Configuration de certificats intermédiaires
Un certificat intermédiaire est un certificat qui passe entre Citrix Gateway (le certificat de serveur) et un certificat racine (installé sur la machine utilisateur). Un certificat intermédiaire fait partie d’une chaîne.
Certaines organisations délèguent l’émission des certificats pour résoudre les problèmes liés à la dispersion géographique de leurs unités ou pour appliquer des stratégies d’émission différentes selon leurs secteurs d’activité.
La responsabilité de l’émission des certificats peut être déléguée en configurant des autorités de certification (CA) subordonnées. Les CA peuvent signer leurs propres certificats (c’est-à-dire qu’ils seront auto-signés) ou bien ces certificats peuvent être signés par une autre CA. La norme X.509 inclut un modèle de mise en place d’une hiérarchie de CA. Dans ce modèle, comme le montre la figure suivante, l’autorité de certification racine se trouve au sommet de la hiérarchie et est un certificat auto-signé par l’autorité de certification. Les CA directement subordonnées à la CA racine disposent de certificats CA signés par la CA racine. Les CA situées sous les CA subordonnées dans la hiérarchie disposent de certificats signés par les CA subordonnées.
Figure 1. Modèle X.509 illustrant la structure hiérarchique d’une chaîne de certificats numériques classique
Si un certificat de serveur est signé par une CA avec un certificat auto-signé, la chaîne de certificats compte exactement deux certificats : le certificat de l’entité finale et le certificat d’autorité de certification racine. Si le certificat d’un utilisateur ou d’un serveur est signé par un certificat de CA intermédiaire, la chaîne de certificats est plus longue.
La figure suivante montre que les deux premiers éléments sont le certificat de l’entité finale (ici gwy01.entreprise.com) et le certificat de la CA intermédiaire, dans cet ordre. Le certificat de la CA intermédiaire est suivi du certificat de la CA correspondante. Cette liste se poursuit jusqu’à ce que le dernier certificat dans la liste soit celui d’une CA racine. Chaque certificat de la chaîne atteste de l’identité du certificat précédent.
Figure 2. Chaîne de certificats numériques classique
Pour installer un certificat intermédiaire
- Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Certificats.
- Dans le volet d’informations, cliquez sur Installer.
- Dans Nom de la paire de clés de certificat, tapez le nom du certificat.
- Sous Détails, dans Nom du fichier de certificat, cliquez sur Parcourir (appliance) et dans la zone de menu, sélectionnez Local ou Appliance.
- Accédez au certificat sur votre ordinateur (local) ou sur Citrix Gateway (Appliance).
- Dans Format de certificat, sélectionnez PEM.
- Cliquez sur Installer, puis sur Fermer.
Lorsque vous installez un certificat intermédiaire sur Citrix Gateway, il n’est pas nécessaire de spécifier la clé privée ou un mot de passe.
Une fois le certificat installé sur l’appliance, il doit être lié au certificat du serveur.
Pour lier un certificat intermédiaire à un certificat de serveur
- Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Certificats.
- Dans le volet d’informations, sélectionnez le certificat du serveur, puis dans Action, cliquez sur Lier.
- En regard de Nom du certificat de l’autorité de certification, sélectionnez le certificat intermédiaire dans la liste, puis cliquez sur OK.