Certificats de site mondiaux
Un certificat de site global est un certificat de serveur spécialisé dont la longueur de clé est supérieure à 128 bits. Un certificat de site global se compose d’un certificat de serveur et d’un certificat CA intermédiaire qui l’accompagne. Importez le certificat de site global et sa clé depuis le serveur vers l’appliance NetScaler.
Comment fonctionnent les certificats de site mondiaux
Les versions d’exportation des navigateurs utilisent un cryptage 40 bits pour établir des connexions à des serveurs Web SSL. Le serveur répond aux demandes de connexion en envoyant son certificat. Le client et le serveur décident ensuite du niveau de cryptage en fonction du type de certificat du serveur :
- Si le certificat de serveur est un certificat normal et non un certificat de site global, le client et le serveur d’exportation effectuent l’établissement de liaison SSL et utilisent un cryptage 40 bits pour le transfert de données.
- Si le certificat de serveur est un certificat de site global et si le navigateur prend en charge la fonctionnalité client d’exportation, le client d’exportation passe automatiquement au cryptage 128 bits pour le transfert de données.
Si le certificat du serveur est un certificat de site global, le serveur envoie son certificat, ainsi que le certificat CA intermédiaire qui l’accompagne. Le navigateur valide d’abord le certificat CA intermédiaire à l’aide de l’un des certificats Root-CA normalement inclus dans les navigateurs Web. Une fois le certificat Intermediate-CA validé, le navigateur utilise le certificat Intermediate-CA pour valider le certificat du serveur. Une fois le serveur validé avec succès, le navigateur renégocie (met à niveau) la connexion SSL vers un cryptage 128 bits.
Avec le protocole SGC (Server Gated Cryptography) de Microsoft, si le serveur Microsoft IIS est configuré avec un certificat SGC, les clients d’exportation qui reçoivent le certificat renégocient pour utiliser le chiffrement 128 bits.
Importer un certificat de site global
Pour importer un certificat de site global, exportez d’abord le certificat et la clé du serveur depuis le serveur Web. Les certificats de site globaux sont exportés dans un format binaire. Par conséquent, avant d’importer le certificat de site global, convertissez le certificat et la clé au format PEM.
Pour importer un certificat de site global
-
À l’aide d’un éditeur de texte, copiez le certificat de serveur et le certificat CA intermédiaire qui l’accompagne dans deux fichiers distincts.
Le certificat individuel codé PEM commence par l’en-tête
----- BEGIN CERTIFICATE-----et se termine par la bande-annonce-----END CERTIFICATE-----. -
Utilisez un client SFTP pour transférer le certificat de serveur, le certificat CA intermédiaire et la clé de serveur vers l’appliance NetScaler.
-
Utilisez la commande OpenSSL suivante pour identifier le certificat de serveur et le certificat CA intermédiaire à partir des deux fichiers distincts.
Remarque : Vous pouvez lancer l’interface OpenSSL depuis l’utilitaire de configuration. Dans le volet de navigation, cliquez sur SSL. Dans le volet d’informations, sous Outils, cliquez sur Ouvrir l’interface SSL.
openssl x509 -in >path of the CA cert file< text X509v3 Basic Constraints: CA:TRUE X509v3 Key Usage: Certificate Sign, CRL Sign Netscape Cert Type: SSL CA, S/MIME CA openssl x509 -in >path of the server certificate file< -text X509v3 Basic Constraints: CA:FALSE Netscape Cert Type: SSL Server <!--NeedCopy--> -
À l’invite du shell FreeBSD, saisissez la commande suivante :
openssl x509 -in cert.pem -text | more <!--NeedCopy-->Où cert.pem est l’un des deux fichiers de certificat
Lisez le champ Objet dans le résultat de la commande. Par exemple,
Subject: C=US, ST=Oregon, L=Portland, O=mycompany, Inc., OU=IT, CN=www.mycompany.com <!--NeedCopy-->Si le champ CN du sujet correspond au nom de domaine de votre site Web, ce certificat est le certificat du serveur et l’autre certificat est le certificat CA intermédiaire qui l’accompagne.
-
Utilisez le certificat du serveur (et sa clé privée) pour créer une paire de clés de certificat sur l’appliance NetScaler. Pour plus d’informations sur la création d’une paire de clés de certificat sur NetScaler, consultez la section Ajouter unepaire de clés de certificat.
-
Ajoutez le certificat CA intermédiaire sur l’appliance NetScaler. Utilisez le certificat de serveur que vous avez créé à l’étape 4 pour signer ce certificat intermédiaire. Pour plus d’informations sur la création d’un certificat CA intermédiaire sur NetScaler, consultez la section Générerun certificat de test.