es obligatorio. La dirección web no puede superar los 32 caracteres.
-
Para almacenar en caché las respuestas de OCSP, haga clic en Caché y, en Tiempo de espera, escriba el número de minutos que NetScaler Gateway tiene la respuesta.
-
En Solicitar lote, haga clic en Habilitar.
-
En Retraso de procesamiento por lotes, especifique el tiempo, en milisegundos, permitido para agrupar por lotes un grupo de solicitudes OCSP.
Los valores pueden ser de 0 a 10000. El valor predeterminado es 1.
-
En Sesgo producido en el momento, escriba la cantidad de tiempo que NetScaler Gateway puede utilizar cuando el dispositivo debe comprobar o aceptar la respuesta.
-
En Verificación de respuesta, seleccione Confiar en respuestas si quiere inhabilitar las comprobaciones de firma del respondedor de OCSP.
Si habilita Respuestas de confianza, omita los pasos 8 y 9.
-
En Certificado, seleccione el certificado que se utiliza para firmar las respuestas de OCSP.
Si no se selecciona un certificado, la CA a la que está vinculado el respondedor OCSP se utiliza para verificar las respuestas.
-
En Tiempo de espera de solicitud, escriba el número de milisegundos que debe esperar una respuesta de OCSP.
Este tiempo incluye el tiempo de demora de procesamiento por lotes. Los valores pueden estar comprendidos entre 0 y 120000. El valor por defecto es 2000.
-
En Certificado de firma, seleccione el certificado y la clave privada utilizados para firmar las solicitudes de OCSP. Si no especifica un certificado ni una clave privada, las solicitudes no se firman.
-
Para habilitar el número usado una vez
(nonce) extension
, selecciona Nonce. -
Para utilizar un certificado de cliente, haga clic en Inserción de certificados de cliente.
-
Haga clic en Create y, luego, en Close.