FAQ SSL
Questions de base
L’accès HTTPS à l’interface graphique échoue sur une instance VPX. Comment puis-je y accéder ?
Une paire de clés de certificat est requise pour l’accès HTTPS à l’interface graphique. Sur une appliance NetScaler, une paire de clés de certificat est automatiquement liée aux services internes. Sur une appliance MPX ou SDX, la taille de clé par défaut est de 1024 octets, et sur une instance VPX, la taille de clé par défaut est de 512 octets. Cependant, la plupart des navigateurs actuels n’acceptent pas une clé de moins de 1024 octets. Par conséquent, l’accès HTTPS à l’utilitaire de configuration VPX est bloqué.
Citrix vous recommande d’installer une paire de clés de certificat d’au moins 1 024 octets et de la lier au service interne pour l’accès HTTPS à l’utilitaire de configuration. Vous pouvez également mettre à jour le ns-server-certificate
à 1024 octets. Vous pouvez utiliser l’accès HTTP à l’utilitaire de configuration ou à l’interface de ligne de commande pour installer le certificat.
Si j’ajoute une licence à une appliance MPX, la liaison de la paire de clés de certificat est perdue. Comment puis-je résoudre ce problème ?
Si aucune licence n’est présente sur une appliance MPX lors de son démarrage, que vous ajoutez une licence ultérieurement et que vous redémarrez l’appliance, vous risquez de perdre la liaison du certificat. Réinstallez le certificat et liez-le au service interne
Citrix vous recommande d’installer une licence appropriée avant de démarrer l’appliance.
Quelles sont les différentes étapes de la mise en place d’un canal sécurisé pour une transaction SSL ?
La configuration d’un canal sécurisé pour une transaction SSL implique les étapes suivantes :
-
Le client envoie une demande HTTPS pour un canal sécurisé au serveur.
-
Après avoir sélectionné le protocole et le chiffrement, le serveur envoie son certificat au client.
-
Le client vérifie l’authenticité du certificat du serveur.
-
Si l’un des contrôles échoue, le client affiche le feedback correspondant.
-
Si les chèques sont réussis ou si le client décide de continuer même en cas d’échec, le client crée une clé temporaire jetable. Cette clé est appelée secret pré-maître et le client chiffre cette clé à l’aide de la clé publique du certificat du serveur.
-
Le serveur, à la réception du secret pré-maître, le déchiffre à l’aide de la clé privée du serveur et génère les clés de session. Le client génère également les clés de session à partir du secret pré-maître. Ainsi, le client et le serveur disposent désormais d’une clé de session commune, qui est utilisée pour le chiffrement et le déchiffrement des données de l’application.
Je comprends que le SSL est un processus gourmand en ressources processeur. Quel est le coût du processeur associé au processus SSL ?
Les deux étapes suivantes sont associées au processus SSL :
-
La poignée de main initiale et la configuration du canal sécurisé à l’aide de la technologie des clés publiques et privées.
-
Chiffrement des données en masse à l’aide de la technologie à clé symétrique.
Les deux étapes précédentes peuvent affecter les performances du serveur et nécessitent un traitement intensif du processeur pour les raisons suivantes :
-
La poignée de main initiale implique la cryptographie à clé publique-privée, qui est très gourmande en processeur en raison de la grande taille des clés (1024 bits, 2048 bits, 4096 bits).
-
Le chiffrement/déchiffrement des données est également coûteux en termes de calcul, selon la quantité de données qui doivent être cryptées ou décryptées.
Quelles sont les différentes entités d’une configuration SSL ?
Une configuration SSL comporte les entités suivantes :
- Écran Server certificate
- Certificat d’autorité de certification (CA)
- Suite de chiffrement qui spécifie les protocoles pour les tâches suivantes :
- Échange initial de clés
- Authentification des serveurs et clients
- algorithme de chiffrement en masse
- Authentification des messages
- Authentification client
- CRL
- Outil de génération de clés de certificat SSL qui vous permet de créer les fichiers suivants :
- Demande de certificat
- Certificat auto-signé
- Clés RSA
- Paramètres DH
Je souhaite utiliser la fonctionnalité de déchargement SSL de l’appliance NetScaler. Quelles sont les différentes options pour recevoir un certificat SSL ?
Vous devez recevoir un certificat SSL avant de pouvoir configurer la configuration SSL sur l’appliance NetScaler. Vous pouvez utiliser l’une des méthodes suivantes pour recevoir un certificat SSL :
-
Demandez un certificat auprès d’une autorité de certification (CA) agréée.
-
Utilisez le certificat de serveur existant.
-
Créez une paire de clés de certificat sur l’appliance NetScaler.
Remarque : Ce certificat est un certificat de test signé par la racine de test CA générée par l’appliance NetScaler. Les certificats de test signés par le Root-CA de test ne sont pas acceptés par les navigateurs. Le navigateur affiche un message d’avertissement indiquant que le certificat du serveur ne peut pas être authentifié.
- À des fins autres que de test, vous devez fournir un certificat d’autorité de certification et une clé d’autorité de certification valides pour signer le certificat du serveur.
Quelles sont les exigences minimales pour une configuration SSL ?
Les exigences minimales pour configurer une configuration SSL sont les suivantes :
- Procurez-vous les certificats et les clés.
- Créez un serveur virtuel SSL d’équilibrage de charge.
- Liez les services HTTP ou SSL au serveur virtuel SSL.
- Liez une paire de clés de certificat au serveur virtuel SSL.
Quelles sont les limites des différents composants du SSL ?
Les composants SSL ont les limites suivantes :
- Taille en bits des certificats SSL : 4096.
- Nombre de certificats SSL : dépend de la mémoire disponible sur l’appliance.
- Nombre maximum de certificats CA SSL intermédiaires liés : 9 par chaîne.
- Révocations de CRL : dépend de la mémoire disponible sur l’appliance.
Quelles sont les différentes étapes du chiffrement des données de bout en bout sur une appliance NetScaler ?
Les étapes du processus de chiffrement côté serveur sur une appliance NetScaler sont les suivantes :
-
Le client se connecte au SSL VIP configuré sur l’appliance NetScaler sur le site sécurisé.
-
Après avoir reçu la demande sécurisée, l’appliance déchiffre la demande et applique des techniques de commutation de contenu de couche 4 à 7 et des stratégies d’équilibrage de charge. Ensuite, il sélectionne le meilleur serveur Web principal disponible pour la demande.
-
L’appliance NetScaler crée une session SSL avec le serveur sélectionné.
-
Après avoir établi la session SSL, l’appliance chiffre la demande du client et l’envoie au serveur Web à l’aide de la session SSL sécurisée.
-
Lorsque l’appliance reçoit la réponse cryptée du serveur, elle déchiffre et rechiffre les données. Ensuite, il envoie les données au client en utilisant la session SSL côté client.
La technique de multiplexage de l’appliance NetScaler permet à l’appliance de réutiliser les sessions SSL qui ont été établies avec les serveurs Web. Par conséquent, l’appliance évite les échanges de clés gourmands en ressources CPU, appelés « établissement de main complet ». Ce processus permet de réduire le nombre total de sessions SSL sur le serveur et de maintenir la sécurité de bout en bout.
Certificats et clés
Puis-je placer le certificat et les fichiers clés à n’importe quel endroit ? Existe-t-il un emplacement recommandé pour stocker ces fichiers ?
Vous pouvez stocker le certificat et les fichiers clés sur l’appliance NetScaler ou sur un ordinateur local. Citrix vous recommande toutefois de stocker les fichiers de certificat et de clé dans le /nsconfig/ssl
répertoire de l’appliance NetScaler. Le /etc
répertoire existe dans la mémoire flash de l’appliance NetScaler. Cette action assure la portabilité et facilite la sauvegarde et la restauration des fichiers de certificats sur l’appliance.
Remarque : Assurez-vous que le certificat et les fichiers clés sont stockés dans le même répertoire.
Quelle est la taille maximale de la clé de certificat prise en charge par l’appliance NetScaler ?
Une appliance NetScaler exécutant une version logicielle antérieure à la version 9.0 prend en charge une taille de clé de certificat maximale de 2 048 bits. Les versions 9.0 et ultérieures prennent en charge une taille de clé de certificat maximale de 4 096 bits. Cette limite s’applique aux certificats RSA.
Une appliance MPX prend en charge les certificats de 512 bits jusqu’aux tailles suivantes :
-
Certificat de serveur 4096 bits sur le serveur virtuel
-
Certificat client 4096 bits sur le service
-
Certificat d’autorité de certification 4096 bits (y compris les certificats intermédiaires et racine)
-
Certificat 4096 bits sur le serveur principal
-
Certificat client 4096 bits (si l’authentification client est activée sur le serveur virtuel)
Une appliance virtuelle prend en charge les certificats de 512 bits jusqu’aux tailles suivantes :
-
Certificat de serveur 4096 bits sur le serveur virtuel
-
Certificat client 4096 bits sur le service
-
Certificat d’autorité de certification 4096 bits (y compris les certificats intermédiaires et racine)
-
Certificat 4096 bits sur le serveur principal
-
Certificat client 2048 bits (si l’authentification client est activée sur le serveur virtuel)
Quelle est la taille maximale du paramètre DH pris en charge sur l’appliance NetScaler ?
L’appliance NetScaler prend en charge un paramètre DH d’une valeur maximale de 2 048. À partir des versions 14.1-25.x, la limite maximale est augmentée à 4 096 bits.
Remarque :
pour les plateformes Cavium, la limite maximale est de 2 048 bits.
Quelle est la longueur maximale de la chaîne de certificats, c’est-à-dire le nombre maximum de certificats dans une chaîne, pris en charge par une appliance NetScaler ?
Une appliance NetScaler peut envoyer un maximum de 10 certificats par chaîne lors de l’envoi d’un message de certificat de serveur. Une chaîne de la longueur maximale inclut le certificat de serveur et neuf certificats CA intermédiaires.
Quels sont les différents formats de certificats et de clés pris en charge par l’appliance NetScaler ?
L’appliance NetScaler prend en charge les formats de certificat et de clé suivants :
- Courrier électronique à confidentialité améliorée (PEM)
- Règle de codage distinguée (DER)
Le nombre de certificats et de clés que je peux installer sur l’appliance NetScaler est-il limité ?
Non. Le nombre de certificats et de clés pouvant être installés est limité uniquement par la mémoire disponible sur l’appliance NetScaler.
J’ai enregistré le certificat et les fichiers clés sur l’ordinateur local. Je souhaite transférer ces fichiers vers l’appliance NetScaler à l’aide du protocole FTP. Existe-t-il un mode préféré pour transférer ces fichiers vers l’appliance NetScaler ?
Oui. Si vous utilisez le protocole FTP, vous devez utiliser le mode binaire pour transférer le certificat et les fichiers clés vers l’appliance NetScaler.
Remarque : Par défaut, le FTP est désactivé. Citrix recommande d’utiliser le protocole SCP pour transférer les fichiers de certificats et de clés. L’utilitaire de configuration utilise implicitement SCP pour se connecter à l’appliance.
Quel est le chemin de répertoire par défaut pour le certificat et la clé ?
Le chemin de répertoire par défaut pour le certificat et la clé est « /nsconfig/ssl ».
Lors de l’ajout d’une paire de certificats et de clés, que se passe-t-il si je ne précise pas de chemin absolu vers les fichiers de certificat et de clé ?
Lorsque vous ajoutez une paire de clés de certificat, spécifiez un chemin absolu vers les fichiers de certificat et de clé. Si vous ne le spécifiez pas, l’appliance ADC recherche ces fichiers dans le répertoire par défaut et tente de les charger dans le noyau. Le répertoire par défaut est /nsconfig/ssl
. Par exemple, si les fichiers cert1024.pem et rsa1024.pem sont disponibles dans le /nsconfig/ssl
répertoire de l’appliance, les deux commandes suivantes sont réussies :
add ssl certKey cert1 -cert cert1204.pem -key rsa1024.pem
<!--NeedCopy-->
add ssl certKey cert1 -cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem
<!--NeedCopy-->
J’ai configuré une configuration de haute disponibilité. Je souhaite implémenter la fonctionnalité SSL sur la configuration. Comment dois-je gérer les fichiers de certificat et de clé dans une configuration de haute disponibilité ?
Dans une configuration haute disponibilité, vous devez stocker le certificat et les fichiers clés à la fois sur l’appliance NetScaler principale et secondaire. Le chemin du répertoire pour les fichiers de certificat et de clé doit être le même sur les deux appliances avant d’ajouter une paire de clés de certificat SSL sur l’appliance principale.
HSM nCipher nShield®
Lors de l’intégration à nCipher nShield® HSM, devons-nous tenir compte d’une configuration spécifique lors de l’ajout de l’appliance NetScaler à HA ?
Configurez les mêmes périphériques nCipher sur les deux nœuds dans HA. Les commandes de configuration nCipher ne se synchronisent pas dans HA. Pour plus d’informations sur les conditions préalables à NCipher NShield® HSM, consultez Prérequis.
Doit-on intégrer individuellement les deux appliances avec NCipher NShield® HSM et RFS ? Devons-nous effectuer cette action avant ou après la configuration HA ?
Vous pouvez terminer l’intégration avant ou après la configuration HA. Si l’intégration est effectuée après la configuration HA, les clés importées sur le nœud principal avant de configurer le nœud secondaire ne sont pas synchronisées avec le nœud secondaire. Par conséquent, Citrix recommande l’intégration de nCipher avant la configuration HA.
Devons-nous importer la clé dans les appliances NetScaler principale et secondaire, ou les clés sont-elles synchronisées entre le nœud principal et le nœud secondaire ?
Si nCipher est intégré sur les deux appareils avant de former le HA, les clés sont automatiquement synchronisées à partir de RFS au cours du processus d’intégration.
Étant donné que le HSM ne se trouve pas sur l’appliance NetScaler, mais sur nCipher, qu’arrive-t-il aux clés et aux certificats lorsqu’un nœud tombe en panne et est remplacé ?
Si un nœud tombe en panne, vous pouvez synchroniser les clés et les certificats avec le nouveau nœud en intégrant NCipher sur le nouveau nœud. Exécutez ensuite les commandes suivantes :
sync ha files ssl
force ha sync
<!--NeedCopy-->
Les certificats sont synchronisés et ajoutés si les clés sont synchronisées au cours du processus d’intégration de nCipher.
Chiffrements
Qu’est-ce qu’un chiffrement nul ?
Les chiffrements sans chiffrement sont appelés chiffrements nuls. Par exemple, NULL-MD5 est un chiffrement NULL.
Les chiffrements NULL sont-ils activés par défaut pour un VIP SSL ou un service SSL ?
Non Les chiffrements nuls ne sont pas activés par défaut pour un VIP SSL ou un service SSL.
Quelle est la procédure pour supprimer les chiffrements nuls ?
Pour supprimer les chiffrements NULL d’un VIP SSL, exécutez la commande suivante :
bind ssl cipher <SSL_VIP> REM NULL
<!--NeedCopy-->
Pour supprimer les chiffrements NULL d’un service SSL, exécutez la commande suivante :
bind ssl cipher <SSL_Service> REM NULL -service
<!--NeedCopy-->
Quels sont les différents alias de chiffrement pris en charge par l’appliance NetScaler ?
Pour répertorier les alias de chiffrement pris en charge par l’appliance, à l’invite de commande, tapez :
sh cipher
<!--NeedCopy-->
Quelle est la commande permettant d’afficher tous les chiffrements prédéfinis de l’appliance NetScaler ?
Pour afficher tous les chiffrements prédéfinis de l’appliance NetScaler, tapez :
show ssl cipher
<!--NeedCopy-->
Quelle est la commande permettant d’afficher les détails d’un chiffrement individuel de l’appliance NetScaler ?
Pour afficher les détails d’un chiffrement individuel de l’appliance NetScaler, sur l’interface de ligne de commande, tapez :
show ssl cipher <Cipher_Name/Cipher_Alias_Name/Cipher_Group_Name>
<!--NeedCopy-->
Exemple :
show cipher SSL3-RC4-SHA
1) Cipher Name: SSL3-RC4-SHA
Description: SSLv3 Kx=RSA Au=RSA Enc=RC4(128)
Mac=SHA1
Done
<!--NeedCopy-->
Quel est l’intérêt d’ajouter les chiffrements prédéfinis de l’appliance NetScaler ?
L’ajout des chiffrements prédéfinis de l’appliance NetScaler entraîne l’ajout des chiffrements NULL à un VIP SSL ou à un service SSL.
Est-il possible de modifier l’ordre du chiffrement sans le dissocier d’un groupe de chiffrement sur une appliance NetScaler ?
Oui. Il est possible de modifier l’ordre du chiffrement sans dissocier les chiffrements d’un groupe de chiffrement personnalisé. Toutefois, vous ne pouvez pas modifier la priorité dans les groupes de chiffrement intégrés. Pour modifier la priorité d’un chiffrement lié à une entité SSL, commencez par dissocier le chiffrement du serveur virtuel, du service ou du groupe de services.
Remarque : Si le groupe de chiffrement lié à une entité SSL est vide, l’établissement de connexion SSL échoue car il n’existe aucun chiffrement négocié. Le groupe de chiffrement doit contenir au moins un chiffre.
L’ECDSA est-il pris en charge sur l’appliance NetScaler ?
L’ECDSA est pris en charge sur les plateformes NetScaler suivantes. Pour plus de détails sur les versions prises en charge, reportez-vous aux tableaux 1 et 2 de la section Chiffres disponibles sur les appliances NetScaler.
- Appliances NetScaler MPX et SDX avec puces N3
- NetScaler MPX 5900/8900/15000/26000
- NetScaler SDX 8900/1500
- Appliances NetScaler VPX
L’appliance NetScaler VPX prend-elle en charge les chiffrements AES-GCM/SHA2 sur le front-end ?
Oui, les chiffrements AES-GCM/SHA2 sont pris en charge sur l’appliance NetScaler VPX. Pour plus de détails sur les versions prises en charge, consultez la section Chiffrements disponibles sur les appliances NetScaler.
Certificats
Le nom distinctif figurant dans un certificat client est-il disponible pendant toute la durée de la session utilisateur ?
Oui. Vous pouvez accéder au nom unique du certificat client dans les requêtes suivantes pendant la durée de la session utilisateur. C’est-à-dire, même une fois que la connexion SSL est terminée et que le certificat n’est pas envoyé à nouveau par le navigateur. Utilisez une variable et une affectation comme indiqué dans l’exemple de configuration suivant :
Exemple :
add ns variable v2 -type "text(100)"
add ns assignment a1 -variable "$v2" -set "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")"
add rewrite action act1 insert_http_header subject "$v2" // example: to insert the distinguished name in the header
add rewrite policy pol1 true a1
add rewrite policy pol2 true act1
bind rewrite global pol1 1 next -type RES_DEFAULT
bind rewrite global pol2 2 next -type RES_DEFAULT
set rewrite param -undefAction RESET
<!--NeedCopy-->
Pourquoi dois-je lier le certificat du serveur ?
La liaison des certificats de serveur est la condition de base pour permettre à la configuration SSL de traiter les transactions SSL.
Pour lier le certificat de serveur à un VIP SSL, dans l’interface de ligne de commande, tapez :
bind ssl vserver <vServerName> -certkeyName <cert_name>
<!--NeedCopy-->
Pour lier le certificat de serveur à un service SSL, dans l’interface de ligne de commande, tapez :
bind ssl service <serviceName> -certkeyName <cert_name>
<!--NeedCopy-->
Combien de certificats puis-je associer à un VIP SSL ou à un service SSL ?
Sur une appliance FIPS NetScaler VPX, MPX/SDX (N3) et MPX/SDX 14000, vous pouvez lier deux certificats à un serveur virtuel SSL ou à un service SSL si le SNI est désactivé. Les certificats doivent être de type RSA et ECDSA. Si le SNI est activé, vous pouvez lier plusieurs certificats de serveur de type RSA ou ECDSA. Sur une appliance FIPS NetScaler MPX (N2) ou MPX 9700, si le SNI est désactivé, vous ne pouvez lier qu’un seul certificat de type RSA. Si le SNI est activé, vous pouvez lier plusieurs certificats de serveur de type RSA uniquement.
Que se passe-t-il si je dissocie ou remplace un certificat de serveur ?
Lorsque vous dissociez ou remplacez un certificat de serveur, toutes les connexions et sessions SSL créées à l’aide du certificat existant sont interrompues. Lorsque vous remplacez un certificat existant, le message suivant s’affiche :
ERROR:
Warning: Current certificate replaces the previous binding.
<!--NeedCopy-->
Comment installer un certificat intermédiaire sur une appliance NetScaler et créer un lien vers un certificat de serveur ?
Consultez l’article suivant http://support.citrix.com/article/ctx114146 pour plus d’informations sur l’installation d’un certificat intermédiaire.
Pourquoi le message d’erreur « La ressource existe déjà » s’affiche-t-il lorsque j’essaie d’installer un certificat sur NetScaler ?
Consultez l’article suivant http://support.citrix.com/article/CTX117284 pour obtenir des instructions sur la résolution de l’erreur « La ressource existe déjà ».
Je souhaite créer un certificat de serveur sur une appliance NetScaler afin de tester et d’évaluer le produit. Quelle est la procédure pour créer un certificat de serveur ?
Procédez comme suit pour créer un certificat de test.
Remarque : Un certificat créé à l’aide de cette procédure ne peut pas être utilisé pour authentifier tous les utilisateurs et navigateurs. Après avoir utilisé le certificat à des fins de test, vous devez obtenir un certificat de serveur signé par une autorité de certification racine autorisée.
Pour créer un certificat de serveur auto-signé :
-
Pour créer un certificat Root CA, dans l’interface de ligne de commande, tapez :
create ssl rsakey /nsconfig/ssl/test-ca.key 1024 create ssl certreq /nsconfig/ssl/test-ca.csr -keyfile /nsconfig/ssl/test-ca.key Enter the required information when prompted, and then type the following command: create ssl cert /nsconfig/ssl/test-ca.cer /nsconfig/ssl/test-ca.csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca.key <!--NeedCopy-->
-
Procédez comme suit pour créer un certificat de serveur et le signer à l’aide du certificat d’autorité de certification racine que vous venez de créer
-
Pour créer la demande et la clé, dans l’interface de ligne de commande, tapez :
create ssl rsakey /nsconfig/ssl/test-server.key 1024 create ssl certreq /nsconfig/ssl/test-server.csr -keyfile /nsconfig/ssl/test-server.key <!--NeedCopy-->
-
Entrez les informations requises lorsque vous y êtes invité.
-
Pour créer un fichier de numéro de série, dans l’interface de ligne de commande, tapez :
shell # echo '01' > /nsconfig/ssl/serial.txt # exit <!--NeedCopy-->
-
Pour créer un certificat de serveur signé par le certificat de l’autorité de certification racine créé à l’étape 1, dans l’interface de ligne de commande, tapez :
create ssl cert /nsconfig/ssl/test-server.cer /nsconfig/ssl/test-server.csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca.cer -CAkey /nsconfig/ssl/test-ca.key -CAserial /nsconfig/ssl/serial.txt <!--NeedCopy-->
-
Pour créer une paire de clés de certificat NetScaler, qui est l’objet en mémoire qui contient les informations de certificat du serveur pour les connexions SSL et le chiffrement en bloc, sur l’interface de ligne de commande, tapez :
add ssl certkey test-certkey -cert /nsconfig/ssl/test-server.cer -key /nsconfig/ssl/test-server.key <!--NeedCopy-->
-
Pour lier la paire de clés de certification au serveur virtuel SSL, dans l’interface de ligne de commande, tapez :
bind ssl vserver <vServerName> -certkeyName <cert_name> <!--NeedCopy-->
-
J’ai reçu une appliance NetScaler sur laquelle la version 9.0 du logiciel NetScaler est installée. J’ai remarqué la présence d’un fichier de licence supplémentaire sur l’appliance. La stratégie de licence a-t-elle été modifiée à compter de la version 9.0 du logiciel NetScaler ?
Oui. À partir de la version 9.0 du logiciel NetScaler, l’appliance peut ne pas disposer d’un seul fichier de licence. Le nombre de fichiers de licence dépend de l’édition du logiciel NetScaler. Par exemple, si vous avez installé l’édition Advanced, vous aurez peut-être besoin de fichiers de licence supplémentaires pour bénéficier de toutes les fonctionnalités des différentes fonctionnalités. Toutefois, si vous avez installé l’édition Premium, l’appliance ne possède qu’un seul fichier de licence.
Comment exporter le certificat depuis l’Internet Information Service (IIS) ?
Il existe de nombreuses méthodes, mais en utilisant la méthode suivante, le certificat et la clé privée appropriés pour le site Web sont exportés. Cette procédure doit être effectuée sur le serveur IIS lui-même.
-
Ouvrez l’outil d’administration du gestionnaire des services Internet (IIS).
-
Développez le nœud Sites Web et localisez le site Web compatible SSL que vous souhaitez diffuser via l’appliance NetScaler.
-
Cliquez avec le bouton droit sur ce site Web et cliquez sur Propriétés.
-
Cliquez sur l’onglet Sécurité du répertoire et, dans la section Communications sécurisées de la fenêtre, cochez la case Afficher le certificat.
-
Cliquez sur l’onglet Détails, puis sur Copier dans un fichier.
-
Sur la page Bienvenue dans l’assistant d’exportation de certificats, cliquez sur Suivant.
-
Sélectionnez Oui, exportez la clé privée, puis cliquez sur Suivant.
Remarque : La clé privée DOIT être exportée pour que SSL Offload fonctionne sur NetScaler.
-
Assurez-vous que le bouton radio Personal Information Exchange -PKCS #12 est sélectionné et cochez uniquement la case Inclure tous les certificats dans le chemin de certification si possible. Cliquez sur Suivant.
-
Entrez un mot de passe et cliquez sur Suivant.
-
Entrez un nom de fichier et un emplacement, puis cliquez sur Suivant. Donnez au fichier l’extension .PFX.
-
Cliquez sur Terminer.
Comment convertir le certificat PKCS #12 et l’installer sur NetScaler ?
-
Déplacez le fichier de certificat .PFX exporté vers un emplacement à partir duquel il peut être copié vers l’appliance NetScaler. C’est-à-dire à une machine qui autorise l’accès SSH à l’interface de gestion d’une appliance NetScaler. Copiez le certificat sur l’appliance à l’aide d’un utilitaire de copie sécurisé tel que SCP.
-
Accédez au shell BSD et convertissez le certificat (par exemple, Cert.pfx) au format .PEM :
root@ns# openssl pkcs12 -in cert.PFX -out cert.PEM <!--NeedCopy-->
-
Pour vous assurer que le certificat converti est au bon format x509, vérifiez que la commande suivante ne génère aucune erreur :
root@ns# openssl x509 -in cert.PEM -text <!--NeedCopy-->
-
Vérifiez que le fichier de certificat contient une clé privée. Commencez par exécuter la commande suivante :
root@ns# cat cert.PEM Verify that the output file includes an RSA PRIVATE KEY section. -----BEGIN RSA PRIVATE KEY----- Mkm^s9KMs9023pz/s... -----END RSA PRIVATE KEY----- <!--NeedCopy-->
Voici un autre exemple de section RSA PRIVATE KEY :
Bag Attributes 1.3.6.1.4.1.311.17.2: <No Values> localKeyID: 01 00 00 00 Microsoft CSP Name: Microsoft RSA SChannel Cryptographic Provider friendlyName: 4b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e-6183-4d45-886e-6e067297b38f Key Attributes X509v3 Key Usage: 10 -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,43E7ACA5F4423968 pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ+Rg ... (more random characters) v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh 5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg== -----END RSA PRIVATE KEY----- <!--NeedCopy-->
Voici une section CERTIFICAT DE SERVEUR :
Bag Attributes localKeyID: 01 00 00 00 friendlyName: AG Certificate subject=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother Asiapacific/OU=Support/CN=davemother.food.lan issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK ... (more random characters) 5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/ MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog= -----END CERTIFICATE----- <!--NeedCopy-->
La section suivante contient un CERTIFICAT DE CA INTERMÉDIAIRE :
Bag Attributes: <Empty Attributes> subject=/DC=lan/DC=food/CN=hotdog issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8 ... (more random characters) Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/IOsgNHUp5W6dDI9pQoqFFaDk= -----END CERTIFICATE----- <!--NeedCopy-->
D’autres certificats CA intermédiaires peuvent suivre, en fonction du chemin de certification du certificat exporté.
-
Ouvrez le fichier .PEM dans un éditeur de texte
-
Localisez la première ligne du fichier .PEM et la première instance de la ligne suivante, puis copiez ces deux lignes et toutes les lignes qui les séparent :
-----END CERTIFICATE----- Note: Make sure that last copied line is the first -----END CERTIFICATE----- line in the .PEM file. <!--NeedCopy-->
-
Collez les lignes copiées dans un nouveau fichier. Appelez le nouveau fichier de manière intuitive, par exemple cert-key.pem. Cette paire de clés de certificat est destinée au serveur hébergeant le service HTTPS. Ce fichier doit contenir à la fois la section intitulée RSA PRIVATE KEY et la section intitulée SERVER CERTIFICATE dans l’exemple précédent.
Remarque : Le fichier de paire de clés de certificat contient la clé privée et doit être conservé en toute sécurité.
-
Localisez toutes les sections suivantes commençant par —BEGIN CERTIFICATE— et se terminant par —END CERTIFICATE—, et copiez chacune de ces sections dans un nouveau fichier distinct.
Ces sections correspondent aux certificats des autorités de certification fiables qui ont été inclus dans le parcours de certification. Ces sections doivent être copiées et collées dans de nouveaux fichiers individuels pour ces certificats. Par exemple, la section INTERMEDIATE CA CERTIFICATE de l’exemple précédent doit être copiée et collée dans un nouveau fichier).
Pour plusieurs certificats d’autorité de certification intermédiaires dans le fichier d’origine, créez des fichiers pour chaque certificat d’autorité de certification intermédiaire dans l’ordre dans lequel ils apparaissent dans le fichier. Gardez une trace (en utilisant des noms de fichiers appropriés) de l’ordre dans lequel les certificats apparaissent, car ils doivent être liés entre eux dans le bon ordre lors d’une étape ultérieure.
-
Copiez le fichier de clé de certificat (cert-key.pem) et tous les fichiers de certificat CA supplémentaires dans le répertoire /nsconfig/ssl de l’appliance NetScaler.
-
Quittez le shell BSD et accédez à l’invite NetScaler.
-
Suivez les étapes de la section « Installer les fichiers de clé de certificat sur l’appliance » pour installer la clé/le certificat une fois chargé sur l’appareil.
Comment convertir le certificat PKCS #7 et l’installer sur l’appliance NetScaler ?
Vous pouvez utiliser OpenSSL pour convertir un certificat PKCS #7 en un format reconnaissable par l’appliance NetScaler. La procédure est identique à celle des certificats PKCS #12, sauf que vous appelez OpenSSL avec des paramètres différents. Les étapes de conversion des certificats PKCS #7 sont les suivantes :
-
Copiez le certificat sur l’appliance à l’aide d’un utilitaire de copie sécurisé, tel que SCP.
-
Convertissez le certificat (par exemple, Cert.P7b) au format PEM :
openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem <!--NeedCopy-->
-
Suivez les étapes 3 à 7 décrites dans la réponse pour les certificats PKCS #12. Remarque : Avant de charger le certificat PKCS #7 converti sur l’appliance, vérifiez qu’il contient une clé privée, exactement comme décrit à l’étape 3 pour la procédure PKCS #12. Les certificats PKCS #7, en particulier les certificats exportés depuis IIS, ne contiennent généralement pas de clé privée.
Lorsque je lie un chiffrement à un serveur virtuel ou à un service à l’aide de la commande de liaison de chiffrement, le message d’erreur « Commande obsolète » s’affiche
La commande permettant de lier un chiffrement à un serveur ou à un service virtuel a changé.
Utilisez la bind ssl vserver <vsername> -ciphername <ciphername>
commande pour lier un chiffrement SSL à un serveur virtuel SSL.
Utilisez la bind ssl service <serviceName> -ciphername <ciphername>
commande pour lier un chiffrement SSL à un service SSL.
Remarque : Les nouveaux chiffrements et groupes de chiffrement sont ajoutés à la liste existante et ne sont pas remplacés.
Pourquoi ne puis-je pas créer un groupe de chiffrement et y lier des chiffrements à l’aide de la commande add cipher ?
La fonctionnalité d’ajout de la commande de chiffrement a été modifiée dans la version 10. La commande crée uniquement un groupe de chiffrement. Pour ajouter des chiffrements au groupe, utilisez la commande bind cipher.
OpenSSL
Comment utiliser OpenSSL pour convertir des certificats entre PEM et DER ?
Pour utiliser OpenSSL, vous devez disposer d’une installation fonctionnelle du logiciel OpenSSL et pouvoir exécuter OpenSSL à partir de la ligne de commande.
Les certificats x509 et les clés RSA peuvent être stockés dans différents formats.
Les deux formats courants sont les suivants :
- DER (format binaire utilisé principalement par les plateformes Java et Macintosh)
- PEM (représentation en base64 de DER avec des informations d’en-tête et de pied de page, principalement utilisée par les plateformes UNIX et Linux).
Une clé et le certificat correspondant, en plus du certificat racine et de tout certificat intermédiaire, peuvent également être stockés dans un seul fichier PKCS #12 (.P12, .PFX).
Procédure
Utilisez la commande OpenSSL pour effectuer la conversion entre les formats comme suit :
-
Pour convertir un certificat PEM en DER :
x509 -in input.crt -inform PEM -out output.crt -outform DER <!--NeedCopy-->
-
Pour convertir un certificat DER en PEM :
x509 -in input.crt -inform DER -out output.crt -outform PEM <!--NeedCopy-->
-
Pour convertir une clé de PEM en DER :
rsa -in input.key -inform PEM -out output.key -outform DER <!--NeedCopy-->
-
Pour convertir une clé de DER en PEM :
rsa -in input.key -inform DER -out output.key -outform PEM <!--NeedCopy-->
Remarque : Si la clé que vous importez est cryptée à l’aide d’un chiffrement symétrique compatible, vous êtes invité à saisir la phrase secrète.
Remarque : Pour convertir une clé vers ou depuis le format obsolète NET (serveur Netscape), remplacez NET par PEM ou DER selon le cas. La clé stockée est cryptée dans un chiffrement symétrique RC4 faible et non salé, de sorte qu’une phrase de passe est demandée. Une phrase de passe vide est acceptable.
Limites du système
Quels sont les chiffres importants à retenir ?
-
Créer une demande de certificat :
- Nom du fichier de demande : 63 caractères maximum
- Nom du fichier clé : 63 caractères maximum
- Phrase secrète PEM (pour clé cryptée) : 31 caractères maximum
- Nom commun : 63 caractères maximum
- Ville : 127 caractères maximum
- Nom de l’organisation : 63 caractères maximum
- Nom de l’État/de la province : 63 caractères maximum
- Adresse e-mail : 255 caractères maximum
- Unité d’organisation : 63 caractères maximum
- Mot de passe du défi : 20 caractères maximum
- Nom de l’entreprise : 127 caractères maximum
-
Créer un certificat :
- Nom du fichier de certificat : 63 caractères maximum
- Nom du fichier de demande de certificat : 63 caractères maximum
- Nom du fichier clé : 63 caractères maximum
- Phrase secrète PEM : 31 caractères maximum
- Période de validité : maximum 3650 jours
- Nom du fichier de certificat CA : 63 caractères maximum
- Nom du fichier de clé CA : 63 caractères maximum
- Phrase secrète PEM : 31 caractères maximum
- Fichier contenant le numéro de série CA : 63 caractères maximum
-
Créez et installez un certificat de test de serveur :
- Nom du fichier de certificat : 31 caractères maximum
- Nom de domaine complet : 63 caractères maximum
- Créez une clé Diffie-Hellman (DH) :
- Nom du fichier DH (avec chemin) : 63 caractères maximum
- Taille du paramètre DH : 2 048 bits maximum (à partir des versions 14.1-25.x, la limite maximale est augmentée à 4 096)
Remarque :
pour les plateformes Cavium, la limite maximale est de 2 048 bits.
À partir de la version 14.1-25.x, vous pouvez créer des clés DH pouvant aller jusqu’à 4 096 bits sur certaines plates-formes basées sur Intel Coleto et Intel Lewisburg, ainsi que sur les plates-formes où le traitement SSL s’effectue uniquement dans le logiciel. Auparavant, la taille était limitée à 2 048 bits.
Pour créer une clé DH de plus de 2 048 bits, utilisez la commande
OpenSSL
depuis l’invite NetScaler shell.Pour plus d’informations sur les plates-formes basées sur Intel Coleto et Intel Lewisburg, consultez Génération de paramètres Diffie-Hellmanet réalisation de la propriété PFS avec DHE.
-
Importer la clé PKCS12 :
- Nom du fichier de sortie : 63 caractères maximum
- Nom du fichier PKCS12 : 63 caractères maximum
- Mot de passe d’importation : 31 caractères maximum
- Phrase secrète PEM : 31 caractères maximum
- Vérifier le mot de passe PEM : 31 caractères maximum
- Exporter PKCS12
- Nom du fichier PKCS12 : 63 caractères maximum
- Nom du fichier de certificat : 63 caractères maximum
- Nom du fichier clé : 63 caractères maximum
- Mot de passe d’exportation : 31 caractères maximum
- Phrase secrète PEM : 31 caractères maximum
- Gestion des CRL :
- Nom du fichier de certificat CA : 63 caractères maximum
- Nom du fichier de clé CA : 63 caractères maximum
- Mot de passe du fichier clé CA : 31 caractères maximum
- Nom du fichier d’index : 63 caractères maximum
- Nom du fichier de certificat : 63 caractères maximum
- Créez une clé RSA :
- Nom du fichier clé : 63 caractères maximum
- Taille de clé : 4 096 bits maximum
- Phrase secrète PEM : 31 caractères maximum
- Vérifier le mot de passe : 31 caractères maximum
- Modifiez les paramètres SSL avancés :
- Taille de mémoire CRL maximale : 1024 Mo maximum
- Délai d’expiration du déclencheur du chiffrement (10 mS) : 200 maximum
- Nombre de paquets déclencheurs de chiffrement : 50 maximum
- Taille du cache OCSP : 512 Mo maximum
- Certificat d’installation :
- Nom de la paire de clés de certificat : 31 caractères maximum
- Nom du fichier de certificat : 63 caractères maximum
- Nom du fichier de clé privée : 63 caractères maximum
- Mot de passe : 31 caractères maximum
- Période de notification : 100 maximum
- Créez un groupe de chiffrement :
- Nom du groupe de chiffrement : 39 caractères maximum
- Créez une CRL :
- Nom CRL : 31 caractères maximum
- Fichier CRL : 63 caractères maximum
- URL : 127 caractères maximum
- DN de base : 127 caractères maximum
- Bind DN : 127 caractères maximum
- Mot de passe : 31 caractères maximum
- Nombre de jours : 31 jours maximum
- Créez une stratégie SSL :
- Nom : 127 caractères maximum
- Créer une action SSL :
- Nom : 127 caractères maximum
- Créez un répondeur OCSP :
- Nom : 32 caractères maximum
- URL : 128 caractères maximum
- Profondeur de dosage : 8 maximum
- Délai de traitement par lots : 10 000 maximum
- Production asymétrie temporelle : 86 400 maximum
- Délai d’expiration de la requête : 120 000 maximum
- Créez un serveur virtuel :
- Nom : 127 caractères maximum
- URL de redirection : 127 caractères maximum
- Délai d’expiration du client : 3 1536 000 secondes maximum
- Créer un service :
- Nom : 127 caractères maximum
- Délai d’inactivité (secondes) : Client : 31536000 maximum Serveur : 31536000 maximum
- Créer un groupe de services :
- Nom du groupe de services : 127 caractères maximum
- ID du serveur : Maximum 4294967295
- Délai d’inactivité (secondes) : Client : valeur maximale 31536000 Serveur : maximum 31536000
- Créer un moniteur :
- Nom : 31 caractères maximum
- Créer un serveur :
- Nom du serveur : 127 caractères maximum
- Nom de domaine : 255 caractères maximum
- Résoudre une nouvelle tentative : 20 939 secondes maximum