配置中间证书

中间证书是介于 Citrix Gateway(服务器证书)和根证书(安装在用户设备上)之间的证书。中间证书是链的一部分。

有些组织委派专人负责颁发证书,以解决各组织单位在地域上彼此独立的问题,或者对组织的不同部门应用不同的颁发策略。

可以通过设置从属证书颁发机构 (CA) 来委派颁发证书的责任。CA 可以为自己的证书签名(即自签名),也可以由另一个 CA 进行签名。X.509 标准包括一个用于设置 CA 层次结构的模型。在此模型中,如下图所示,根 CA 位于层次结构的顶部,是 CA 的自签名证书。根 CA 的直接从属 CA 拥有由根 CA 签名的 CA 证书。在层次结构中处于从属 CA 之下的 CA 拥有由从属 CA 签名的 CA 证书。

图 1. 展示典型数字证书链层次结构的 X.509 模型

显示典型数字证书链的层次结构图。

如果服务器证书由拥有自签名证书的 CA 进行签名,则证书链由两种证书组成:最终实体证书和根 CA。如果用户或服务器证书由中间 CA 进行签名,则证书链更长一些。

下图展示的前两个元素依次是最终实体证书(在此例中为 gwy01.company.com)和中间 CA 的证书。在中间 CA 的证书后面是其所属 CA 的证书。此列表依此类推,直至列表中的最后一个证书是根 CA 的证书。证书链中的每个证书用来证实前一个证书的身份。

图 2. 典型的数字证书链

显示典型的数字证书链。

安装中间证书

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 SSL,然后单击证书。
  2. 在详细信息窗格中,单击“安装”。
  3. 在证书密钥对名称中,键入证书的名称。
  4. 在“详细信息”下的“证书文件名”中,单击“浏览(设备)”,然后在菜单框中选择“本地”或“设备”。
  5. 导航到计算机(本地)或 Citrix Gateway(设备)上的证书。
  6. 在证书格式中,选择 PEM。
  7. 单击“Install”(安装),然后单击“Close”(关闭)。

在 Citrix Gateway 上安装中间证书时,无需指定私钥或密码。

在设备上安装证书后,证书需要链接到服务器证书。

将中间证书链接到服务器证书

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 SSL,然后单击证书。
  2. 在详细信息窗格中,选择服务器证书,然后在操作中单击链接。
  3. 在 CA 证书名称旁边,从列表中选择中间证书,然后单击确定。
配置中间证书