製品ドキュメント
ADC
14.1 - Current Release 13.1 13.0 12.1

グローバルサイト証明書

May 12, 2023
寄稿者: 
C

グローバルサイト証明書は、キーの長さが128ビットを超える特殊目的のサーバー証明書です。グローバルサイト証明書は、サーバー証明書と付属の中間 CA 証明書で構成されます。グローバルサイト証明書とそのキーをサーバーからCitrix ADCアプライアンスにインポートします。

グローバルサイト証明書の仕組み

ブラウザのエクスポートバージョンでは、40 ビットの暗号化を使用して SSL Web サーバーへの接続を開始します。サーバーは、証明書を送信して接続要求に応答します。次に、クライアントとサーバーは、サーバー証明書の種類に基づいて暗号化強度を決定します。

  • サーバー証明書がグローバルサイト証明書ではなく通常の証明書である場合、エクスポートクライアントとサーバーは SSL ハンドシェイクを完了し、データ転送に 40 ビットの暗号化を使用します。
  • サーバー証明書がグローバルサイト証明書で、ブラウザがエクスポートクライアント機能をサポートしている場合、エクスポートクライアントはデータ転送用に自動的に 128 ビットの暗号化にアップグレードされます。

サーバー証明書がグローバルサイト証明書の場合、サーバーはその証明書と付属の中間 CA 証明書を送信します。ブラウザはまず、Web ブラウザに通常含まれているルート CA 証明書のいずれかを使用して中間 CA 証明書を検証します。中間 CA 証明書の検証が成功すると、ブラウザは中間 CA 証明書を使用してサーバー証明書を検証します。サーバーが正常に検証されると、ブラウザは SSL 接続を 128 ビット暗号化に再ネゴシエーション (アップグレード) します。

Microsoft のサーバーゲート暗号化 (SGC) では、Microsoft IIS サーバーに SGC 証明書が設定されている場合、証明書を受け取ったエクスポートクライアントは 128 ビットの暗号化を使用するように再ネゴシエーションします。

グローバルサイト証明書をインポートする

グローバルサイト証明書をインポートするには、まず Web サーバーから証明書とサーバーキーをエクスポートします。グローバルサイト証明書は、何らかのバイナリ形式でエクスポートされます。そのため、グローバルサイト証明書をインポートする前に、証明書とキーを PEM 形式に変換してください。

グローバルサイト証明書をインポートするには

  1. テキストエディタを使用して、サーバー証明書と付属の中間 CA 証明書を 2 つの別々のファイルにコピーします。

    PEM でエンコードされた個々の証明書は、ヘッダーで始まり、 ----- BEGIN CERTIFICATE----- トレーラーで終わります。 -----END CERTIFICATE-----

  2. SFTPクライアントを使用して、サーバー証明書、中間CA証明書、およびサーバーキーをNetScalerアプライアンスに転送します。

  3. 次の OpenSSL コマンドを使用して、2 つの別々のファイルからサーバー証明書と中間 CA 証明書を識別します。

    注: OpenSSL インターフェースは設定ユーティリティから起動できます。ナビゲーションペインで SSL をクリックします。詳細ペインの [ツール] で、[SSL インターフェイスを開く] をクリックします。

    openssl x509 -in >path of the CA cert file< text X509v3 Basic Constraints: CA:TRUE
            X509v3 Key Usage:
                Certificate Sign, CRL Sign
            Netscape Cert Type:
                SSL CA, S/MIME CA

openssl x509 -in >path of the server certificate file< -text

X509v3 Basic Constraints:
                CA:FALSE
            Netscape Cert Type:
                SSL Server

<!--NeedCopy-->

  4. FreeBSD シェルプロンプトで、次のコマンドを入力します。

    openssl x509 -in cert.pem -text | more
<!--NeedCopy-->

    ここで、 cert.pem は 2 つの証明書ファイルのうちの 1 つです。

    コマンド出力の Subject フィールドを読んでください。例:

    Subject: C=US, ST=Oregon, L=Portland, O=mycompany, Inc., OU=IT, CN=www.mycompany.com
<!--NeedCopy-->

    件名の CN フィールドが Web サイトのドメイン名と一致する場合、この証明書はサーバー証明書で、もう 1 つの証明書は付属の中間 CA 証明書です。

  5. サーバー証明書とその秘密キーを使用して)Citrix ADCアプライアンスに証明書キーペアを作成します。Citrix ADCでの証明書とキーのペアの作成の詳細については、「 証明書キーペアの追加」を参照してください。

  6. Citrix ADCアプライアンスに中間CA証明書を追加します。手順 4 で作成したサーバー証明書を使用して、この中間証明書に署名します。Citrix ADCで中間CA証明書を作成する方法の詳細については、「 テスト証明書の生成」を参照してください。

グローバルサイト証明書
May 12, 2023
寄稿者: 
C
May 12, 2023
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.