全球站点证书
全球站点证书是密钥长度大于 128 位的特殊用途服务器证书。全局站点证书由服务器证书和随附的中间 CA 证书组成。将全局站点证书及其密钥从服务器导入 NetScaler 设备。
全局站点证书的工作原理
浏览器的导出版本使用 40 位加密来启动与 SSL Web 服务器的连接。服务器通过发送其证书来响应连接请求。然后,客户端和服务器根据服务器证书类型决定加密强度:
- 如果服务器证书是普通证书而不是全局站点证书,则导出客户端和服务器将完成 SSL 握手并使用 40 位加密进行数据传输。
- 如果服务器证书是全局站点证书,并且浏览器支持导出客户端功能,则导出客户端会自动升级到 128 位加密以进行数据传输。
如果服务器证书是全局站点证书,则服务器将发送其证书以及随附的 Merti-CA 证书。浏览器首先使用网络浏览器中通常包含的 root-CA 证书之一来验证 Intermediate-CA 证书。成功验证 Intermediate-CA 证书后,浏览器将使用 Intermediate-CA 证书来验证服务器证书。成功验证服务器后,浏览器会重新协商(升级)SSL 连接到 128 位加密。
使用 Microsoft 的服务器门控加密 (SGC),如果 Microsoft IIS 服务器配置了 SGC 证书,则接收证书的导出客户端会重新协商使用 128 位加密。
导入全局站点证书
要导入全局站点证书,首先从 Web 服务器导出证书和服务器密钥。全局站点证书以某种二进制格式导出。因此,在导入全局站点证书之前,请将证书和密钥转换为 PEM 格式。
导入全局站点证书
-
使用文本编辑器,将服务器证书和随附的 Merti-CA 证书复制到两个单独的文件中。
单个 PEM 编码的证书以标头开头
----- BEGIN CERTIFICATE-----,以预告片结束-----END CERTIFICATE-----。 -
使用 SFTP 客户端将服务器证书、中间 CA 证书和服务器密钥传输到 NetScaler 设备。
-
使用以下 OpenSSL 命令从两个单独的文件中识别服务器证书和中级 CA 证书。
注意: 您可以从配置实用程序启动 OpenSSL 接口。在导航窗格中,单击 SSL。在详细信息窗格的“工具”下,单击“打开 SSL 接口”。
openssl x509 -in >path of the CA cert file< text X509v3 Basic Constraints: CA:TRUE X509v3 Key Usage: Certificate Sign, CRL Sign Netscape Cert Type: SSL CA, S/MIME CA openssl x509 -in >path of the server certificate file< -text X509v3 Basic Constraints: CA:FALSE Netscape Cert Type: SSL Server <!--NeedCopy--> -
在 FreeBSD 外壳提示符处,输入以下命令:
openssl x509 -in cert.pem -text | more <!--NeedCopy-->cert.pem 是两个证书文件之一
阅读命令输出中的“主 题”字段。例如,
Subject: C=US, ST=Oregon, L=Portland, O=mycompany, Inc., OU=IT, CN=www.mycompany.com <!--NeedCopy-->如果主题中的 CN 字段与您网站的域名匹配,则此证书是服务器证书,另一个证书是随附的中间 CA 证书。
-
使用服务器证书及其私钥)在 NetScaler 设备上创建证书密钥对。有关在 NetScaler 上创建证书密钥对的详细信息,请参阅 添加证书密钥对。
-
在 NetScaler 设备上添加中间 CA 证书。使用您在步骤 4 中创建的服务器证书对此中间证书进行签名。有关在 NetScaler 上创建中间 CA 证书的详细信息,请参阅 生成测试证书。