Listes de révocation des certificats
De temps en temps, les autorités de certification (CA) émettent des listes de révocation de certificats (CRL). Les CRL contiennent des informations sur les certificats qui ne peuvent plus être approuvés. Par exemple, supposons qu’Ann quitte XYZ Corporation. L’entreprise peut placer le certificat d’Ann sur une CRL pour l’empêcher de signer des messages avec cette clé.
De même, vous pouvez révoquer un certificat si une clé privée est compromise ou si ce certificat a expiré et qu’un nouveau certificat est en cours d’utilisation. Avant d’approuver une clé publique, assurez-vous que le certificat n’apparaît pas sur une liste de révocation de certificats.
NetScaler Gateway prend en charge les deux types de CRL suivants :
- Liste des listes de révocation de certificats qui répertorient les certificats révoqués ou qui ne sont plus valides
- Online Certificate Status Protocol (OSCP), un protocole Internet utilisé pour obtenir l’état de révocation des certificats X.509
Pour ajouter une liste de récrl :
Avant de configurer la CRL sur l’appliance NetScaler Gateway, assurez-vous que le fichier CRL est stocké localement sur l’appliance. Dans le cas d’une configuration à haute disponibilité, le fichier CRL doit être présent sur les deux appliances NetScaler Gateway et le chemin du répertoire vers le fichier doit être le même sur les deux appliances.
Si vous devez actualiser la CRL, vous pouvez utiliser les paramètres suivants :
- Nom de la CRL : nom de la CRL ajoutée sur NetScaler. 31 caractères maximum.
- Fichier CRL : nom du fichier CRL ajouté sur NetScaler. NetScaler recherche le fichier CRL dans le répertoire /var/netscaler/ssl par défaut. 63 caractères maximum.
- URL : 127 caractères maximum
- DN de base : 127 caractères maximum
- Bind DN : 127 caractères maximum
- Mot de passe : 31 caractères maximum
- Nombre de jours : 31 jours maximum
- Dans l’utilitaire de configuration, sous l’onglet Configuration, développez SSL, puis cliquez sur CRL.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans la boîte de dialogue Add CRL, spécifiez les valeurs des éléments suivants :
- Nom de la CRL
- Fichier CRL
- Format (facultatif)
- Certificat CA (facultatif)
- Cliquez sur Create, puis cliquez sur Close. Dans le volet de détails de la CRL, sélectionnez la CRL que vous avez configurée et vérifiez que les paramètres qui apparaissent en bas de l’écran sont corrects.
Pour configurer l’actualisation automatique des LCR à l’aide de LDAP ou de HTTP dans l’interface graphique, procédez comme suit :
Une liste de révocation de certificats est générée et publiée par une autorité de certification périodiquement ou, parfois, immédiatement après la révocation d’un certificat particulier. Citrix vous recommande de mettre régulièrement à jour les CRL sur l’appliance NetScaler Gateway pour vous protéger contre les clients qui tentent de se connecter avec des certificats non valides.
L’appliance NetScaler Gateway peut actualiser les CRL à partir d’un emplacement Web ou d’un annuaire LDAP. Lorsque vous spécifiez des paramètres d’actualisation et un emplacement Web ou un serveur LDAP, il n’est pas nécessaire que la CRL soit présente sur le disque dur local au moment de l’exécution de la commande. La première actualisation stocke une copie sur le disque dur local, dans le chemin spécifié par le paramètre Fichier CRL. Le chemin d’accès par défaut pour le stockage de la CRL est /var/netscaler/ssl.
Paramètres d’actualisation CRL
-
Nom de la CRL
Le nom de la CRL en cours d’actualisation sur NetScaler Gateway.
-
Activer l’actualisation automatique des LCR
Activez ou désactivez l’actualisation automatique des LCR.
-
Certificat CA
Le certificat de l’autorité de certification qui a émis la CRL. Ce certificat d’autorité de certification doit être installé sur l’appliance. NetScaler ne peut mettre à jour les CRL qu’à partir des autorités de certification dont les certificats y sont installés.
-
Méthode
Protocole permettant d’obtenir l’actualisation de la liste de rétention de certificat à partir d’un serveur Web (HTTP) ou d’un serveur LDAP. Valeurs possibles : HTTP, LDAP. Par défaut : HTTP.
-
Étendue
L’étendue de l’opération de recherche sur le serveur LDAP. Si la portée spécifiée est Base, la recherche est au même niveau que le nom unique de base. Si la portée spécifiée est One, la recherche s’étend jusqu’à un niveau inférieur au DN de base.
-
Server IP
Adresse IP du serveur LDAP à partir duquel la CRL est récupérée. Sélectionnez IPv6 pour utiliser une adresse IP IPv6.
-
Port
Numéro de port sur lequel le serveur LDAP ou HTTP communique.
-
Adresse URL
URL de l’emplacement Web à partir duquel la CRL est récupérée.
-
DN de base
DN de base utilisé par le serveur LDAP pour rechercher l’attribut CRL. Remarque : Citrix recommande d’utiliser l’attribut DN de base au lieu du nom de l’émetteur du certificat de l’autorité de certification pour rechercher la liste de rétention de certificats dans le serveur LDAP. Le champ Issuer-Name peut ne pas correspondre exactement au nom unique de la structure d’annuaire LDAP.
-
DN de liaison
L’attribut Bind DN est utilisé pour accéder à l’objet CRL dans le référentiel LDAP. Les attributs de nom unique de liaison sont les informations d’identification de l’administrateur du serveur LDAP. Configurez ce paramètre pour limiter l’accès non autorisé aux serveurs LDAP.
-
Mot de passe
Mot de passe administrateur utilisé pour accéder à l’objet CRL dans le référentiel LDAP. Un mot de passe est requis si l’accès au référentiel LDAP est restreint, c’est-à-dire que l’accès anonyme n’est pas autorisé.
-
Intervalle
Intervalle auquel l’actualisation de la LCR doit être effectuée. Pour une actualisation instantanée des LCR, spécifiez l’intervalle sur MAINTENANT. Valeurs possibles : MENSUEL, QUOTIDIEN, HEBDOMADAIRE, MAINTENANT, AUCUN.
-
Jours
Le jour où l’actualisation de la LCR doit être effectuée. Cette option n’est pas disponible si l’intervalle est défini sur QUOTIDIEN.
-
Heure
Heure exacte, au format 24 heures, à laquelle l’actualisation de la LCR doit être effectuée.
-
Binaire
Définissez le mode de récupération de la liste de révocation de révocation de révocation de révocation de révocation Valeurs possibles : OUI, NON. Par défaut : NON.
- Dans le volet de navigation, développez SSL, puis cliquez sur CRL.
- Sélectionnez la CRL configurée pour laquelle vous souhaitez mettre à jour les paramètres d’actualisation, puis cliquez sur Ouvrir.
- Sélectionnez l’option Activer l’actualisation automatique des LCR.
- Dans le groupe Paramètres d’actualisation automatique de la LCR, spécifiez les valeurs des paramètres suivants :
Remarque : Un astérisque (*) indique un paramètre obligatoire.
- Méthode
- Binaire
- Étendue
- Server IP
- Port*
- Adresse URL
- DN de base*
- DN de liaison
- Mot de passe
- Intervalle
- Jours
- Heure
- Cliquez sur Créer. Dans le volet CRL, sélectionnez la CRL que vous avez configurée et vérifiez que les paramètres qui apparaissent en bas de l’écran sont corrects.
Surveiller l’état des certificats avec OCSP
Le protocole OCSP (Online Certificate Status Protocol) est un protocole Internet utilisé pour déterminer l’état d’un certificat SSL client. NetScaler Gateway prend en charge l’OCSP tel que défini dans la RFC 2560. OCSP offre des avantages significatifs par rapport aux listes de révocation de certificats (CRL) en termes d’informations en temps opportun. Le statut de révocation à jour d’un certificat client est particulièrement utile dans les transactions impliquant des sommes d’argent importantes et des transactions boursières de grande valeur. Il utilise également moins de ressources système et réseau. L’implémentation d’OCSP par NetScaler Gateway inclut le traitement par lots des demandes et la mise en cache des réponses.
Implémentation d’OCSP par NetScaler Gateway
La validation OCSP sur une appliance NetScaler Gateway commence lorsque NetScaler Gateway reçoit un certificat client lors d’une liaison SSL. Pour valider le certificat, NetScaler Gateway crée une demande OCSP et la transmet au répondeur OCSP. Pour ce faire, NetScaler Gateway extrait l’URL du répondeur OCSP à partir du certificat client ou utilise une URL configurée localement. La transaction est suspendue jusqu’à ce que NetScaler Gateway évalue la réponse du serveur et détermine s’il faut autoriser la transaction ou la rejeter. Si la réponse du serveur est retardée au-delà de la durée configurée et qu’aucun autre répondeur n’est configuré, NetScaler Gateway autorise la transaction ou affiche une erreur, selon que vous avez défini le contrôle OCSP sur facultatif ou obligatoire. NetScaler Gateway prend en charge le traitement par lots des requêtes OCSP et la mise en cache des réponses OCSP afin de réduire la charge sur le répondeur OCSP et de fournir des réponses plus rapides.
traitement par lots de demandes OCSP
Chaque fois que NetScaler Gateway reçoit un certificat client, il envoie une demande au répondeur OCSP. Pour éviter de surcharger le répondeur OCSP, NetScaler Gateway peut demander l’état de plusieurs certificats clients dans la même demande. Pour que le traitement par lots de demandes fonctionne efficacement, vous devez définir un délai d’expiration afin que le traitement d’un seul certificat ne soit pas retardé pendant l’attente de la formation d’un lot.
Mise en cache des réponses OCSP
La mise en cache des réponses reçues du répondeur OCSP permet de répondre plus rapidement à l’utilisateur et de réduire la charge sur le répondeur OCSP. Dès réception de l’état de révocation d’un certificat client de la part du répondeur OCSP, NetScaler Gateway met la réponse en cache localement pendant une durée prédéfinie. Lorsqu’un certificat client est reçu lors d’une connexion SSL, NetScaler Gateway vérifie d’abord dans son cache local une entrée pour ce certificat. Si une entrée est toujours valide (dans la limite du délai d’expiration du cache), elle est évaluée et le certificat client est accepté ou rejeté. Si aucun certificat n’est trouvé, NetScaler Gateway envoie une demande au répondeur OCSP et stocke la réponse dans son cache local pendant une durée configurée.
Configurer l’état du certificat OCSP
La configuration d’un protocole OCSP (Online Certificate Status Protocol) implique l’ajout d’un répondeur OCSP, la liaison du répondeur OCSP à un certificat signé d’une autorité de certification (CA) et la liaison du certificat et de la clé privée à un serveur virtuel SSL (Secure Sockets Layer). Si vous devez lier un certificat et une clé privée différents à un répondeur OCSP que vous avez déjà configuré, vous devez d’abord délier le répondeur, puis lier le répondeur à un autre certificat.
Pour configurer OCSP
-
Sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Répondeur OCSP.
-
Dans le volet d’informations, cliquez sur Ajouter.
-
Dans Nom, saisissez le nom du profil.
-
Dans URL, tapez l’adresse Web du répondeur OCSP.
Ce champ est obligatoire. L’adresse Web ne peut pas dépasser 32 caractères.
-
Pour mettre en cache les réponses OCSP, cliquez sur Cache et dans Time-out, tapez le nombre de minutes pendant lesquelles NetScaler Gateway conserve la réponse.
-
Sous Request Batching, cliquez sur Activer.
-
Dans la zone Délai de traitement par lots, spécifiez la durée, en millisecondes, autorisée pour le traitement par lots d’un groupe de demandes OCSP.
Les valeurs peuvent être comprises entre 0 et 10000. La valeur par défaut est 1.
-
Dans Produced At Time Skew, tapez le temps que NetScaler Gateway peut utiliser pendant lequel l’appliance doit vérifier ou accepter la réponse.
-
Sous Vérification des réponses, sélectionnez Réponses de confiance si vous souhaitez désactiver les vérifications de signature par le répondeur OCSP.
Si vous activez les réponses d’approbation, ignorez les étapes 8 et 9.
-
Dans Certificat, sélectionnez le certificat utilisé pour signer les réponses OCSP.
Si aucun certificat n’est sélectionné, l’autorité de certification à laquelle le répondeur OCSP est lié est utilisée pour vérifier les réponses.
-
Dans la zone Délai d’expiration de la demande, tapez le nombre de millisecondes d’attente d’une réponse OCSP.
Cette durée inclut le délai de traitement par lots. Les valeurs peuvent être comprises entre 0 et 120000. La valeur par défaut est 2000.
-
Dans Signing Certificate, sélectionnez le certificat et la clé privée utilisés pour signer les demandes OCSP. Si vous ne spécifiez pas de certificat et de clé privée, les demandes ne sont pas signées.
-
Pour activer le numéro utilisé une fois,
(nonce) extension
sélectionnez Nonce. -
Pour utiliser un certificat client, cliquez sur Insertion de certificat client.
-
Cliquez sur Create, puis cliquez sur Close.