Magasin de certificats d’interception SSL

Un certificat SSL, qui fait partie intégrante de toute transaction SSL, est un formulaire de données numériques (X509) qui identifie une entreprise (domaine) ou un individu. Un certificat SSL est délivré par une autorité de certification (CA). Une AC peut être privée ou publique. Les certificats émis par des autorités de certification publiques, telles que Verisign, sont approuvés par les applications qui effectuent des transactions SSL. Ces applications tiennent à jour une liste d’autorités de certification qu’elles ont confiance.

En tant que proxy de transfert, une appliance Citrix Secure Web Gateway (SWG) effectue le chiffrement et le déchiffrement du trafic entre un client et un serveur. Il agit comme un serveur pour le client (utilisateur) et comme un client pour le serveur. Pour qu’une appliance puisse traiter le trafic HTTPS, elle doit valider l’identité d’un serveur afin d’éviter toute transaction frauduleuse. Par conséquent, en tant que client du serveur d’origine, l’appliance doit vérifier le certificat du serveur d’origine avant de l’accepter. Pour vérifier le certificat d’un serveur, tous les certificats (par exemple, certificats racine et intermédiaire) utilisés pour signer et émettre le certificat de serveur doivent être présents sur l’appliance. Un ensemble de certificats d’autorité de certification par défaut est préinstallé sur une appliance. Le Citrix SWG peut utiliser ces certificats pour vérifier presque tous les certificats d’origine et de serveur courants. Ce jeu par défaut ne peut pas être modifié. Toutefois, si votre déploiement nécessite plus de certificats d’autorité de certification, vous pouvez créer un ensemble de ces certificats et importer le bundle dans l’appliance. Un bundle peut également contenir un seul certificat.

Lorsque vous importez un bundle de certificats sur l’appliance, celle-ci télécharge le bundle à partir de l’emplacement distant et, après avoir vérifié que le bundle contient uniquement des certificats, l’installe sur l’appliance. Vous devez appliquer un ensemble de certificats avant de pouvoir l’utiliser pour valider un certificat de serveur. Vous pouvez également exporter un ensemble de certificats pour modification ou le stocker dans un emplacement hors connexion en tant que sauvegarde.

Importer et appliquer un ensemble de certificats d’autorité de certification sur l’appliance à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

import ssl certBundle <name> <src>
<!--NeedCopy-->
apply ssl certBundle <name>
<!--NeedCopy-->
show ssl certBundle
<!--NeedCopy-->

ARGUMENTS :

Nom :

Nom à affecter à l’ensemble de certificats importé. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). L’exigence suivante s’applique uniquement à l’interface de ligne de commande :

Si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “mon fichier” ou ‘mon fichier’).

Longueur maximale : 31

src :

URL spécifiant le protocole, l’hôte et le chemin d’accès, y compris le nom du fichier, au bundle de certificats à importer ou à exporter. Par exemple, http://www.example.com/cert\_bundle\_file.

REMARQUE : L’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite l’authentification de certificat client pour l’accès.

Longueur maximale : 2047

Exemple :

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
<!--NeedCopy-->
apply ssl certBundle swg-certbundle
<!--NeedCopy-->
show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done
<!--NeedCopy-->

Importez et appliquez un ensemble de certificats d’autorité de certification sur l’appliance à l’aide de l’interface graphique graphique de Citrix SWG

  1. Accédez à Secure Web Gateway > Mise en route > Bundles de certificats.
  2. Procédez comme suit :
    • Sélectionnez un ensemble de certificats dans la liste.
    • Pour ajouter un nouveau paquet de certificats, cliquez sur « + » et indiquez un nom et une URL source. Cliquez sur OK.
  3. Cliquez sur OK.

Supprimez un ensemble de certificats d’autorité de certification de l’appliance à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

remove certBundle <cert bundle name>
<!--NeedCopy-->

Exemple :

remove certBundle mytest-cacert
<!--NeedCopy-->

Exporter un ensemble de certificats d’autorité de certification à partir de l’appliance à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

export certBundle <cert bundle name> <Path to export>
<!--NeedCopy-->

ARGUMENTS :

Nom :

Nom à affecter à l’ensemble de certificats importé. Doit commencer par un caractère alphanumérique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points ( :), à (@), égal à (=) et un trait d’union (-). L’exigence suivante s’applique uniquement à l’interface de ligne de commande :

Si le nom comprend un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “mon fichier” ou ‘mon fichier’).

Longueur maximale : 31

src :

URL spécifiant le protocole, l’hôte et le chemin d’accès, y compris le nom du fichier, au bundle de certificats à importer ou à exporter. Par exemple, http://www.example.com/cert\_bundle\_file.

REMARQUE : L’importation échoue si l’objet à importer se trouve sur un serveur HTTPS qui nécessite l’authentification de certificat client pour l’accès.

Longueur maximale : 2047

Exemple :

export certBundle mytest-cacert http://192.0.2.20/
<!--NeedCopy-->

Importer, appliquer et vérifier un ensemble de certificats de l’autorité de certification à partir du magasin de certificats de l’autorité de certification Mozilla CA

À l’invite de commandes, tapez :

> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done
<!--NeedCopy-->

Pour appliquer le bundle, tapez :

> apply certbundle mozilla_public_ca
Done
<!--NeedCopy-->

Pour vérifier l’ensemble de certificats en cours d’utilisation, tapez :

> sh certbundle | grep mozilla
    Name : mozilla_public_ca (Inuse)
<!--NeedCopy-->

Limitation

Les lots de certificats ne sont pas pris en charge dans une configuration de cluster ou sur une appliance partitionnée.