Gateway

Configuration de l’état des certificats OCSP

La configuration du protocole OCSP (Online Certificate Status Protocol) implique l’ajout d’un répondeur OCSP, la liaison du répondeur OCSP à un certificat signé par une autorité de certification (CA) et la liaison du certificat et de la clé privée à un serveur virtuel SSL (Secure Sockets Layer). Si vous devez lier un certificat et une clé privée différents à un répondeur OCSP que vous avez déjà configuré, vous devez d’abord délier le répondeur, puis lier le répondeur à un autre certificat.

Pour configurer OCSP

  1. Sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Répondeur OCSP.

  2. Dans le volet d’informations, cliquez sur Ajouter.

  3. Dans Nom, saisissez le nom du profil.

  4. Dans URL, tapez l’adresse Web du répondeur OCSP.

    Ce champ est obligatoire. L’adresse Web ne peut pas dépasser 32 caractères.

  5. Pour mettre en cache les réponses OCSP, cliquez sur Cache et dans Délai d’expiration, tapez le nombre de minutes pendant lesquelles Citrix Gateway conserve la réponse.

  6. Sous Request Batching, cliquez sur Activer.

  7. Dans la zone Délai de traitement par lots, spécifiez la durée, en millisecondes, autorisée pour le traitement par lots d’un groupe de demandes OCSP.

    Les valeurs peuvent être comprises entre 0 et 10000. La valeur par défaut est 1.

  8. Dans Produced At Time Skew, saisissez le temps que Citrix Gateway peut utiliser lorsque l’appliance doit vérifier ou accepter la réponse.

  9. Sous Vérification des réponses, sélectionnez Réponses de confiance si vous souhaitez désactiver les vérifications de signature par le répondeur OCSP.

    Si vous activez les réponses d’approbation, ignorez les étapes 8 et 9.

  10. Dans Certificat, sélectionnez le certificat utilisé pour signer les réponses OCSP.

    Si aucun certificat n’est sélectionné, l’autorité de certification à laquelle le répondeur OCSP est lié est utilisée pour vérifier les réponses.

  11. Dans la zone Délai d’expiration de la demande, tapez le nombre de millisecondes d’attente d’une réponse OCSP.

    Cette durée inclut le délai de traitement par lots. Les valeurs peuvent être comprises entre 0 et 120000. La valeur par défaut est 2000.

  12. Dans Signing Certificate, sélectionnez le certificat et la clé privée utilisés pour signer les demandes OCSP. Si vous ne spécifiez pas de certificat et de clé privée, les demandes ne sont pas signées.

  13. Pour activer l’extension Numéro utilisé une fois (nonce), sélectionnez Nonce.

  14. Pour utiliser un certificat client, cliquez sur Insertion de certificat client.

  15. Cliquez sur Create, puis cliquez sur Close.

Configuration de l’état des certificats OCSP