Listas de revocación de certificados
De vez en cuando, las autoridades certificadoras (CA) emiten listas de revocación de certificados (CRL). Las CRL contienen información sobre certificados en los que ya no se puede confiar. Por ejemplo, supongamos que Ann deja XYZ Corporation. La compañía puede colocar el certificado de Ann en una CRL para evitar que firme mensajes con esa clave.
Del mismo modo, puede revocar un certificado si una clave privada está comprometida o si ese certificado ha caducado y se está utilizando uno nuevo. Antes de confiar en una clave pública, asegúrese de que el certificado no aparece en una CRL.
Citrix Gateway admite los siguientes dos tipos de CRL:
- CRL que enumeran los certificados revocados o que ya no son válidos
- Protocolo de estado de certificados en línea (OSCP), un protocolo de Internet utilizado para obtener el estado de revocación de certificados X.509
Para agregar una CRL
Antes de configurar la CRL en el dispositivo Citrix Gateway, asegúrese de que el archivo CRL se almacena localmente en el dispositivo. En el caso de una configuración de alta disponibilidad, el archivo CRL debe estar presente en ambos dispositivos Citrix Gateway y la ruta de acceso al archivo debe ser la misma en ambos dispositivos.
Si necesita actualizar la CRL, puede utilizar los siguientes parámetros:
- Nombre de CRL: Nombre de la CRL que se está agregando al Citrix ADC. Máximo 31 caracteres.
- Archivo CRL: Nombre del archivo CRL que se agrega al Citrix ADC. Citrix ADC busca el archivo CRL en el directorio /var/netscaler/ssl de forma predeterminada. Máximo 63 caracteres.
- URL: Máximo 127 caracteres
- DN base: Máximo 127 caracteres
- DN de enlace: Máximo 127 caracteres
- Contraseña: Máximo 31 caracteres
- Día (s): Máximo 31
- En la utilidad de configuración, en la ficha Configuración, expanda SSL y luego haga clic en CRL.
- En el panel de detalles, haga clic en Agregar.
- En el cuadro de diálogo Agregar CRL, especifique los valores para lo siguiente:
- Nombre de CRL
- Archivo CRL
- Formato (opcional)
- Certificado de CA (opcional)
- Haga clic en Create y, luego, en Close. En el panel de detalles de CRL, seleccione la CRL que acaba de configurar y compruebe que la configuración que aparece en la parte inferior de la pantalla sea correcta.
Para configurar la actualización automática de CRL mediante LDAP o HTTP en la utilidad de configuración
Una CA genera y publica periódicamente una CRL o, en algunos casos, inmediatamente después de revocar un certificado determinado. Citrix recomienda actualizar periódicamente las CRL en el dispositivo Citrix Gateway para protegerlas contra los clientes que intentan conectarse con certificados que no son válidos.
El dispositivo Citrix Gateway puede actualizar CRL desde una ubicación web o un directorio LDAP. Cuando especifique parámetros de actualización y una ubicación web o un servidor LDAP, la CRL no tiene que estar presente en la unidad de disco duro local en el momento de ejecutar el comando. La primera actualización almacena una copia en la unidad de disco duro local, en la ruta especificada por el parámetro Archivo CRL. La ruta predeterminada para almacenar la CRL es /var/netscaler/ssl.
Parámetros de actualización de CRL
-
Nombre de CRL
Nombre de la CRL que se actualiza en Citrix Gateway.
-
Habilitar actualización automática de CRL
Habilite o inhabilite la actualización automática de CRL.
-
Certificado de CA
El certificado de la entidad emisora de certificados que ha emitido la CRL. Este certificado de CA debe estar instalado en el dispositivo. Citrix ADC solo puede actualizar CRL desde CA cuyos certificados están instalados en él.
-
Método
Protocolo en el que se obtiene la actualización de CRL desde un servidor web (HTTP) o un servidor LDAP. Valores posibles: HTTP, LDAP. Valor predeterminado: HTTP.
-
Ámbito
La extensión de la operación de búsqueda en el servidor LDAP. Si el ámbito especificado es Base, la búsqueda se encuentra en el mismo nivel que el DN base. Si el ámbito especificado es Uno, la búsqueda se extiende a un nivel por debajo del DN base.
-
IP de servidor
La dirección IP del servidor LDAP desde el que se recupera la CRL. Seleccione IPv6 para utilizar una dirección IP IPv6.
-
Puerto
El número de puerto en el que se comunica el servidor LDAP o HTTP.
-
URL
La dirección URL de la ubicación web desde la que se recupera la CRL.
-
Base DN
DN base utilizado por el servidor LDAP para buscar el atributo CRL. Nota: Citrix recomienda utilizar el atributo DN base en lugar del nombre del emisor del certificado CA para buscar la CRL en el servidor LDAP. El campo Issuer-Name puede no coincidir exactamente con el DN de la estructura de directorios LDAP.
-
Bind DN
Atributo DN de enlace utilizado para acceder al objeto CRL en el repositorio LDAP. Los atributos de DN de enlace son las credenciales de administrador del servidor LDAP. Configure este parámetro para restringir el acceso no autorizado a los servidores LDAP.
-
Contraseña
Contraseña de administrador utilizada para acceder al objeto CRL en el repositorio LDAP. Esto es necesario si el acceso al repositorio LDAP está restringido, es decir, no se permite el acceso anónimo.
-
Intervalo
El intervalo en el que se debe llevar a cabo la actualización de CRL. Para una actualización instantánea de CRL, especifique el intervalo como AHORA. Valores posibles: MENSUAL, DIARIO, SEMANAL, AHORA, NINGUNA.
-
Días
El día en el que se debe realizar la actualización de CRL. La opción no está disponible si el intervalo se establece en DAILY.
-
Hora
La hora exacta en formato de 24 horas en la que debe realizarse la actualización de CRL.
-
Binario
Establezca el modo de recuperación de CRL basado en LDAP en binario. Valores posibles: SÍ, NO. Valor predeterminado: NO.
- En el panel de navegación, expanda SSL y, a continuación, haga clic en CRL.
- Seleccione la CRL configurada para la que quiere actualizar los parámetros de actualización y, a continuación, haga clic en Abrir.
- Seleccione la opción Habilitar actualización automática de CRL.
- En el grupo Parámetros de Actualización Automática de CRL, especifique valores para los siguientes parámetros:
Nota: Un asterisco (*) indica un parámetro requerido.
- Método
- Binario
- Ámbito
- IP de servidor
- Puerto*
- dirección URL
- DN* base
- Bind DN
- Contraseña
- Intervalo
- d
- Hora
- Haga clic en Crear. En el panel CRL, seleccione la CRL que acaba de configurar y compruebe que la configuración que aparece en la parte inferior de la pantalla sea correcta.