Listes de révocation de certificat

De temps à autre, les autorités de certification délivrent des listes de révocation de certificats (LCR). Les listes de révocation de certificats contiennent des informations sur les certificats qui ne peuvent plus être approuvés. Par exemple, supposons qu’Ann quitte XYZ Corporation. L’entreprise peut placer le certificat d’Ann sur une liste de révocation de certificats pour l’empêcher de signer des messages avec cette clé.

De même, vous pouvez révoquer un certificat si une clé privée est compromise ou si ce certificat a expiré et qu’un nouveau est en cours d’utilisation. Avant de faire confiance à une clé publique, assurez-vous que le certificat n’apparaît pas sur une liste de révocation de certificats.

Citrix Gateway prend en charge les deux types de CRL suivants :

• LCR qui répertorient les certificats qui sont révoqués ou qui ne sont plus valides
• Protocole de statut de certificat en ligne (OSCP), un protocole Internet utilisé pour obtenir le statut de révocation des certificats X.509

Pour ajouter une liste de révocation de révocation

Avant de configurer la liste de révocation de révocation de révocation de réCitrix Gateway de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation de révocation Dans le cas d’une configuration de haute disponibilité, le fichier CRL doit être présent sur les deux appliances Citrix Gateway et le chemin d’accès au fichier doit être le même sur les deux appliances.

Si vous avez besoin d’actualiser la liste de révocation des droits de révocation, vous pouvez utiliser les paramètres suivants :

• Nom de la liste de révocation de certificats : nom de la liste de révocation de certificats ajoutée sur le Citrix ADC. 31 caractères maximum.
• Fichier CRL : nom du fichier CRL ajouté sur le Citrix ADC. Citrix ADC recherche le fichier CRL dans le répertoire /var/netscaler/ssl par défaut. Maximum 63 caractères.
• URL : 127 caractères maximum
• DN de base : 127 caractères maximum
• DN de liaison : 127 caractères maximum
• Mot de passe : 31 caractères maximum
• Jour (s) : Maximum 31

1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez SSL, puis cliquez sur CRL.
2. Dans le volet d’informations, cliquez sur Ajouter.
3. Dans la boîte de dialogue Ajouter une liste de révocation de révocation de révocation, spécifiez les valeurs suivantes :
   • Nom de la liste de révocation
   • Fichier CRL
   • Format (facultatif)
   • Certificat d’autorité de certification (facultatif)
4. Cliquez sur Create, puis cliquez sur Close. Dans le volet de détails de la LCR, sélectionnez la LCR que vous venez de configurer et vérifiez que les paramètres qui apparaissent en bas de l’écran sont corrects.

Pour configurer l’actualisation automatique des CRL à l’aide de LDAP ou HTTP dans l’utilitaire de configuration

Une LCR est générée et publiée par une autorité de certification périodiquement ou, dans certains cas, immédiatement après la révocation d’un certificat particulier. Citrix vous recommande de mettre régulièrement à jour les listes de révocation de certificats sur l’appliance Citrix Gateway afin de vous protéger contre les clients qui tentent de se connecter à des certificats non valides.

l’appliance Citrix Gateway peut actualiser les listes de révocation de révocation à partir d’un emplacement Web ou d’un répertoire LDAP. Lorsque vous spécifiez des paramètres d’actualisation et un emplacement Web ou un serveur LDAP, la liste de révocation de révocation de révocation ne doit pas être présente sur le disque dur local au moment où vous exécutez la commande. La première actualisation stocke une copie sur le disque dur local, dans le chemin spécifié par le paramètre Fichier CRL. Le chemin d’accès par défaut pour stocker la liste de révocation des droits de révocation est /var/netscaler/ssl.

Paramètres d’actualisation de la liste de révocation de révocation

• Nom de la liste de révocation

  Nom de la liste de révocation de révocation des droits de révocation sur Citrix Gateway.

• Activer l’actualisation automatique des CRL

  Activez ou désactivez l’actualisation automatique des CRL.

• Certificat d’autorité de certification

  Certificat de l’autorité de certification qui a délivré la LCR. Ce certificat d’autorité de certification doit être installé sur l’appliance. Citrix ADC peut mettre à jour les listes de révocation de certificats uniquement à partir des autorités de certification dont les certificats y sont installés.

• Méthode

  Protocole dans lequel obtenir l’actualisation des CRL à partir d’un serveur Web (HTTP) ou d’un serveur LDAP. Valeurs possibles : HTTP, LDAP. Par défaut : HTTP.

• Étendue

  Étendue de l’opération de recherche sur le serveur LDAP. Si l’étendue spécifiée est Base, la recherche est au même niveau que le DN de base. Si l’étendue spécifiée est Un, la recherche s’étend à un niveau inférieur au DN de base.

• IP du serveur

  Adresse IP du serveur LDAP à partir duquel la liste de révocation des droits de révocation est récupérée. Sélectionnez IPv6 pour utiliser une adresse IP IPv6.

• Port

  Numéro de port sur lequel le serveur LDAP ou HTTP communique.

• URL

  URL de l’emplacement Web à partir duquel la liste de révocation des droits de révocation est récupérée.

• DN de base

  DN de base utilisé par le serveur LDAP pour rechercher l’attribut CRL. Remarque : Citrix recommande d’utiliser l’attribut DN de base au lieu du nom de l’émetteur du certificat d’autorité de certification pour rechercher la liste de révocation de certificats dans le serveur LDAP. Le champ Nom de l’émetteur peut ne pas correspondre exactement au DN de la structure d’annuaire LDAP.

• Nom unique de liaison

  Attribut DN de liaison utilisé pour accéder à l’objet CRL dans le référentiel LDAP. Les attributs DN de liaison sont les informations d’identification d’administrateur du serveur LDAP. Configurez ce paramètre pour restreindre l’accès non autorisé aux serveurs LDAP.

• Mot de passe

  Mot de passe administrateur utilisé pour accéder à l’objet CRL dans le référentiel LDAP. Ceci est requis si l’accès au référentiel LDAP est restreint, c’est-à-dire que l’accès anonyme n’est pas autorisé.

• Intervalle

  Intervalle à laquelle l’actualisation de la LCR doit être effectuée. Pour une actualisation de la liste de révocation instantanée, spécifiez l’intervalle NOW. Valeurs possibles : MONTHLY, DAILY, WEEKLY, NOW, NONE.

• Jours

  Le jour où l’actualisation des LCR doit être effectuée. L’option n’est pas disponible si l’intervalle est défini sur DAIDY.

• Durée

  Heure exacte au format 24 heures à laquelle l’actualisation de la LCR doit être effectuée.

• Binaire

  Définissez le mode de récupération des LDAP sur binaire. Valeurs possibles : OUI, NON. Par défaut : NON.

1. Dans le volet de navigation, développez SSL, puis cliquez sur CRL.
2. Sélectionnez la liste de révocation de révocation configurée pour laquelle vous souhaitez mettre à jour les paramètres d’actualisation, puis cliquez sur Ouvrir.
3. Sélectionnez l’option Activer l’actualisation automatique des CRL.
4. Dans le groupe Paramètres d’actualisation automatique des CRL, spécifiez des valeurs pour les paramètres suivants : Remarque : Un astérisque (*) indique un paramètre obligatoire.
   • Méthode
   • Binaire
   • Étendue
   • IP du serveur
   • Port*
   • URL
   • DN de base *
   • Nom unique de liaison
   • Mot de passe
   • Intervalle
   • Jour(s)
   • Durée
5. Cliquez sur Créer. Dans le volet CRL, sélectionnez la liste de CRL que vous venez de configurer et vérifiez que les paramètres qui apparaissent en bas de l’écran sont corrects.