Configuration des certificats intermédiaires

Un certificat intermédiaire est un certificat qui passe entre Citrix Gateway (le certificat de serveur) et un certificat racine (installé sur la machine utilisateur). Un certificat intermédiaire fait partie d’une chaîne.

Certaines organisations délèguent l’émission des certificats pour résoudre les problèmes liés à la dispersion géographique de leurs unités ou pour appliquer des stratégies d’émission différentes selon leurs secteurs d’activité.

La responsabilité de l’émission des certificats peut être déléguée en configurant des autorités de certification (CA) subordonnées. Les autorités de certification peuvent signer leurs propres certificats (c’est-à-dire qu’elles sont auto-signées) ou elles peuvent être signées par une autre autorité de certification. La norme X.509 inclut un modèle de mise en place d’une hiérarchie de CA. Dans ce modèle, comme illustré dans la figure suivante, l’autorité de certification racine se trouve en haut de la hiérarchie et est un certificat auto-signé par l’autorité de certification. Les autorités de certification qui sont directement subordonnées à l’autorité de certification racine possèdent des certificats d’autorité de certification signés par l’autorité de certification racine. Les CA situées sous les CA subordonnées dans la hiérarchie disposent de certificats signés par les CA subordonnées.

Figure 1. Modèle X.509 illustrant la structure hiérarchique d’une chaîne de certificats numériques classique

Si un certificat de serveur est signé par une autorité de certification avec un certificat auto-signé, la chaîne de certificats est composée exactement de deux certificats : le certificat d’entité finale et l’autorité de certification racine. Si un certificat d’utilisateur ou de serveur est signé par une autorité de certification intermédiaire, la chaîne de certificats est plus longue.

La figure suivante montre que les deux premiers éléments sont le certificat d’entité finale (dans ce cas, gwy01.company.com) et le certificat de l’autorité de certification intermédiaire, dans cet ordre. Le certificat de l’autorité de certification intermédiaire est suivi du certificat de son autorité de certification. Cette liste se poursuit jusqu’à ce que le dernier certificat de la liste soit destiné à une autorité de certification racine. Chaque certificat de la chaîne atteste de l’identité du certificat précédent.

Figure 2. Chaîne de certificats numériques classique

Installer un certificat intermédiaire

1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Certificats.
2. Dans le volet d’informations, cliquez sur Installer.
3. Dans Nom de la paire de clés de certificat, tapez le nom du certificat.
4. Sous Détails, dans Nom du fichier de certificat, cliquez sur Parcourir (Appliance) et dans la liste, sélectionnez Local ou Appliance.
5. Accédez au certificat sur votre ordinateur (local) ou sur Citrix Gateway (Appliance).
6. Dans Format de certificat, sélectionnez PEM.
7. Cliquez sur Installer, puis sur Fermer.

Lorsque vous installez un certificat intermédiaire sur Citrix Gateway, il n’est pas nécessaire de spécifier la clé privée ou un mot de passe.

Une fois le certificat installé sur l’appliance, il doit être lié au certificat du serveur.

Lier un certificat intermédiaire à un certificat de serveur

1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Certificats.
2. Dans le volet d’informations, sélectionnez le certificat du serveur, puis dans Action, cliquez sur Lier.
3. En regard de Nom du certificat de l’autorité de certification, sélectionnez le certificat intermédiaire dans la liste, puis cliquez sur OK.