FAQ SSL
Questions de base
L’accès HTTPS à l’interface graphique échoue sur une instance VPX. Comment puis-je y accéder ?
Une paire de clés de certificat est nécessaire pour accéder au protocole HTTPS à l’interface graphique. Sur une appliance Citrix ADC, une paire de clés de certificat est automatiquement liée aux services internes. Sur une appliance MPX ou SDX, la taille de clé par défaut est de 1024 octets et sur une instance VPX, la taille de clé par défaut est de 512 octets. Cependant, la plupart des navigateurs n’acceptent pas aujourd’hui une clé inférieure à 1024 octets. Par conséquent, l’accès HTTPS à l’utilitaire de configuration VPX est bloqué.
Citrix recommande d’installer une paire de clés de certificat d’au moins 1024 octets et de la lier au service interne pour accéder HTTPS à l’utilitaire de configuration. Vous pouvez également mettre à jour le ns-server-certificate
jusqu’à 1024 octets. Vous pouvez utiliser l’accès HTTP à l’utilitaire de configuration ou à l’interface de ligne de commande pour installer le certificat.
Si j’ajoute une licence à une appliance MPX, la liaison de la paire de clés de certificat est perdue. Comment puis-je résoudre ce problème ?
Si aucune licence n’est présente sur une appliance MPX au démarrage, et que vous ajoutez une licence plus tard et que vous redémarrez l’appliance, vous risquez de perdre la liaison du certificat. Réinstallez le certificat et liez-le au service interne
Citrix recommande d’installer une licence appropriée avant de démarrer l’appliance.
Quelles sont les différentes étapes de la configuration d’un canal sécurisé pour une transaction SSL ?
La configuration d’un canal sécurisé pour une transaction SSL implique les étapes suivantes :
-
Le client envoie une demande HTTPS pour un canal sécurisé au serveur.
-
Après avoir sélectionné le protocole et le chiffrement, le serveur envoie son certificat au client.
-
Le client vérifie l’authenticité du certificat de serveur.
-
Si l’une des vérifications échoue, le client affiche les commentaires correspondants.
-
Si les vérifications réussissent ou que le client décide de continuer même en cas d’échec d’une vérification, le client crée une clé temporaire et jetable. Cette clé est appelée secret pré-maître et le client crypte cette clé à l’aide de la clé publique du certificat du serveur.
-
Le serveur, après avoir reçu le secret pré-maître, le déchiffre à l’aide de la clé privée du serveur et génère les clés de session. Le client génère également les clés de session à partir du secret pré-maître. Ainsi, le client et le serveur disposent désormais d’une clé de session commune, utilisée pour le chiffrement et le déchiffrement des données d’application.
Je comprends que SSL est un processus à forte intensité de processeur. Quel est le coût du processeur associé au processus SSL ?
Les deux étapes suivantes sont associées au processus SSL :
-
La poignée de main initiale et la configuration sécurisée des canaux à l’aide de la technologie de clé publique et privée.
-
Cryptage des données en masse à l’aide de la technologie de clé symétrique.
Les deux étapes précédentes peuvent affecter les performances du serveur, et elles nécessitent un traitement intensif du processeur pour les raisons suivantes :
-
La prise de contact initiale implique la cryptographie à clé public-privée, qui nécessite beaucoup d’UC en raison des grandes tailles de clés (1024 bits, 2048 bits, 4096 bits).
-
Le chiffrement/déchiffrement des données est également coûteux sur le plan informatique, en fonction de la quantité de données qui doivent être chiffrées ou déchiffrées.
Quelles sont les différentes entités d’une configuration SSL ?
Une configuration SSL comporte les entités suivantes :
- Écran Server certificate
- Certificat d’autorité de certification (CA)
- Suite de chiffrement qui spécifie les protocoles pour les tâches suivantes :
- Échange de clés initial
- Authentification des serveurs et des clients
- Algorithme de chiffrement en masse
- L’authentification des messages
- Authentification client
- CRL
- Outil de génération de clés de certificat SSL qui vous permet de créer les fichiers suivants :
- Demande de certificat
- Certificat auto-signé
- Clés RSA
- Paramètres DH
Je souhaite utiliser la fonction de déchargement SSL de l’appliance Citrix ADC. Quelles sont les différentes options de réception d’un certificat SSL ?
Vous devez recevoir un certificat SSL avant de pouvoir configurer la configuration SSL sur l’appliance Citrix ADC. Vous pouvez utiliser l’une des méthodes suivantes pour recevoir un certificat SSL :
-
Demandez un certificat à une autorité de certification autorisée (CA).
-
Utilisez le certificat de serveur existant.
-
Créez une paire de clés de certificat sur l’appliance Citrix ADC.
Remarque : Ce certificat est un certificat de test signé par l’autorité de certification racine de test générée par l’appliance Citrix ADC. Les certificats de test signés par la Root-CA de test ne sont pas acceptés par les navigateurs. Le navigateur envoie un message d’avertissement indiquant que le certificat du serveur ne peut pas être authentifié.
- À des fins autres que des tests, vous devez fournir un certificat d’autorité de certification et une clé d’autorité de certification valides pour signer le certificat du serveur.
Quelle est la configuration minimale requise pour une configuration SSL ?
La configuration minimale requise pour configurer une configuration SSL est la suivante :
- Obtenez les certificats et les clés.
- Créez un serveur virtuel SSL d’équilibrage de charge.
- Liez les services HTTP ou SSL au serveur virtuel SSL.
- Liez une paire de clés de certificat au serveur virtuel SSL.
Quelles sont les limites des différents composants de SSL ?
Les composants SSL présentent les limites suivantes :
- Taille des bits des certificats SSL : 4096.
- Nombre de certificats SSL : dépend de la mémoire disponible sur l’appliance.
- Nombre maximal de certificats SSL CA intermédiaires liés : 9 par chaîne.
- Révocations de CRL : dépend de la mémoire disponible sur l’appliance.
Quelles sont les différentes étapes du chiffrement des données de bout en bout sur une appliance Citrix ADC ?
Les étapes impliquées dans le processus de chiffrement côté serveur sur une appliance Citrix ADC sont les suivantes :
-
Le client se connecte au VIP SSL configuré sur l’appliance Citrix ADC sur le site sécurisé.
-
Après avoir reçu la demande sécurisée, l’appliance déchiffre la demande et applique des techniques de commutation de contenu de couche 4 à 7 et des stratégies d’équilibrage de charge. Il sélectionne ensuite le meilleur serveur Web back-end disponible pour la demande.
-
L’appliance Citrix ADC crée une session SSL avec le serveur sélectionné.
-
Après avoir établi la session SSL, l’appliance chiffre la demande du client et l’envoie au serveur Web à l’aide de la session SSL sécurisée.
-
Lorsque la solution matérielle-logicielle reçoit la réponse chiffrée du serveur, elle déchiffre et rechiffre les données. Il envoie ensuite les données au client à l’aide de la session SSL côté client.
La technique de multiplexage de l’appliance Citrix ADC permet à l’appliance de réutiliser les sessions SSL établies avec les serveurs Web. Par conséquent, la solution matérielle-logicielle évite l’échange de clés intensif du processeur, connu sous le nom de poignée de main complète. Ce processus réduit le nombre global de sessions SSL sur le serveur et assure la sécurité de bout en bout.
Certificats et clés
Puis-je placer le certificat et les fichiers clés à n’importe quel endroit ? Existe-t-il un emplacement recommandé pour stocker ces fichiers ?
Vous pouvez stocker le certificat et les fichiers de clés sur l’appliance Citrix ADC ou sur un ordinateur local. Toutefois, Citrix recommande de stocker le certificat et les fichiers de clés dans le /nsconfig/ssl
répertoire de l’appliance Citrix ADC. Le /etc
répertoire existe dans la mémoire flash de l’appliance Citrix ADC. Cette action assure la portabilité et facilite la sauvegarde et la restauration des fichiers de certificats sur l’appliance.
Remarque : Assurez-vous que le certificat et les fichiers clés sont stockés dans le même répertoire.
Quelle est la taille maximale de la clé de certificat prise en charge sur l’appliance Citrix ADC ?
Une appliance Citrix ADC exécutant une version logicielle antérieure à la version 9.0 prend en charge une taille maximale de clé de certificat de 2048 bits. Les versions 9.0 et ultérieures prennent en charge une taille maximale de clé de certificat de 4096 bits. Cette limite s’applique aux certificats RSA.
Une appliance MPX prend en charge les certificats de 512 bits jusqu’aux tailles suivantes :
-
Certificat de serveur 4096 bits sur le serveur virtuel
-
Certificat client 4096 bits sur le service
-
Certificat d’autorité de certification 4096 bits (inclut les certificats intermédiaires et racine)
-
Certificat 4096 bits sur le serveur principal
-
Certificat client 4096 bits (si l’authentification client est activée sur le serveur virtuel)
Une appliance virtuelle prend en charge les certificats de 512 bits jusqu’aux tailles suivantes :
-
Certificat de serveur 4096 bits sur le serveur virtuel
-
Certificat client 4096 bits sur le service
-
Certificat d’autorité de certification 4096 bits (inclut les certificats intermédiaires et racine)
-
Certificat 4096 bits sur le serveur principal de la version 12.0-56.x. Les anciennes versions prennent en charge les certificats 2048 bits.
-
Certificat client 2048 bits (si l’authentification client est activée sur le serveur virtuel) de la version 12.0-56.x.
Quelle est la taille maximale du paramètre DH pris en charge sur l’appliance Citrix ADC ?
L’appliance Citrix ADC prend en charge un paramètre DH de 2048 bits maximum.
Quelle est la longueur maximale de la chaîne de certificats, c’est-à-dire le nombre maximal de certificats dans une chaîne, pris en charge sur une appliance Citrix ADC ?
Une appliance Citrix ADC peut envoyer un maximum de 10 certificats dans une chaîne lors de l’envoi d’un message de certificat de serveur. Une chaîne de longueur maximale comprend le certificat de serveur et neuf certificats d’autorité de certification intermédiaires.
Quels sont les différents formats de certificats et de clés pris en charge sur l’appliance Citrix ADC ?
L’appliance Citrix ADC prend en charge les formats de certificats et de clés suivants :
- Messagerie améliorée de confidentialité (PEM)
- Règle de codage distinguée (DER)
Le nombre de certificats et de clés que je peux installer sur l’appliance Citrix ADC est-il limité ?
Non. Le nombre de certificats et de clés pouvant être installés est limité uniquement par la mémoire disponible sur l’appliance Citrix ADC.
J’ai enregistré le certificat et les fichiers clés sur l’ordinateur local. Je souhaite transférer ces fichiers vers l’appliance Citrix ADC à l’aide du protocole FTP. Existe-t-il un mode privilégié pour transférer ces fichiers vers l’appliance Citrix ADC ?
Oui. Si vous utilisez le protocole FTP, vous devez utiliser le mode binaire pour transférer le certificat et les fichiers clés vers l’appliance Citrix ADC.
Remarque : Par défaut, FTP est désactivé. Citrix recommande d’utiliser le protocole SCP pour transférer des fichiers de certificats et de clés. L’utilitaire de configuration utilise implicitement SCP pour se connecter à l’appliance.
Quel est le chemin d’accès au répertoire par défaut du certificat et de la clé ?
Le chemin d’accès au répertoire par défaut du certificat et de la clé est ‘/nsconfig/ssl’.
Lorsque vous ajoutez un certificat et une paire de clés, que se passe-t-il si je ne spécifie pas de chemin absolu vers les fichiers de certificat et de clé ?
Lorsque vous ajoutez une paire de clés de certificat, spécifiez un chemin absolu vers le certificat et les fichiers de clés. Si vous ne le spécifiez pas, l’appliance ADC recherche ces fichiers dans le répertoire par défaut et tente de les charger dans le noyau. Le répertoire par défaut est /nsconfig/ssl
. Par exemple, si les fichiers cert1024.pem et rsa1024.pem sont disponibles dans le /nsconfig/ssl
répertoire de l’appliance, les deux commandes suivantes réussissent :
add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
<!--NeedCopy-->
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem
<!--NeedCopy-->
J’ai configuré une configuration haute disponibilité. Je souhaite implémenter la fonctionnalité SSL lors de la configuration. Comment dois-je gérer le certificat et les fichiers clés dans une configuration haute disponibilité ?
Dans une configuration haute disponibilité, vous devez stocker les fichiers de certificat et de clé sur l’appliance Citrix ADC principale et secondaire. Le chemin d’accès au répertoire du certificat et des fichiers de clé doit être le même sur les deux appliances avant d’ajouter une paire de clés de certificat SSL sur l’appliance principale.
Chipher NShield® HSM
Lors de l’intégration avec NCipher NShield® HSM, devons-nous garder à l’esprit une configuration spécifique lors de l’ajout de l’appliance Citrix ADC à HA ?
Configurez les mêmes périphériques NCipher sur les deux nœuds de HA. Les commandes de configuration NCipher ne sont pas synchronisées dans HA. Pour plus d’informations sur les conditions préalables à NCipher NShield® HSM, consultez Prérequis.
Doit-on intégrer individuellement les deux appliances avec NCipher NShield® HSM et RFS ? Doit-on effectuer cette action avant ou après la configuration HA ?
Vous pouvez terminer l’intégration avant ou après la configuration HA. Si l’intégration est effectuée après la configuration HA, les clés importées sur le nœud principal avant de configurer le nœud secondaire ne sont pas synchronisées avec le nœud secondaire. Par conséquent, Citrix recommande l’intégration de NCipher avant la configuration HA.
Doit-on importer la clé dans les appliances Citrix ADC principale et secondaire, ou les clés sont-elles synchronisées entre le nœud principal et le nœud secondaire ?
Si NCipher est intégré sur les deux appareils avant de former l’HA, les clés sont automatiquement synchronisées à partir de RFS en cours d’intégration.
Étant donné que le HSM ne se trouve pas sur l’appliance Citrix ADC, mais sur NCipher, qu’advient-il des clés et des certificats lorsqu’un nœud tombe en panne et est remplacé ?
Si un nœud échoue, vous pouvez synchroniser les clés et les certificats avec le nouveau nœud, en intégrant NCipher sur le nouveau nœud. Exécutez ensuite les commandes suivantes :
sync ha files ssl
force ha sync
<!--NeedCopy-->
Les certificats sont synchronisés et ajoutés si les clés sont synchronisées lors de l’intégration de NCipher.
Chiphers
Qu’est-ce qu’un chiffrement NULL ?
Les chiffrements sans chiffrement sont connus sous le nom de chiffrement NULL. Par exemple, NULL-MD5 est un chiffrement NULL.
Les chiffrements NULL sont-ils activés par défaut pour un service VIP SSL ou SSL ?
Non. Les chiffrements NULL ne sont pas activés par défaut pour un service VIP SSL ou SSL.
Quelle est la procédure pour supprimer les chiffrements NULL ?
Pour supprimer les chiffrements NULL d’une VIP SSL, exécutez la commande suivante :
bind ssl cipher <SSL_VIP> REM NULL
<!--NeedCopy-->
Pour supprimer les chiffrements NULL d’un service SSL, exécutez la commande suivante :
bind ssl cipher <SSL_Service> REM NULL -service
<!--NeedCopy-->
Quels sont les différents alias de chiffrement pris en charge sur l’appliance Citrix ADC ?
Pour répertorier les alias de chiffrement pris en charge sur l’appliance, à l’invite de commandes, tapez :
sh cipher
<!--NeedCopy-->
Quelle est la commande permettant d’afficher tous les chiffrements prédéfinis de l’appliance Citrix ADC ?
Pour afficher tous les chiffrements prédéfinis de l’appliance Citrix ADC, à l’interface de ligne de commande, tapez :
show ssl cipher
<!--NeedCopy-->
Quelle est la commande permettant d’afficher les détails d’un chiffrement individuel de l’appliance Citrix ADC ?
Pour afficher les détails d’un chiffrement individuel de l’appliance Citrix ADC, à l’interface de ligne de commande, tapez :
show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>
<!--NeedCopy-->
Exemple :
show cipher SSL3-RC4-SHA
1) Cipher Name: SSL3-RC4-SHA
Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
Mac=SHA1
Done
<!--NeedCopy-->
Quelle est l’importance de l’ajout des chiffrements prédéfinis de l’appliance Citrix ADC ?
L’ajout des chiffrements prédéfinis de l’appliance Citrix ADC entraîne l’ajout des chiffrements NULL à un service VIP SSL ou SSL.
Est-il possible de modifier l’ordre du chiffrement sans les délier d’un groupe de chiffrement sur une appliance Citrix ADC ?
Oui. Il est possible de modifier l’ordre du chiffrement sans délier les chiffrements d’un groupe de chiffrement personnalisé. Toutefois, vous ne pouvez pas modifier la priorité dans les groupes de chiffrement intégrés. Pour modifier la priorité d’un chiffrement lié à une entité SSL, commencez par dissocier le chiffrement du serveur virtuel, du service ou du groupe de services.
Remarque : Si le groupe de chiffrement lié à une entité SSL est vide, l’établissement de liaison SSL échoue car il n’y a pas de chiffrement négocié. Le groupe de chiffrement doit contenir au moins un chiffre.
ECDSA est-il pris en charge sur l’appliance Citrix ADC ?
ECDSA est pris en charge sur les plates-formes Citrix ADC suivantes. Pour plus d’informations sur les versions prises en charge, reportez-vous au tableau 1 et au tableau 2 des chiffrements disponibles sur les appliances Citrix ADC.
- Appliances Citrix ADC MPX et SDX avec puces N3
- Citrix ADC MPX 5900/8900/15000/26000
- Citrix ADC SDX 8900/15000
- Appliances Citrix ADC VPX
L’appliance Citrix ADC VPX prend-elle en charge les chiffrements AES-GCM/SHA2 sur le frontal ?
Oui, les chiffrements AES-GCM/SHA2 sont pris en charge sur l’appliance Citrix ADC VPX. Pour plus d’informations sur les versions prises en charge, reportez-vous à la section Chiphers disponibles sur les appliances Citrix ADC.
Certificats
Le nom unique d’un certificat client est-il disponible pendant toute la durée de la session utilisateur ?
Oui. Vous pouvez accéder au nom unique du certificat client lors des demandes suivantes pendant la durée de la session utilisateur. C’est-à-dire que même une fois la prise de main SSL terminée et que le certificat n’est plus envoyé par le navigateur. Utilisez une variable et une affectation comme détaillé dans l’exemple de configuration suivant :
Exemple :
add ns variable v2 -type "text(100)"
add ns assignment a1 -variable "$v2" -set "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"
add rewrite action act1 insert_http_header subject "$v2" // example: to insert the distinguished name in the header
add rewrite policy pol1 true a1
add rewrite policy pol2 true act1
bind rewrite global pol1 1 next -type RES_DEFAULT
bind rewrite global pol2 2 next -type RES_DEFAULT
set rewrite param -undefAction RESET
<!--NeedCopy-->
Pourquoi dois-je lier le certificat de serveur ?
La liaison des certificats de serveur est l’exigence de base pour permettre à la configuration SSL de traiter les transactions SSL.
Pour lier le certificat de serveur à un VIP SSL, à l’interface de ligne de commande, tapez :
bind ssl vserver <vServerName> -certkeyName <cert_name>
<!--NeedCopy-->
Pour lier le certificat de serveur à un service SSL, à l’interface de ligne de commande, tapez :
bind ssl service <serviceName> -certkeyName <cert_name>
<!--NeedCopy-->
Combien de certificats puis-je lier à un VIP SSL ou à un service SSL ?
Sur une appliance CItrix ADC VPX, MPX/SDX (N3) et MPX/SDX 14000 FIPS, vous pouvez lier deux certificats à un serveur virtuel SSL ou à un service SSL si SNI est désactivé. Les certificats doivent être des certificats de type RSA et ECDSA. Si SNI est activé, vous pouvez lier plusieurs certificats de serveur de type RSA ou ECDSA. Sur une appliance CItrix ADC MPX (N2) ou MPX 9700 FIPS, si SNI est désactivé, vous ne pouvez lier qu’un seul certificat de type RSA. Si SNI est activé, vous pouvez lier plusieurs certificats de serveur de type RSA uniquement.
Que se passe-t-il si je dissocie ou que je remplace un certificat de serveur ?
Lorsque vous dissociez ou écrasez un certificat de serveur, toutes les connexions et sessions SSL créées à l’aide du certificat existant sont terminées. Lorsque vous écrasez un certificat existant, le message suivant s’affiche :
ERROR:
Warning: Current certificate replaces the previous binding.
<!--NeedCopy-->
Comment installer un certificat intermédiaire sur une appliance Citrix ADC et créer un lien vers un certificat de serveur ?
Consultez l’article à l’adresse http://support.citrix.com/article/ctx114146 pour plus d’informations sur l’installation d’un certificat intermédiaire.
Pourquoi est-ce que je reçois une erreur « La ressource existe déjà » lorsque j’essaie d’installer un certificat sur Citrix ADC ?
Consultez l’article à la page http://support.citrix.com/article/CTX117284 pour obtenir des instructions sur la résolution de l’erreur « La ressource existe déjà ».
Je souhaite créer un certificat de serveur sur une appliance Citrix ADC pour tester et évaluer le produit. Quelle est la procédure de création d’un certificat de serveur ?
Procédez comme suit pour créer un certificat de test.
Remarque : Un certificat créé avec cette procédure ne peut pas être utilisé pour authentifier tous les utilisateurs et navigateurs. Après avoir utilisé le certificat à des fins de test, vous devez obtenir un certificat de serveur signé par une autorité de certification racine autorisée.
Pour créer un certificat de serveur auto-signé, procédez comme suit :
-
Pour créer un certificat d’autorité de certification racine, à l’interface de ligne de commande, tapez :
create ssl rsakey /nsconfig/ssl/test-ca.key 1024 create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key Enter the required information when prompted, and then type the following command: create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key <!--NeedCopy-->
-
Effectuez la procédure suivante pour créer un certificat de serveur et le signer avec le certificat d’autorité de certification racine que vous venez de créer.
-
Pour créer la demande et la clé, à l’interface de ligne de commande, tapez :
create ssl rsakey /nsconfig/ssl/test-server.key 1024 create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key <!--NeedCopy-->
-
Entrez les informations requises lorsque vous y êtes invité.
-
Pour créer un fichier de numéro de série, à l’interface de ligne de commande, tapez :
shell # echo '01' > /nsconfig/ssl/serial.txt # exit <!--NeedCopy-->
-
Pour créer un certificat de serveur signé par le certificat d’autorité de certification racine créé à l’étape 1, à l’interface de ligne de commande, tapez :
create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt <!--NeedCopy-->
-
Pour créer une paire de clés de certificat Citrix ADC, qui est l’objet en mémoire qui contient les informations de certificat de serveur pour les prises de main SSL et le chiffrement en bloc, à l’interface de ligne de commande, tapez :
add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key <!--NeedCopy-->
-
Pour lier la paire de clés de certificat au serveur virtuel SSL, à l’interface de ligne de commande, tapez :
bind ssl vserver <vServerName> -certkeyName <cert_name> <!--NeedCopy-->
-
J’ai reçu une appliance Citrix ADC sur laquelle le logiciel NetScaler version 9.0 est installé. J’ai remarqué un fichier de licence supplémentaire sur l’appliance. Y a-t-il un changement dans la politique de licence à partir du logiciel NetScaler version 9.0 ?
Oui. À partir de la version 9.0 du logiciel Citrix NetScaler, l’appliance peut ne pas disposer d’un seul fichier de licence. Le nombre de fichiers de licences dépend de l’édition de la version du logiciel Citrix ADC. Par exemple, si vous avez installé l’édition Advanced, vous aurez peut-être besoin de fichiers de licence supplémentaires pour bénéficier de toutes les fonctionnalités des différentes fonctionnalités. Toutefois, si vous avez installé l’édition Premium, la solution matérielle-logicielle ne possède qu’un seul fichier de licence.
Comment exporter le certificat depuis Internet Information Service (IIS) ?
Il existe plusieurs façons, mais en utilisant la méthode suivante, le certificat et la clé privée appropriés pour le site Web sont exportés. Cette procédure doit être effectuée sur le serveur IIS réel.
-
Ouvrez l’outil d’administration du Gestionnaire des services Internet (IIS).
-
Développez le nœud des sites Web et localisez le site Web compatible SSL que vous souhaitez desservir via l’appliance Citrix ADC.
-
Cliquez avec le bouton droit sur ce site Web et cliquez sur Propriétés.
-
Cliquez sur l’onglet Sécurité de l’annuaire et, dans la section Communications sécurisées de la fenêtre, sélectionnez la zone Afficher le certificat.
-
Cliquez sur l’onglet Détails, puis cliquez sur Copier dans un fichier.
-
Sur la page Bienvenue dans l’Assistant Export de certificats, cliquez sur Suivant.
-
Sélectionnez Oui, exportez la clé privée, puis cliquez sur Suivant.
Remarque : La clé privée DOIT être exportée pour que le déchargement SSL fonctionne sur Citrix ADC.
-
Assurez-vous que le bouton radio Échange d’informations personnelles -PKCS #12 est sélectionné et activez uniquement la case à cocher Inclure tous les certificats dans le chemin de certification si possible. Cliquez sur Suivant.
-
Entrez un mot de passe, puis cliquez sur Suivant.
-
Entrez un nom et un emplacement de fichier, puis cliquez sur Suivant. Donnez au fichier une extension de .PFX.
-
Cliquez sur Terminer.
Comment convertir le certificat PKCS #12 et l’installer sur Citrix ADC ?
-
Déplacez le fichier de certificat .PFX exporté vers un emplacement à partir duquel il peut être copié sur l’appliance Citrix ADC. C’est-à-dire à une machine qui autorise l’accès SSH à l’interface de gestion d’une appliance Citrix ADC. Copiez le certificat sur l’appliance à l’aide d’un utilitaire de copie sécurisée tel que SCP.
-
Accédez au shell BSD et convertissez le certificat (par exemple, Cert.PFX) au format .PEM :
root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM <!--NeedCopy-->
-
Pour vous assurer que le certificat converti est au format x509 correct, vérifiez que la commande suivante ne génère aucune erreur :
root@ns# openssl x509 -in cert.PEM -text <!--NeedCopy-->
-
Vérifiez que le fichier de certificat contient une clé privée. Commencez par lancer la commande suivante :
root@ns# cat cert.PEM Verify that the output file includes an RSA PRIVATE KEY section. -----BEGIN RSA PRIVATE KEY----- Mkm^s9KMs9023pz/s... -----END RSA PRIVATE KEY----- <!--NeedCopy-->
Voici un autre exemple de section CLÉ PRIVÉE RSA :
Bag Attributes 1.3.6.1.4.1.311.17.2: <No Values> localKeyID: 01 00 00 00 Microsoft CSP Name: Microsoft RSA SChannel Cryptographic Provider friendlyName: 4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f Key Attributes X509v3 Key Usage: 10 -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968 pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg ... (more random characters) v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh 5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg== -----END RSA PRIVATE KEY----- <!--NeedCopy-->
Voici une section CERTIFICAT DE SERVEUR :
Bag Attributes localKeyID: 01 00 00 00 friendlyName: AG Certificate subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother Asiapacific/OU=Support/CN=davemother.food.lan issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/ MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog= -----END CERTIFICATE----- <!--NeedCopy-->
Voici une section CERTIFICAT D’AUTORITÉ DE CERTIFICATION INTERMÉDIAIRE :
Bag Attributes: <Empty Attributes> subject=/DC=lan/DC=food/CN=hotdog issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8 ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk= -----END CERTIFICATE----- <!--NeedCopy-->
D’autres certificats d’autorité de certification intermédiaire peuvent suivre, en fonction du chemin de certification du certificat exporté.
-
Ouvrez le fichier .PEM dans un éditeur de texte
-
Localisez la première ligne du fichier .PEM et la première instance de la ligne suivante, puis copiez ces deux lignes et toutes les lignes entre elles :
-----END CERTIFICATE----- Note: Make sure that last copied line is the first -----END CERTIFICATE----- line in the .PEM file. <!--NeedCopy-->
-
Collez les lignes copiées dans un nouveau fichier. Appelez le nouveau fichier quelque chose d’intuitif, tel que cert-key.pem. Cette paire de clés de certificat est destinée au serveur hébergeant le service HTTPS. Ce fichier doit contenir à la fois la section intitulée CLÉ PRIVÉE RSA et la section intitulée CERTIFICAT DE SERVEUR dans l’exemple précédent.
Remarque : Le fichier de paires de clés de certificat contient la clé privée et doit être sécurisé.
-
Localisez toutes les sections suivantes commençant par —BEGIN CERTIFICATE— et se terminant par —END CERTIFICATE—, puis copiez chacune de ces sections dans un nouveau fichier distinct.
Ces sections correspondent aux certificats des autorités de certification approuvées qui ont été inclus dans le chemin de certification. Ces sections doivent être copiées et collées dans de nouveaux fichiers individuels pour ces certificats. Par exemple, la section CERTIFICAT D’AUTORITÉ DE CERTIFICATION INTERMÉDIAIRE de l’exemple précédent doit être copiée et collée dans un nouveau fichier).
Pour plusieurs certificats d’autorité de certification intermédiaires dans le fichier d’origine, créez des fichiers pour chaque certificat d’autorité de certification intermédiaire dans l’ordre dans lequel ils apparaissent dans le fichier. Gardez le suivi (en utilisant les noms de fichiers appropriés) de l’ordre dans lequel les certificats apparaissent, car ils doivent être liés entre eux dans le bon ordre dans une étape ultérieure.
-
Copiez le fichier de clé de certificat (cert-key.pem) et tout autre certificat d’autorité de certification supplémentaire dans le répertoire /nsconfig/ssl de l’appliance Citrix ADC.
-
Quittez le shell BSD et accédez à l’invite Citrix ADC.
-
Suivez les étapes de la section « Installer les fichiers de clés de certificat sur l’appliance » pour installer la clé/certificat une fois téléchargé sur le périphérique.
Comment convertir le certificat PKCS #7 et l’installer sur l’appliance Citrix ADC ?
Vous pouvez utiliser OpenSSL pour convertir un certificat PKCS #7 dans un format reconnaissable par l’appliance Citrix ADC. La procédure est identique à la procédure pour les certificats PKCS #12, sauf que vous appelez OpenSSL avec des paramètres différents. Les étapes de conversion des certificats PKCS #7 sont les suivantes :
-
Copiez le certificat sur l’appliance à l’aide d’un utilitaire de copie sécurisée, tel que SCP.
-
Convertissez le certificat (par exemple, Cert.P7B) au format PEM :
openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem <!--NeedCopy-->
-
Suivez les étapes 3 à 7 comme décrit dans la réponse aux certificats PKCS #12. Remarque : Avant de charger le certificat PKCS #7 converti sur l’appliance, vérifiez qu’il contient une clé privée, exactement comme décrit à l’étape 3 pour la procédure PKCS #12. Les certificats PKCS #7, en particulier les certificats exportés depuis IIS, ne contiennent généralement pas de clé privée.
Lorsque je lie un chiffrement à un serveur ou un service virtuel à l’aide de la commande bind cipher, le message d’erreur « Commande obsolète » s’affiche. « ?
La commande de liaison d’un chiffrement à un serveur ou service virtuel a été modifiée.
Utilisez la bind ssl vserver <vsername> -ciphername <ciphername>
commande pour lier un chiffrement SSL à un serveur virtuel SSL.
Utilisez la bind ssl service <serviceName> -ciphername <ciphername>
commande pour lier un chiffrement SSL à un service SSL.
Remarque : Les nouveaux chiffrements et groupes de chiffrement sont ajoutés à la liste existante et ne sont pas remplacés.
Pourquoi ne puis-je pas créer un groupe de chiffrement et y lier des chiffrements à l’aide de la commande add cipher ?
La fonctionnalité de commande add cipher a été modifiée dans la version 10. La commande crée uniquement un groupe de chiffrement. Pour ajouter des chiffrements au groupe, utilisez la commande de chiffrement de liaison.
OpenSSL
Comment utiliser OpenSSL pour convertir des certificats entre PEM et DER ?
Pour utiliser OpenSSL, vous devez disposer d’une installation fonctionnelle du logiciel OpenSSL et pouvoir exécuter OpenSSL à partir de la ligne de commande.
Les certificats x509 et les clés RSA peuvent être stockés dans différents formats.
Deux formats courants sont les suivants :
- DER (format binaire utilisé principalement par les plates-formes Java et Macintosh)
- PEM (représentation base64 de DER avec des informations d’en-tête et de pied de page, utilisée principalement par les plates-formes UNIX et Linux).
Une clé et le certificat correspondant, en plus du certificat racine et des certificats intermédiaires, peuvent également être stockés dans un seul fichier PKCS #12 (.P12, .PFX).
Procédure
Utilisez la commande OpenSSL pour convertir entre les formats comme suit :
-
Pour convertir un certificat PEM en DER :
x509 -in input.crt -inform PEM -out output.crt -outform DER <!--NeedCopy-->
-
Pour convertir un certificat de DER en PEM :
x509 -in input.crt -inform DER -out output.crt -outform PEM <!--NeedCopy-->
-
Pour convertir une clé de PEM en DER :
rsa -in input.key -inform PEM -out output.key -outform DER <!--NeedCopy-->
-
Pour convertir une clé de DER en PEM :
rsa -in input.key -inform DER -out output.key -outform PEM <!--NeedCopy-->
Remarque : Si la clé que vous importez est chiffrée avec un chiffrement symétrique pris en charge, vous êtes invité à entrer la phrase secrète.
Remarque : Pour convertir une clé vers ou depuis le format NET (serveur Netscape) obsolète, remplacez NET par PEM ou DER, selon le cas. La clé stockée est chiffrée dans un chiffrement symétrique RC4 faible non salé, donc une phrase secrète est demandée. Une phrase secrète vide est acceptable.
Limites système
Quels sont les chiffres importants à retenir ?
-
Créer une demande de certificat :
- Nom du fichier de demande : 63 caractères maximum
- Nom du fichier clé : 63 caractères maximum
- Phrase secrète PEM (pour clé chiffrée) : 31 caractères maximum
- Nom commun : 63 caractères maximum
- Ville : 127 caractères maximum
- Nom de l’organisation : 63 caractères maximum
- Nom de l’État/de la province : 63 caractères maximum
- Adresse e-mail : 39 caractères maximum
- Unité d’organisation : 63 caractères maximum
- Mot de passe Challenge : 20 caractères maximum
- Nom de l’entreprise : 127 caractères maximum
-
Créer un certificat :
- Nom du fichier de certificat : 63 caractères maximum
- Nom du fichier de demande de certificat : 63 caractères maximum
- Nom du fichier clé : 63 caractères maximum
- Phrase secrète PEM : 31 caractères maximum
- Période de validité : maximum 3650 jours
- Nom du fichier du certificat CA : 63 caractères maximum
- Nom de fichier de la clé CA : 63 caractères maximum
- Phrase secrète PEM : 31 caractères maximum
- Fichier de numéro de série CA : 63 caractères maximum
-
Créez et installez un certificat de test de serveur :
- Nom du fichier de certificat : 31 caractères maximum
- Nom de domaine complet : 63 caractères maximum
- Créer une clé Diffie-Hellman (DH) :
- Nom de fichier DH (avec chemin d’accès) : 63 caractères maximum
- Taille des paramètres DH : maximum 2048 bits
-
Importer la clé PKCS12 :
- Nom du fichier de sortie : 63 caractères maximum
- Nom de fichier PKCS12 : 63 caractères maximum
- Mot de passe d’importation : 31 caractères maximum
- Phrase secrète PEM : 31 caractères maximum
- Vérifier la phrase secrète PEM : 31 caractères maximum
- Exporter PKCS12
- Nom de fichier PKCS12 : 63 caractères maximum
- Nom du fichier de certificat : 63 caractères maximum
- Nom du fichier clé : 63 caractères maximum
- Mot de passe d’exportation : 31 caractères maximum
- Phrase secrète PEM : 31 caractères maximum
- Gestion des CRL :
- Nom du fichier du certificat CA : 63 caractères maximum
- Nom de fichier de la clé CA : 63 caractères maximum
- Mot de passe du fichier de clé CA : 31 caractères maximum
- Nom du fichier d’index : 63 caractères maximum
- Nom du fichier de certificat : 63 caractères maximum
- Créer une clé RSA :
- Nom du fichier clé : 63 caractères maximum
- Taille de la clé : 4096 bits maximum
- Phrase secrète PEM : 31 caractères maximum
- Vérifier la phrase secrète : 31 caractères maximum
- Modifiez les paramètres SSL avancés :
- Taille maximale de la mémoire CRL : 1024 Mo maximum
- Délai d’expiration du déclencheur de chiffrement (10 mS) : maximum 200
- Nombre de paquets de déclencheurs de chiffrement : 50 maximum
- Taille du cache OCSP : 512 Mo maximum
- Certificat d’installation :
- Nom de la paire de clés de certificat : 31 caractères maximum
- Nom du fichier de certificat : 63 caractères maximum
- Nom du fichier de clé privée : 63 caractères maximum
- Mot de passe : 31 caractères maximum
- Période de notification : 100 maximum
- Créer un groupe de chiffrement :
- Nom du groupe de chiffrement : 39 caractères maximum
- Créer une CRL :
- Nom de la LCR : 31 caractères maximum
- Fichier CRL : 63 caractères maximum
- URL : 127 caractères maximum
- DN de base : 127 caractères maximum
- DN de liaison : 127 caractères maximum
- Mot de passe : 31 caractères maximum
- Jours : 31 maximum
- Créer une stratégie SSL :
- Nom : 127 caractères maximum
- Créer une action SSL :
- Nom : 127 caractères maximum
- Créer un répondeur OCSP :
- Nom : 32 caractères maximum
- URL : 128 caractères maximum
- Profondeur de lot : 8 maximum
- Délai de traitement par lots : maximum 10000
- Fait produit à la fois : Maximum 86400
- Délai d’expiration de la demande : maximum 120000
- Créer un serveur virtuel :
- Nom : 127 caractères maximum
- URL de redirection : 127 caractères maximum
- Délai d’expiration du client : maximum 31536000 secondes
- Créer un service :
- Nom : 127 caractères maximum
- Délai d’inactivité (s) : Client : maximum 31536000 Serveur : maximum 31536000
- Créer un groupe de services :
- Nom du groupe de services : 127 caractères maximum
- ID du serveur : maximum 4294967295
- Délai d’attente d’inactivité (s) : Client : Valeur maximale 31536000 Serveur : maximum 31536000
- Créer un moniteur :
- Nom : 31 caractères maximum
- Créer un serveur :
- Nom du serveur : 127 caractères maximum
- Nom de domaine : 255 caractères maximum
- Résoudre la nouvelle tentative : 20 939 secondes maximum