製品ドキュメント
ADC
14.1 - Current Release 13.1 13.0 12.1
PDFを表示

グローバルサイト証明書

October 7, 2021
寄稿者: 
C

グローバルサイト証明書は、キーの長さが 128 ビットを超える特殊目的のサーバー証明書です。グローバルサイト証明書は、サーバー証明書とそれに付随する中間 CA 証明書で構成されます。グローバルサイト証明書とそのキーをサーバーからCitrix ADCアプライアンスにインポートします。

グローバルサイト証明書のしくみ

ブラウザのエクスポートバージョンは、40ビット暗号化を使用してSSLWebサーバーへの接続を開始します。サーバーは、証明書を送信して接続要求に応答します。クライアントとサーバーは、サーバー証明書の種類に基づいて暗号化強度を決定します。

  • サーバー証明書が通常の証明書であり、グローバルサイト証明書ではない場合、エクスポートクライアントとサーバーはSSLハンドシェイクを完了し、データ転送に40ビット暗号化を使用します。
  • サーバー証明書がグローバルサイト証明書であり、ブラウザーがクライアントのエクスポート機能をサポートしている場合、クライアントのエクスポートはデータ転送用に128ビット暗号化に自動的にアップグレードされます。

サーバ証明書がグローバルサイト証明書の場合、サーバはその証明書と付随する中間 CA 証明書を送信します。ブラウザは、まず、Web ブラウザに通常含まれている Root-CA 証明書のいずれかを使用して、中間 CA 証明書を検証します。中間 CA 証明書の検証に成功すると、ブラウザは中間 CA 証明書を使用してサーバ証明書を検証します。サーバーが正常に検証されると、ブラウザは SSL 接続を 128 ビット暗号化に再ネゴシエーション (アップグレード) します。

Microsoft のサーバーゲート暗号化 (SGC) では、Microsoft IIS サーバーが SGC 証明書で構成されている場合、証明書を受け取ったエクスポートクライアントは、128 ビット暗号化を使用するように再ネゴシエートします。

グローバルサイト証明書をインポートする

グローバルサイト証明書をインポートするには、最初にWebサーバーから証明書とサーバーキーをエクスポートします。グローバルサイト証明書は、いくつかのバイナリ形式でエクスポートされます。したがって、グローバルサイト証明書をインポートする前に、証明書とキーをPEM形式に変換してください。

グローバルサイト証明書をインポートするには

  1. テキストエディタを使用して、サーバ証明書とそれに付随する中間 CA 証明書を 2 つのファイルにコピーします。

    個々のPEMでエンコードされた証明書は、ヘッダー ----- BEGIN CERTIFICATE----- で始まり、トレーラー -----END CERTIFICATE-----で終わります。

  2. SFTPクライアントを使用して、サーバー証明書、中間CA証明書、およびサーバーキーをCitrix ADCアプライアンスに転送します。

  3. 次の OpenSSL コマンドを使用して、2 つの別個のファイルからサーバー証明書と中間 CA 証明書を識別します。

    注: OpenSSL インターフェースは、設定ユーティリティーから起動できます。ナビゲーションペインで、[SSL]をクリックします。詳細ペインの[ツール]で、[SSLインターフェイスを開く]をクリックします。

    openssl x509 -in >path of the CA cert file< text X509v3 Basic Constraints: CA:TRUE
            X509v3 Key Usage:
                Certificate Sign, CRL Sign
            Netscape Cert Type:
                SSL CA, S/MIME CA

openssl x509 -in >path of the server certificate file< -text

X509v3 Basic Constraints:
                CA:FALSE
            Netscape Cert Type:
                SSL Server

<!--NeedCopy-->

  4. FreeBSD シェルプロンプトで、次のコマンドを入力します。

    openssl x509 -in cert.pem -text | more
<!--NeedCopy-->

    ここで、 cert.pem は2つの証明書ファイルの1つです。

    コマンド出力の Subject フィールドを確認します。例:

    Subject: C=US, ST=Oregon, L=Portland, O=mycompany, Inc., OU=IT, CN=www.mycompany.com
<!--NeedCopy-->

    件名のCNフィールドがWebサイトのドメイン名と一致する場合、この証明書はサーバー証明書であり、他の証明書は付随する中間CA証明書です。

  5. サーバー証明書とその秘密キーを使用して)Citrix ADCアプライアンスに証明書キーペアを作成します。Citrix ADCでの証明書とキーのペアの作成の詳細については、「 証明書キーペアの追加」を参照してください。

  6. Citrix ADCアプライアンスに中間CA証明書を追加します。手順 4 で作成したサーバー証明書を使用して、この中間証明書に署名します。Citrix ADCで中間CA証明書を作成する方法の詳細については、「 テスト証明書の生成」を参照してください。

グローバルサイト証明書
October 7, 2021
寄稿者: 
C
October 7, 2021
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.