Citrix SD-WAN

Authentification par certificats

Citrix SD-WAN garantit que des chemins sécurisés sont établis entre les appliances du réseau SD-WAN à l’aide de techniques de sécurité telles que le chiffrement réseau et les tunnels IPSec de chemin virtuel. Outre les mesures de sécurité existantes, l’authentification basée sur des certificats est introduite dans Citrix SD-WAN 11.0.2.

Authentification de certificat, permet aux organisations d’utiliser des certificats émis par leur autorité de certification privée pour authentifier les appliances. Les appliances sont authentifiées avant d’établir les chemins virtuels. Par exemple, si un dispositif de branche tente de se connecter au centre de données et que le certificat de la branche ne correspond pas au certificat attendu par le centre de données, le chemin d’accès virtuel n’est pas établi.

Le certificat émis par l’autorité de certification lie une clé publique au nom de l’appliance. La clé publique fonctionne avec la clé privée correspondante possédée par l’appliance identifiée par le certificat.

Pour activer l’authentification de l’appliance, dans l’éditeur de configuration, accédez à Global > Paramètres réseau et sélectionnez Activer l’authentification de l’appliance .

Activer l'authentification du matériel

Une fois la configuration préparée et appliquée, une nouvelle option d’ authentification de certificat est répertoriée sous Configuration > Virtual WAN.

Vous pouvez gérer tous les certificats utilisés pour l’authentification par chemin d’accès virtuel à partir de la page Authentification des certificats .

Authentification par certificats

Remarque

Si vous mettez à niveau le logiciel de l’appliance du SD-WAN version 11.0 vers la version 11.1 ou ultérieure, décochez l’option Activer l’authentification du matériel et effectuez la mise à niveau logicielle. Une fois le processus de mise à niveau terminé, sélectionnez l’option Activer l’authentification du matériel.

Certificat installé

La section Certificat installé fournit un résumé du certificat installé sur l’appliance. L’appliance utilise ce certificat pour s’identifier au sein du réseau.

La section Délivré à fournit des détails sur la personne à qui le certificat a été émis. Le nom commun du certificat correspond au nom de l’appliance, car le certificat est lié au nom de l’appliance. La section Émetteur fournit les détails de l’autorité de signature du certificat, qui a signé le certificat. Les détails du certificat comprennent l’empreinte digitale du certificat, le numéro de série et la période de validité du certificat.

Certificat installé

Charger le bundle d’identité

Le bundle Identity inclut une clé privée et le certificat associé à la clé privée. Vous pouvez télécharger le certificat de l’appliance émis par l’autorité de certification dans l’appliance. Le lot de certificats est un fichier PKCS 12, avec l’extension .p12. Vous pouvez choisir de le protéger avec un mot de passe. Si vous laissez le champ du mot de passe vide, il est traité comme aucune protection par mot de passe.

Charger le bundle d'identité

Charger le bundle d’autorité de certification

Téléchargez le bundle PKCS 12 correspondant à l’autorité de signature de certificat. Le bundle d’autorité de certification comprend la chaîne complète des signatures, la racine et toutes les autorités signataires intermédiaires.

Télécharger l'ensemble ca

Charger des certificats réseau

Créer une demande de signature de certification

L’appliance peut générer une certification non signée et créer une demande de signature de certificat (CSR). L’autorité de certification peut ensuite télécharger le CSR à partir de l’appliance, le signer et le télécharger à nouveau au format PEM ou DER. Il est utilisé comme certificat d’identité pour l’appliance. Pour créer une demande de signature de certificat pour une appliance, indiquez le nom commun de l’appliance, les détails de l’organisation et l’adresse.

Demande de signature de certificat

Gestionnaire de liste de révocation de certificats

Une liste de révocation de certificats (LCR) est une liste publiée de numéros de série de certificats qui ne sont plus valides sur le réseau. Le fichier CRL est régulièrement téléchargé et stocké localement sur toute l’appliance. Lorsqu’un certificat est authentifié, le répondeur examine la liste de révocation pour voir si le certificat d’initiateurs a déjà été révoqué. Citrix SD-WAN prend actuellement en charge les LCR version 1 au format PEM et DER.

Pour activer la liste de révocation de révocation de révocation de révocation, sélectionnez l’option Indiquez l’emplacement où le fichier de liste de révocation de révocation de révocation est Les emplacements HTTP, HTTPS et FTP sont pris en charge. Spécifiez l’intervalle de temps pour vérifier et télécharger le fichier CRL, la plage est de 1 à 1440 minutes.

Liste de révocation de certificats

Remarque

La période de réauthentification pour un chemin virtua1 peut être comprise entre 10 et 15 minutes, si l’intervalle de mise à jour de la liste de révocation de révocation de révocation est plus courte, la liste de listes de révocation de révocation de révocation de révocation peut inclure un numéro de série actuellement actif. Rendre un certificat révoqué activement disponible sur votre réseau pour une courte durée.

Authentification par certificats