SSL 拦截证书库
SSL 证书是任何 SSL 事务不可或缺的一部分,它是一种数字数据形式 (X509),用于标识公司(域)或个人。SSL 证书由证书颁发机构 (CA) 颁发。CA 可以是私有的,也可以是公共的。由公共 CA(例如 Verisign)颁发的证书受到执行 SSL 事务的应用程序的信任。这些应用程序维护其信任的 CA 列表。
作为正向代理,Citrix Secure Web Gateway™ (SWG) 设备在客户端和服务器之间执行流量的加密和解密。它对客户端(用户)充当服务器,对服务器充当客户端。在设备处理 HTTPS 流量之前,它必须验证服务器的身份,以防止任何欺诈性事务。因此,作为源服务器的客户端,设备必须在接受源服务器证书之前对其进行验证。要验证服务器的证书,用于签署和颁发服务器证书的所有证书(例如,根证书和中间证书)都必须存在于设备上。设备上预装了一组默认的 CA 证书。Citrix® SWG 可以使用这些证书来验证几乎所有常见的源服务器证书。此默认集无法修改。但是,如果您的部署需要更多 CA 证书,您可以创建此类证书捆绑包并将其导入到设备。捆绑包也可以只包含一个证书。
当您将证书捆绑包导入到设备时,设备会从远程位置下载该捆绑包,并在验证捆绑包仅包含证书后,将其安装到设备上。您必须先应用证书捆绑包,然后才能使用它来验证服务器证书。您还可以导出证书捆绑包以进行编辑或将其存储在离线位置作为备份。
使用 Citrix SWG CLI 在设备上导入和应用 CA 证书捆绑包
在命令提示符下,键入:
import ssl certBundle <name> <src>
<!--NeedCopy-->
apply ssl certBundle <name>
<!--NeedCopy-->
show ssl certBundle
<!--NeedCopy-->
参数:
名称:
要分配给导入的证书捆绑包的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且只能包含 ASCII 字母数字、下划线、井号 (#)、句点 (.)、空格、冒号 (:)、at (@)、等号 (=) 和连字符 (-) 字符。以下要求仅适用于 CLI:
如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“my file”或 ‘my file’)。
最大长度:31
源:
指定协议、主机和路径(包括文件名)的 URL,指向要导入或导出的证书捆绑包。例如,http://www.example.com/cert\_bundle\_file。
注意:如果待导入对象位于需要客户端证书身份验证才能访问的 HTTPS 服务器上,则导入将失败。
最大长度:2047
示例:
import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
<!--NeedCopy-->
apply ssl certBundle swg-certbundle
<!--NeedCopy-->
show ssl certbundle
Name : swg-certbundle(Inuse)
URL : http://www.example.com/cert_bundle
Done
<!--NeedCopy-->
使用 Citrix SWG GUI 在设备上导入和应用 CA 证书捆绑包
- 导航到 Secure Web Gateway > 入门 > 证书捆绑包。
- 执行以下操作之一:
- 从列表中选择一个证书捆绑包。
- 要添加新的证书捆绑包,请单击“+”并指定名称和源 URL。单击 确定。
- 单击 确定。
使用 CLI 从设备中删除 CA 证书捆绑包
在命令提示符下,键入:
remove certBundle <cert bundle name>
<!--NeedCopy-->
示例:
remove certBundle mytest-cacert
<!--NeedCopy-->
使用 Citrix SWG CLI 从设备导出 CA 证书捆绑包
在命令提示符下,键入:
export certBundle <cert bundle name> <Path to export>
<!--NeedCopy-->
参数:
名称:
要分配给导入的证书捆绑包的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且只能包含 ASCII 字母数字、下划线、井号 (#)、句点 (.)、空格、冒号 (:)、at (@)、等号 (=) 和连字符 (-) 字符。以下要求仅适用于 CLI:
如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“my file”或 ‘my file’)。
最大长度:31
源:
指定协议、主机和路径(包括文件名)的 URL,指向要导入或导出的证书捆绑包。例如,http://www.example.com/cert\_bundle\_file。
注意:如果待导入对象位于需要客户端证书身份验证才能访问的 HTTPS 服务器上,则导入将失败。
最大长度:2047
示例:
export certBundle mytest-cacert http://192.0.2.20/
<!--NeedCopy-->
从 Mozilla CA 证书库导入、应用和验证 CA 证书捆绑包
在命令提示符下,键入:
> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done
<!--NeedCopy-->
要应用捆绑包,请键入:
> apply certbundle mozilla_public_ca
Done
<!--NeedCopy-->
要验证正在使用的证书捆绑包,请键入:
> sh certbundle | grep mozilla
Name : mozilla_public_ca (Inuse)
<!--NeedCopy-->
限制
在群集设置或分区设备上不支持证书捆绑包。