Listes de révocation des certificats
De temps en temps, les autorités de certification (CA) émettent des listes de révocation de certificats (CRL). Les CRL contiennent des informations sur les certificats qui ne peuvent plus être approuvés. Par exemple, supposons qu’Ann quitte XYZ Corporation. L’entreprise peut placer le certificat d’Ann sur une CRL pour l’empêcher de signer des messages avec cette clé.
De même, vous pouvez révoquer un certificat si une clé privée est compromise ou si ce certificat a expiré et qu’un nouveau certificat est en cours d’utilisation. Avant d’approuver une clé publique, assurez-vous que le certificat n’apparaît pas sur une liste de révocation de certificats.
Citrix Gateway prend en charge les deux types de CRL suivants :
- Liste des listes de révocation de certificats qui répertorient les certificats révoqués ou qui ne sont plus valides
- Online Certificate Status Protocol (OSCP), un protocole Internet utilisé pour obtenir l’état de révocation des certificats X.509
Pour ajouter une liste de récrl :
Avant de configurer la CRL sur l’appliance Citrix Gateway, assurez-vous que le fichier CRL est stocké localement sur l’appliance. Dans le cas d’une configuration haute disponibilité, le fichier CRL doit être présent sur les deux appliances Citrix Gateway et le chemin d’accès au répertoire du fichier doit être le même sur les deux appliances.
Si vous devez actualiser la CRL, vous pouvez utiliser les paramètres suivants :
- Nom de la CRL : nom de la CRL ajoutée sur Citrix ADC. 31 caractères maximum.
- Fichier CRL : nom du fichier CRL ajouté sur Citrix ADC. Par défaut, Citrix ADC recherche le fichier CRL dans le répertoire /var/netscaler/ssl. 63 caractères maximum.
- URL : 127 caractères maximum
- DN de base : 127 caractères maximum
- Bind DN : 127 caractères maximum
- Mot de passe : 31 caractères maximum
- Nombre de jours : 31 jours maximum
- Dans l’utilitaire de configuration, sous l’onglet Configuration, développez SSL, puis cliquez sur CRL.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans la boîte de dialogue Add CRL, spécifiez les valeurs des éléments suivants :
- Nom de la CRL
- Fichier CRL
- Format (facultatif)
- Certificat CA (facultatif)
- Cliquez sur Create, puis cliquez sur Close. Dans le volet de détails de la CRL, sélectionnez la CRL que vous avez configurée et vérifiez que les paramètres qui apparaissent en bas de l’écran sont corrects.
Pour configurer l’actualisation automatique des LCR à l’aide de LDAP ou de HTTP dans l’interface graphique, procédez comme suit :
Une liste de révocation de certificats est générée et publiée par une autorité de certification périodiquement ou, parfois, immédiatement après la révocation d’un certificat particulier. Citrix vous recommande de mettre régulièrement à jour les listes de résonance de certificats sur l’appliance Citrix Gateway pour assurer la protection contre les clients qui tentent de se connecter avec des certificats qui ne sont pas valides.
L’appliance Citrix Gateway peut actualiser les listes de résonance de réutilisation à partir d’un emplacement Web ou d’un annuaire LDAP. Lorsque vous spécifiez des paramètres d’actualisation et un emplacement Web ou un serveur LDAP, il n’est pas nécessaire que la CRL soit présente sur le disque dur local au moment de l’exécution de la commande. La première actualisation stocke une copie sur le disque dur local, dans le chemin spécifié par le paramètre Fichier CRL. Le chemin d’accès par défaut pour le stockage de la CRL est /var/netscaler/ssl.
Paramètres d’actualisation CRL
-
Nom de la CRL
Le nom de la CRL en cours d’actualisation sur Citrix Gateway.
-
Activer l’actualisation automatique des LCR
Activez ou désactivez l’actualisation automatique des LCR.
-
Certificat CA
Le certificat de l’autorité de certification qui a émis la CRL. Ce certificat d’autorité de certification doit être installé sur l’appliance. Citrix ADC peut mettre à jour les listes de révocation de certificats uniquement à partir des autorités de certification sur lesquelles les certificats sont installés.
-
Méthode
Protocole permettant d’obtenir l’actualisation de la liste de rétention de certificat à partir d’un serveur Web (HTTP) ou d’un serveur LDAP. Valeurs possibles : HTTP, LDAP. Par défaut : HTTP.
-
Étendue
L’étendue de l’opération de recherche sur le serveur LDAP. Si la portée spécifiée est Base, la recherche est au même niveau que le nom unique de base. Si la portée spécifiée est One, la recherche s’étend jusqu’à un niveau inférieur au DN de base.
-
Server IP
Adresse IP du serveur LDAP à partir duquel la CRL est récupérée. Sélectionnez IPv6 pour utiliser une adresse IP IPv6.
-
Port
Numéro de port sur lequel le serveur LDAP ou HTTP communique.
-
Adresse URL
URL de l’emplacement Web à partir duquel la CRL est récupérée.
-
DN de base
DN de base utilisé par le serveur LDAP pour rechercher l’attribut CRL. Remarque : Citrix recommande d’utiliser l’attribut DN de base au lieu du nom de l’émetteur du certificat de l’autorité de certification pour rechercher la liste de rétention de certificats dans le serveur LDAP. Le champ Issuer-Name peut ne pas correspondre exactement au nom unique de la structure d’annuaire LDAP.
-
DN de liaison
L’attribut Bind DN est utilisé pour accéder à l’objet CRL dans le référentiel LDAP. Les attributs de nom unique de liaison sont les informations d’identification de l’administrateur du serveur LDAP. Configurez ce paramètre pour limiter l’accès non autorisé aux serveurs LDAP.
-
Mot de passe
Mot de passe administrateur utilisé pour accéder à l’objet CRL dans le référentiel LDAP. Un mot de passe est requis si l’accès au référentiel LDAP est restreint, c’est-à-dire que l’accès anonyme n’est pas autorisé.
-
Intervalle
Intervalle auquel l’actualisation de la LCR doit être effectuée. Pour une actualisation instantanée des LCR, spécifiez l’intervalle sur MAINTENANT. Valeurs possibles : MENSUEL, QUOTIDIEN, HEBDOMADAIRE, MAINTENANT, AUCUN.
-
Jours
Le jour où l’actualisation de la LCR doit être effectuée. Cette option n’est pas disponible si l’intervalle est défini sur QUOTIDIEN.
-
Heure
Heure exacte, au format 24 heures, à laquelle l’actualisation de la LCR doit être effectuée.
-
Binaire
Définissez le mode de récupération de la liste de révocation de révocation de révocation de révocation de révocation Valeurs possibles : OUI, NON. Par défaut : NON.
- Dans le volet de navigation, développez SSL, puis cliquez sur CRL.
- Sélectionnez la CRL configurée pour laquelle vous souhaitez mettre à jour les paramètres d’actualisation, puis cliquez sur Ouvrir.
- Sélectionnez l’option Activer l’actualisation automatique des LCR.
- Dans le groupe Paramètres d’actualisation automatique de la LCR, spécifiez les valeurs des paramètres suivants :
Remarque : Un astérisque (*) indique un paramètre obligatoire.
- Méthode
- Binaire
- Étendue
- Server IP
- Port*
- Adresse URL
- DN de base*
- DN de liaison
- Mot de passe
- Intervalle
- Jours
- Heure
- Cliquez sur Créer. Dans le volet CRL, sélectionnez la CRL que vous avez configurée et vérifiez que les paramètres qui apparaissent en bas de l’écran sont corrects.
Surveiller l’état des certificats avec OCSP
Le protocole OCSP (Online Certificate Status Protocol) est un protocole Internet utilisé pour déterminer l’état d’un certificat SSL client. Citrix Gateway prend en charge OCSP tel que défini dans la RFC 2560. OCSP offre des avantages significatifs par rapport aux listes de révocation de certificats (CRL) en termes d’informations en temps opportun. Le statut de révocation à jour d’un certificat client est particulièrement utile dans les transactions impliquant des sommes d’argent importantes et des transactions boursières de grande valeur. Il utilise également moins de ressources système et réseau. La mise en œuvre d’OCSP par Citrix Gateway inclut la mise en cache des demandes et des réponses.
Implémentation d’OCSP par Citrix Gateway
La validation OCSP sur une appliance Citrix Gateway commence lorsque Citrix Gateway reçoit un certificat client lors d’une connexion SSL. Pour valider le certificat, Citrix Gateway crée une demande OCSP et la transmet au répondeur OCSP. Pour ce faire, Citrix Gateway extrait l’URL du répondeur OCSP du certificat client ou utilise une URL configurée localement. La transaction est suspendue jusqu’à ce que Citrix Gateway évalue la réponse du serveur et détermine s’il faut autoriser la transaction ou la rejeter. Si la réponse du serveur est retardée au-delà de l’heure configurée et qu’aucun autre répondeur n’est configuré, Citrix Gateway autorise la transaction ou affiche une erreur, selon que vous avez défini la vérification OCSP sur facultative ou obligatoire. Citrix Gateway prend en charge le traitement par lots des demandes OCSP et la mise en cache des réponses OCSP afin de réduire la charge sur le répondeur OCSP et de fournir des réponses plus rapides.
traitement par lots de demandes OCSP
Chaque fois que Citrix Gateway reçoit un certificat client, il envoie une demande au répondeur OCSP. Pour éviter de surcharger le répondeur OCSP, Citrix Gateway peut interroger l’état de plusieurs certificats clients dans la même demande. Pour que le traitement par lots de demandes fonctionne efficacement, vous devez définir un délai d’expiration afin que le traitement d’un seul certificat ne soit pas retardé pendant l’attente de la formation d’un lot.
Mise en cache des réponses OCSP
La mise en cache des réponses reçues du répondeur OCSP permet de répondre plus rapidement à l’utilisateur et de réduire la charge sur le répondeur OCSP. Lors de la réception de l’état de révocation d’un certificat client de la part du répondeur OCSP, Citrix Gateway met en cache la réponse localement pendant une durée prédéfinie. Lorsqu’un certificat client est reçu au cours d’une connexion SSL, Citrix Gateway vérifie d’abord son cache local à la recherche d’une entrée pour ce certificat. Si une entrée est toujours valide (dans la limite du délai d’expiration du cache), elle est évaluée et le certificat client est accepté ou rejeté. Si aucun certificat n’est trouvé, Citrix Gateway envoie une demande au répondeur OCSP et stocke la réponse dans son cache local pendant une durée configurée.
Configurer l’état du certificat OCSP
La configuration d’un protocole OCSP (Online Certificate Status Protocol) implique l’ajout d’un répondeur OCSP, la liaison du répondeur OCSP à un certificat signé d’une autorité de certification (CA) et la liaison du certificat et de la clé privée à un serveur virtuel SSL (Secure Sockets Layer). Si vous devez lier un certificat et une clé privée différents à un répondeur OCSP que vous avez déjà configuré, vous devez d’abord délier le répondeur, puis lier le répondeur à un autre certificat.
Pour configurer OCSP
-
Sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Répondeur OCSP.
-
Dans le volet d’informations, cliquez sur Ajouter.
-
Dans Nom, saisissez le nom du profil.
-
Dans URL, tapez l’adresse Web du répondeur OCSP.
Ce champ est obligatoire. L’adresse Web ne peut pas dépasser 32 caractères.
-
Pour mettre en cache les réponses OCSP, cliquez sur Cache et dans Délai d’expiration, tapez le nombre de minutes pendant lesquelles Citrix Gateway conserve la réponse.
-
Sous Request Batching, cliquez sur Activer.
-
Dans la zone Délai de traitement par lots, spécifiez la durée, en millisecondes, autorisée pour le traitement par lots d’un groupe de demandes OCSP.
Les valeurs peuvent être comprises entre 0 et 10000. La valeur par défaut est 1.
-
Dans Procéder At Time Skew, tapez le temps que Citrix Gateway peut utiliser lorsque l’appliance doit vérifier ou accepter la réponse.
-
Sous Vérification des réponses, sélectionnez Réponses de confiance si vous souhaitez désactiver les vérifications de signature par le répondeur OCSP.
Si vous activez les réponses d’approbation, ignorez les étapes 8 et 9.
-
Dans Certificat, sélectionnez le certificat utilisé pour signer les réponses OCSP.
Si aucun certificat n’est sélectionné, l’autorité de certification à laquelle le répondeur OCSP est lié est utilisée pour vérifier les réponses.
-
Dans la zone Délai d’expiration de la demande, tapez le nombre de millisecondes d’attente d’une réponse OCSP.
Cette durée inclut le délai de traitement par lots. Les valeurs peuvent être comprises entre 0 et 120000. La valeur par défaut est 2000.
-
Dans Signing Certificate, sélectionnez le certificat et la clé privée utilisés pour signer les demandes OCSP. Si vous ne spécifiez pas de certificat et de clé privée, les demandes ne sont pas signées.
-
Pour activer le numéro utilisé une fois,
(nonce) extension
sélectionnez Nonce. -
Pour utiliser un certificat client, cliquez sur Insertion de certificat client.
-
Cliquez sur Create, puis cliquez sur Close.