证书吊销列表
证书颁发机构 (CA) 有时会发出证书吊销列表 (CRL)。CRL 包含有关不再可信的证书的信息。例如,假设 Ann 离开了 XYZ 公司。公司可以将 Ann 的证书放在 CRL 上,以防止她使用该密钥签署消息。
同样,如果私钥已泄露或证书已过期且正在使用新证书,则可以撤销证书。在信任公钥之前,请确保证书没有出现在 CRL 上。
Citrix Gateway 支持以下两种 CRL 类型:
- 列出已吊销或不再有效的证书的 CRL
- 在线证书状态协议 (OSCP),一种用于获取 X.509 证书吊销状态的互联网协议
添加 CRL
在 Citrix Gateway 设备上配置 CRL 之前,请确保 CRL 文件存储在本地设备上。在高可用性设置的情况下,CRL 文件必须存在于两台 Citrix Gateway 设备上,并且两台设备上该文件的目录路径必须相同。
如果需要刷新 CRL,可以使用以下参数:
- CRL 名称:要添加到 Citrix ADC 上的 CRL 的名称。最多 31 个字符。
- CRL 文件:要添加到 Citrix ADC 上的 CRL 文件的名称。默认情况下,Citrix ADC 会在 /var/netscaler/ssl 目录中查找 CRL 文件。最多 63 个字符。
- URL:最多 127 个字符
- 基本 DN:最多 127 个字符
- 绑定 DN:最多 127 个字符
- 密码:最多 31 个字符
- 天数:最多 31 天
- 在配置实用程序中,在“配置”选项卡上,展开 SSL,然后单击 CRL。
- 在详细信息窗格中,单击 Add(添加)。
- 在“添加 CRL”对话框中,为以下各项指定值:
- CRL 名称
- CRL 文件
- 格式(可选)
- CA 证书(可选)
- 单击 Create(创建),然后单击 Close(关闭)。在 CRL 详细信息窗格中,选择您刚刚配置的 CRL,然后验证屏幕底部显示的设置是否正确。
在配置实用程序中使用 LDAP 或 HTTP 配置 CRL 自动刷新
CRL 由 CA 定期生成和发布,在某些情况下,在特定证书被吊销后立即生成和发布。Citrix 建议您定期更新 Citrix Gateway 设备上的 CRL,以防止客户端尝试使用无效证书进行连接。
Citrix Gateway 设备可以从网站或 LDAP 目录刷新 CRL。当您指定刷新参数和 Web 位置或 LDAP 服务器时,在运行命令时,CRL 不必出现在本地硬盘驱动器上。第一次刷新将副本存储在本地硬盘驱动器上,位于 CRL File 参数指定的路径中。存储 CRL 的默认路径为 /var/netscaler/ssl。
CRL 刷新参数
-
CRL 名称
Citrix Gateway 上正在刷新的 CRL 的名称。
-
启用 CRL 自动刷新
启用或禁用 CRL 自动刷新。
-
CA Certificate(CA 证书)
签发 CRL 的 CA 的证书。必须在设备上安装此 CA 证书。Citrix ADC 只能从安装了证书的 CA 更新 CRL。
-
Method(方法)
用于从 Web 服务器 (HTTP) 或 LDAP 服务器获取 CRL 刷新的协议。可能的值:HTTP、LDAP。默认值:HTTP。
-
Scope(范围)
LDAP 服务器上的搜索操作范围。如果指定的范围为“ 基本”,则搜索将与基本 DN 处于同一级别。如果指定的范围为“ 一”,则搜索将扩展到基本 DN 以下的一个级别。
-
服务器 IP
从中检索 CRL 的 LDAP 服务器的 IP 地址。选择 IPv6 以使用 IPv6 IP 地址。
-
端口
LDAP 或 HTTP 服务器通信的端口号。
-
URL
从中检索 CRL 的网站的 URL。
-
Base DN(基础 DN)
LDAP 服务器用于搜索 CRL 属性的基本 DN。 注意:Citrix 建议使用基本 DN 属性而不是 CA 证书中的颁发者名称在 LDAP 服务器中搜索 CRL。发行人名称字段可能与 LDAP 目录结构的 DN 不完全匹配。
-
Bind DN(绑定 DN)
绑定 DN 属性用于访问 LDAP 存储库中的 CRL 对象。绑定 DN 属性是 LDAP 服务器的管理员凭据。配置此参数以限制对 LDAP 服务器的未经授权的访问。
-
密码
用于访问 LDAP 存储库中的 CRL 对象的管理员密码。如果对 LDAP 存储库的访问受到限制,即不允许匿名访问,则必须这样做。
-
Interval(时间间隔)
执行 CRL 刷新的间隔。对于即时 CRL 刷新,请将间隔指定为 NOW。可能的值:每月、每日、每周、现在、无。
-
天数
应执行 CRL 刷新的日期。如果间隔设置为每天,则该选项不可用。
-
Time(时间)
应执行 CRL 刷新的确切时间(采用 24 小时格式)。
-
二进制
将基于 LDAP 的 CRL 检索模式设置为二进制。可能的值:YES, NO。默认值:否。
- 在导航窗格中,展开 SSL,然后单击 CRL。
- 选择要为其更新刷新参数的已配置 CRL,然后单击“打开”。
- 选择启用 CRL 自动刷新选项。
- 在 CRL 自动刷新参数组中,为以下参数指定值:
注意:星号 (*) 表示必填参数。
- Method(方法)
- 二进制
- Scope(范围)
- 服务器 IP
- Port*(端口*)
- URL
- 基本 DN*
- Bind DN(绑定 DN)
- 密码
- Interval(时间间隔)
- 天
- Time(时间)
- 单击创建。在 CRL 窗格中,选择您刚刚配置的 CRL,然后验证屏幕底部显示的设置是否正确。