Gateway

Listes de révocation de certificat

De temps en temps, les autorités de certification (CA) émettent des listes de révocation de certificats (CRL). Les CRL contiennent des informations sur les certificats qui ne peuvent plus être approuvés. Par exemple, supposons qu’Ann quitte XYZ Corporation. L’entreprise peut placer le certificat d’Ann sur une CRL pour l’empêcher de signer des messages avec cette clé.

De même, vous pouvez révoquer un certificat si une clé privée est compromise ou si ce certificat a expiré et qu’un nouveau certificat est en cours d’utilisation. Avant d’approuver une clé publique, assurez-vous que le certificat n’apparaît pas sur une liste de révocation de certificats.

Citrix Gateway prend en charge les deux types de CRL suivants :

  • Liste des listes de révocation de certificats qui répertorient les certificats révoqués ou qui ne sont plus valides
  • Online Certificate Status Protocol (OSCP), un protocole Internet utilisé pour obtenir l’état de révocation des certificats X.509

Pour ajouter une CRL

Avant de configurer la CRL sur l’appliance Citrix Gateway, assurez-vous que le fichier CRL est stocké localement sur l’appliance. Dans le cas d’une configuration haute disponibilité, le fichier CRL doit être présent sur les deux appliances Citrix Gateway et le chemin d’accès au répertoire du fichier doit être le même sur les deux appliances.

Si vous devez actualiser la CRL, vous pouvez utiliser les paramètres suivants :

  • Nom de la CRL : nom de la CRL ajoutée sur Citrix ADC. 31 caractères maximum.
  • Fichier CRL : nom du fichier CRL ajouté sur Citrix ADC. Par défaut, Citrix ADC recherche le fichier CRL dans le répertoire /var/netscaler/ssl. 63 caractères maximum.
  • URL : 127 caractères maximum
  • DN de base : 127 caractères maximum
  • Bind DN : 127 caractères maximum
  • Mot de passe : 31 caractères maximum
  • Jour (s) : Maximum 31
  1. Dans l’utilitaire de configuration, dans l’onglet Configuration, développez SSL, puis cliquez sur CRL.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la boîte de dialogue Add CRL, spécifiez les valeurs des éléments suivants :
    • Nom de la CRL
    • Fichier CRL
    • Format (facultatif)
    • Certificat CA (facultatif)
  4. Cliquez sur Create, puis cliquez sur Close. Dans le volet de détails de la CRL, sélectionnez la CRL que vous venez de configurer et vérifiez que les paramètres qui apparaissent en bas de l’écran sont corrects.

Pour configurer l’actualisation automatique de la CRL à l’aide de LDAP ou HTTP dans l’utilitaire de configuration

Une CRL est générée et publiée par une autorité de certification périodiquement ou, dans certains cas, immédiatement après la révocation d’un certificat particulier. Citrix vous recommande de mettre régulièrement à jour les listes de résonance de certificats sur l’appliance Citrix Gateway pour assurer la protection contre les clients qui tentent de se connecter avec des certificats qui ne sont pas valides.

L’appliance Citrix Gateway peut actualiser les listes de résonance de réutilisation à partir d’un emplacement Web ou d’un annuaire LDAP. Lorsque vous spécifiez des paramètres d’actualisation et un emplacement Web ou un serveur LDAP, il n’est pas nécessaire que la CRL soit présente sur le disque dur local au moment de l’exécution de la commande. La première actualisation stocke une copie sur le disque dur local, dans le chemin spécifié par le paramètre Fichier CRL. Le chemin d’accès par défaut pour le stockage de la CRL est /var/netscaler/ssl.

Paramètres d’actualisation de la CRL

  • Nom de la CRL

    Le nom de la CRL en cours d’actualisation sur Citrix Gateway.

  • Activer l’actualisation automatique des LCR

    Activez ou désactivez l’actualisation automatique des LCR.

  • Certificat CA

    Le certificat de l’autorité de certification qui a émis la CRL. Ce certificat d’autorité de certification doit être installé sur l’appliance. Citrix ADC peut mettre à jour les listes de révocation de certificats uniquement à partir des autorités de certification sur lesquelles les certificats sont installés.

  • Méthode

    Protocole permettant d’obtenir l’actualisation de la liste de rétention de certificat à partir d’un serveur Web (HTTP) ou d’un serveur LDAP. Valeurs possibles : HTTP, LDAP. Par défaut : HTTP.

  • Étendue

    L’étendue de l’opération de recherche sur le serveur LDAP. Si la portée spécifiée est Base, la recherche est au même niveau que le nom unique de base. Si la portée spécifiée est One, la recherche s’étend jusqu’à un niveau inférieur au DN de base.

  • Server IP

    Adresse IP du serveur LDAP à partir duquel la CRL est récupérée. Sélectionnez IPv6 pour utiliser une adresse IP IPv6.

  • Port

    Numéro de port sur lequel le serveur LDAP ou HTTP communique.

  • Adresse URL

    URL de l’emplacement Web à partir duquel la CRL est récupérée.

  • DN de base

    Le DN de base utilisé par le serveur LDAP pour rechercher l’attribut CRL. Remarque : Citrix recommande d’utiliser l’attribut DN de base au lieu du nom de l’émetteur du certificat de l’autorité de certification pour rechercher la liste de rétention de certificats dans le serveur LDAP. Le champ Issuer-Name peut ne pas correspondre exactement au nom unique de la structure d’annuaire LDAP.

  • DN de liaison

    L’attribut bind DN utilisé pour accéder à l’objet CRL dans le référentiel LDAP. Les attributs de nom unique de liaison sont les informations d’identification de l’administrateur du serveur LDAP. Configurez ce paramètre pour limiter l’accès non autorisé aux serveurs LDAP.

  • Mot de passe

    Mot de passe administrateur utilisé pour accéder à l’objet CRL dans le référentiel LDAP. Cela est nécessaire si l’accès au référentiel LDAP est restreint, c’est-à-dire si l’accès anonyme n’est pas autorisé.

  • Intervalle

    Intervalle auquel l’actualisation de la CRL doit être effectuée. Pour une actualisation instantanée des LCR, spécifiez l’intervalle sur MAINTENANT. Valeurs possibles : MENSUEL, QUOTIDIEN, HEBDOMADAIRE, MAINTENANT, AUCUN.

  • Jours

    Le jour où l’actualisation de la CRL doit être effectuée. L’option n’est pas disponible si l’intervalle est réglé sur QUOTIDIEN.

  • Heure

    Heure exacte au format 24 heures à laquelle l’actualisation de la CRL doit être effectuée.

  • Binaire

    Définissez le mode de récupération de la liste de révocation de révocation de révocation de révocation de révocation Valeurs possibles : OUI, NON. Par défaut : NON.

  1. Dans le volet de navigation, développez SSL, puis cliquez sur CRL.
  2. Sélectionnez la CRL configurée pour laquelle vous souhaitez mettre à jour les paramètres d’actualisation, puis cliquez sur Ouvrir.
  3. Sélectionnez l’option Activer l’actualisation automatique des LCR.
  4. Dans le groupe Paramètres d’actualisation automatique de la LCR, spécifiez les valeurs des paramètres suivants : Remarque : Un astérisque (*) indique un paramètre obligatoire.
    • Méthode
    • Binaire
    • Étendue
    • Server IP
    • Port*
    • Adresse URL
    • DN de base*
    • DN de liaison
    • Mot de passe
    • Intervalle
    • Jour (s)
    • Heure
  5. Cliquez sur Créer. Dans le volet CRL, sélectionnez la CRL que vous venez de configurer et vérifiez que les paramètres qui apparaissent en bas de l’écran sont corrects.
Listes de révocation de certificat