ADC

Importation et conversion de fichiers SSL

Vous pouvez désormais importer des ressources SSL, telles que des certificats, des clés privées, des CRL et des clés DH, à partir d’hôtes distants même si l’accès FTP à ces hôtes n’est pas disponible. Cette fonctionnalité est particulièrement utile dans les environnements où l’accès du shell à l’hôte distant est restreint. Les dossiers par défaut sont créés dans /nsconfig/ssl comme suit :

  • Pour les fichiers de certificat : /nsconfig/ssl/certfile
  • Pour les clés privées : le fichier /nsconfig/ssl/keyfile
  • Pour les CRL : /var/netscaler/ssl/crlfile
  • Pour les clés DH : /nsconfig/ssl/dhfile

Les importations depuis les serveurs HTTP et HTTPS sont prises en charge. Toutefois, l’importation échoue si le fichier se trouve sur un serveur HTTPS nécessitant une authentification par certificat client pour y accéder.

Remarques :

  • La commande d’importation n’est pas enregistrée dans le fichier de configuration (ns.conf), car la réimportation du fichier après un redémarrage peut provoquer une erreur.
  • La commande d’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite une authentification de certificat client pour l’accès, et si le certificat émetteur du serveur HTTPS n’est pas présent dans le répertoire de NetScaler /etc/ssl pour authentifier le serveur HTTPS.

Importer un fichier de certificat

Vous pouvez utiliser l’interface de ligne de commande et l’interface graphique pour importer un fichier (ressource) à partir d’un hôte distant.

Importer un fichier de certificat depuis un hôte distant à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

import ssl certFile [<name>] [<src>]
<!--NeedCopy-->

Exemple :

import ssl certfile my-certfile http://www.example.com/file_1
<!--NeedCopy-->
show ssl certfile
     Name : my-certfile
     URL : http://www.example.com/file_1
<!--NeedCopy-->

Pour supprimer un fichier de certificat, utilisez la rm ssl certFile commande qui accepte uniquement l’argument « nom ».

Importer un fichier clé depuis un hôte distant à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

import ssl keyFile [<name>] [<src>]
<!--NeedCopy-->

Exemple :

import ssl keyfile my-keyfile http://www.example.com/key_file
<!--NeedCopy-->
show ssl keyfile
     Name : my-keyfile
     URL : http://www.example.com/key_file
<!--NeedCopy-->

Pour supprimer un fichier clé, utilisez la rm ssl keyFile commande qui accepte uniquement l’argument « nom ».

Importer un fichier CRL depuis un hôte distant à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

import ssl crlFile [<name>] [<src>]
<!--NeedCopy-->

Pour supprimer un fichier CRL, utilisez la commande rm ssl crlFile qui accepte uniquement l’argument <\name\>.

Exemple :

import ssl crlfile my-crlfile http://www.example.com/crl_file

show ssl crlfile

    Name : my-crlfile
    URL : http://www.example.com/crl_file
<!--NeedCopy-->

Importer un fichier DH depuis un hôte distant à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

import ssl dhFile [<name>] [<src>]
<!--NeedCopy-->

Exemple :

import ssl dhfile my-dhfile http://www.example.com/dh_file
show ssl dhfile
     Name : my-dhfile
     URL : http://www.example.com/dh_file
<!--NeedCopy-->

Pour supprimer un fichier DH, utilisez la commande rm ssl dhFile, qui accepte uniquement l’argument <\name\>.

Importer une ressource SSL à l’aide de l’interface graphique

Accédez à Gestion du trafic > SSL > Importations, puis sélectionnez l’onglet approprié.

Importer des certificats PKCS #8 et PKCS #12

Si vous souhaitez utiliser des certificats et des clés que vous possédez déjà sur d’autres serveurs ou applications sécurisés de votre réseau, vous pouvez les exporter, puis les importer vers l’appliance NetScaler. Vous devrez peut-être convertir les certificats et les clés exportés avant de pouvoir les importer dans l’appliance NetScaler.

Pour savoir comment exporter des certificats à partir de serveurs ou d’applications sécurisés de votre réseau, consultez la documentation du serveur ou de l’application à partir duquel vous souhaitez exporter.

Remarque :

Pour l’installation sur l’appliance NetScaler, les noms de clé et de certificat ne peuvent pas contenir d’espaces ni de caractères spéciaux autres que ceux pris en charge par le système de fichiers UNIX. Respectez la convention de dénomination appropriée lorsque vous enregistrez la clé et le certificat exportés.

Une paire de certificats et de clés privées est généralement envoyée au format PKCS #12. L’appliance prend en charge les formats PEM et DER pour les certificats et les clés. Pour convertir PKCS #12 en PEM ou DER, ou PEM ou DER en PKCS #12, consultez la section « Convertir les certificats SSL pour l’importation ou l’exportation » plus loin sur cette page.

L’appliance NetScaler ne prend pas en charge les clés PEM au format PKCS #8. Vous pouvez toutefois convertir ces clés dans un format compatible à l’aide de l’interface OpenSSL, à laquelle vous pouvez accéder depuis la CLI ou l’utilitaire de configuration. Avant de convertir la clé, vous devez vérifier que la clé privée est au format PKCS #8. Les clés au format PKCS #8 commencent généralement par le texte suivant :

-----BEGIN ENCRYPTED PRIVATE KEY-----



leuSSZQZKgrgUQ==



-----END ENCRYPTED PRIVATE KEY-----
<!--NeedCopy-->

Ouvrez l’interface OpenSSL depuis la CLI

  1. Ouvrez une connexion SSH à l’appliance à l’aide d’un client SSH, tel que PuTTY.
  2. Connectez-vous à l’appliance à l’aide des informations d’identification de l’administrateur.
  3. À l’invite de commandes, tapez shell.
  4. À l’invite du shell, tapez openssl.

Ouvrez l’interface OpenSSL à partir de l’interface graphique

Accédez à Gestion du trafic > SSL et, dans le groupe Outils, sélectionnez l’interface OpenSSL.

Convertir un format de clé PKCS #8 non pris en charge en un format de clé pris en charge chiffré à l’aide de l’interface OpenSSL

À l’invite OpenSSL, tapez l’une des commandes suivantes, selon que le format de clé non pris en charge est de type RSA ou ECDSA :

OpenSSL>rsa- in <PKCS#8 Key Filename> -des3 -out <encrypted Key Filename>

OpenSSL>ec -in <PKCS#8 Key Filename> -des3 -out <encrypted Key Filename>
<!--NeedCopy-->

Paramètres pour convertir un format de clé non pris en charge en format de clé pris en charge

  • Nom de fichier de la clé PKCS #8 : nom du fichier d’entrée de la clé privée PKCS #8 incompatible.
  • Nom de fichier de la clé cryptée : nom du fichier de sortie de la clé privée cryptée compatible au format PEM.
  • Nom de fichier de clé non chiffrée : nom du fichier de sortie de la clé privée non cryptée compatible au format PEM.

Convertir des certificats SSL pour l’importation ou l’exportation

Une appliance NetScaler prend en charge les formats PEM et DER pour les certificats SSL. D’autres applications, telles que les navigateurs clients et certains serveurs sécurisés externes, nécessitent différents formats de norme de cryptographie à clé publique (PKCS). L’appliance peut convertir le format PKCS #12 en format PEM ou DER pour importer un certificat dans l’appliance, et peut convertir le format PEM ou DER en PKCS #12 pour exporter un certificat. Pour plus de sécurité, la conversion d’un fichier à importer peut inclure le chiffrement de la clé privée à l’aide de l’algorithme DES ou DES3.

Remarques :

  • Si vous utilisez l’interface graphique pour importer un certificat PKCS #12 et que le mot de passe contient un signe dollar ($), un guillemet (`) ou un caractère d’échappement (), l’importation risque d’échouer. Si tel est le cas, le message ERREUR : mot de passe non valide s’affiche. Si vous devez utiliser un caractère spécial dans le mot de passe, veillez à le préfixer avec un caractère d’échappement (), sauf si toutes les importations sont effectuées à l’aide de l’interface de ligne de commande.
  • À partir de la version 14.1 build 21.x de NetScaler, la longueur du chemin passe de 63 à 255 caractères pour le certificat et les paramètres clés dans les commandes suivantes :

    - convert ssl pkcs12 - convert ssl pkcs8

Convertir le format d’un certificat à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez la commande suivante :

convert ssl pkcs12 <outfile> [-import [-pkcs12File <inputFilename>] [-des | -des3] [-export [-certFile <inputFilename>] [-keyFile <inputFilename>]]
<!--NeedCopy-->

Au cours de l’opération, vous êtes invité à saisir un mot de passe d’importation ou un mot de passe d’exportation. Pour un fichier crypté, vous êtes également invité à saisir une phrase secrète.

Exemple :

convert ssl pkcs12 Cert-Import-1.pem -import -pkcs12File Cert-Import-1.pfx -des

convert ssl pkcs12 Cert-Client-1.pfx -export -certFile Cert-Client-1 -keyFile Key-Client-1
<!--NeedCopy-->

Convertir le format d’un certificat à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > SSL et, dans le groupe Outils , sélectionnez Importer PKCS #12.

    Importer PKCS #12

  2. Spécifiez le nom du certificat PEM dans le champ Nom du fichier de sortie .

  3. Accédez à l’emplacement du certificat PFX sur votre ordinateur local ou sur l’appliance.

    Accédez au certificat PFX

  4. Cliquez sur OK.

  5. Cliquez sur Gérer les certificats, les clés et les CSR pour afficher le fichier PEM converti.

    Afficher le fichier PEM converti

  6. Vous pouvez afficher le fichier PFX chargé et le fichier PEM converti.

    Afficher les fichiers

  7. Accédez à SSL > Certificats > Certificats de serveur et cliquez sur Installer.

  8. Spécifiez un nom de paire de clés de certificat.

  9. Accédez à l’emplacement du fichier PEM.

  10. Spécifiez le mot de passe lorsque vous y êtes invité.

  11. Cliquez sur Install.

    Installer le certificat du serveur

  12. Liez la paire de clés de certificat à un serveur virtuel SSL.

Importation et conversion de fichiers SSL