证书吊销列表
不时,证书颁发机构 (CA) 颁发证书吊销列表 (CRL)。CRL 包含有关不再受信任的证书的信息。例如,假设安离开 XYZ 公司。公司可以将 Ann 的证书放在 CRL 上,以防止她使用该密钥签名消息。
同样,如果私钥泄露或证书已过期且正在使用新证书,则可以撤销证书。在信任公钥之前,请确保证书不会出现在 CRL 上。
Citrix Gateway 支持以下两种 CRL 类型:
- 列出已吊销或不再有效的证书的 CRL
- 联机证书状态协议 (OCSP),一种用于获取 X.509 证书吊销状态的 Internet 协议
添加 CRL
在 Citrix Gateway 设备上配置 CRL 之前,请确保 CRL 文件本地存储在设备上。在高可用性设置的情况下,CRL 文件必须存在于两个 Citrix Gateway 设备上,并且该文件的目录路径在两个设备上必须相同。
如果需要刷新 CRL,可以使用以下参数:
- CRL 名称:正在 Citrix ADC 上添加的 CRL 的名称。最多 31 个字符。
- CRL 文件:正在 Citrix ADC 上添加的 CRL 文件的名称。Citrix ADC 默认情况下在 /var/netscaler/ssl 目录中查找 CRL 文件。最多 63 个字符。
- URL:最多 127 个字符
- 基本 DN:最多 127 个字符
- 绑定 DN:最多 127 个字符
- 密码:最多 31 个字符
- 天数:最多 31
- 在配置实用程序中,在“配置”选项卡上,展开 SSL,然后单击 CRL。
- 在详细信息窗格中,单击 Add(添加)。
- 在“添加 CRL”对话框中,指定以下值:
- CRL 名称
- CRL 文件
- 格式(可选)
- CA 证书(可选)
- 单击 Create(创建),然后单击 Close(关闭)。在 CRL 详细信息窗格中,选择刚刚配置的 CRL,并验证屏幕底部显示的设置是否正确。
使用配置实用程序中的 LDAP 或 HTTP 配置 CRL 自动刷新
CRL 由 CA 定期生成和发布,在某些情况下,在吊销特定证书后立即生成和发布。Citrix 建议您定期更新 Citrix Gateway 设备上的 CRL,以防止客户端尝试使用无效证书进行连接。
Citrix Gateway 设备可以从 Web 位置或 LDAP 目录刷新 CRL。当您指定刷新参数和 Web 位置或 LDAP 服务器时,在运行命令时,不必在本地硬盘驱动器上存在 CRL。第一次刷新将副本存储在由 CRL File 参数指定的路径中的本地硬盘驱动器上。用于存储 CRL 的默认路径是 /var/netscaler/ssl。
CRL 刷新参数
- CRL 名称
在 Citrix Gateway 上刷新的 CRL 的名称。
**启用 CRL 自动刷新**
启用或禁用 CRL 自动刷新。
**加拿大证书**
颁发 CRL 的 CA 证书。必须在设备上安装此 CA 证书。Citrix ADC 只能从其上安装了证书的 CA 更新 CRL。
**方法**
从 Web 服务器 (HTTP) 或 LDAP 服务器获取 CRL 刷新的协议。可能的值:HTTP、LDAP。默认值:HTTP。
**作用域**
LDAP 服务器上搜索操作的范围。如果指定的作用域为 Base,则搜索与基本 DN 处于同一级别。如果指定的范围为 One,则搜索将扩展到基础 DN 以下的一个级别。
- 服务器 IP
从中检索 CRL 的 LDAP 服务器的 IP 地址。选择 IPv6 以使用 IPv6 IP 地址。
**端口**
LDAP 或 HTTP 服务器通信的端口号。
**URL**
从中检索 CRL 的 Web 位置的 URL。
**基本 DN**
LDAP 服务器用于搜索 CRL 属性的基本 DN。 注意:Citrix 建议使用基本 DN 属性而不是 CA 证书中的颁发者名称来搜索 LDAP 服务器中的 CRL。发行人名称字段可能不完全匹配 LDAP 目录结构的 DN。
- 绑定 DN
用于访问 LDAP 存储库中 CRL 对象的绑定 DN 属性。绑定 DN 属性是 LDAP 服务器的管理员凭据。配置此参数以限制对 LDAP 服务器的未经授权的访问。
**密码**
用于访问 LDAP 存储库中 CRL 对象的管理员密码。如果对 LDAP 存储库的访问受到限制,即不允许匿名访问,则需要执行此操作。
**时间间隔**
执行 CRL 刷新的时间间隔。对于瞬时 CRL 刷新,请将间隔指定为“NOW”。可能的值:每月,每日,每周,现在,无。
**天数**
应执行 CRL 刷新的日期。如果间隔设置为每日,则此选项不可用。
**时间**
应执行 CRL 刷新的 24 小时格式的确切时间。
**二进制**
将基于 LDAP 的 CRL 检索模式设置为二进制。可能的值:是,否。默认值:否。
- 在导航窗格中,展开 SSL,然后单击 CRL。
- 选择要更新刷新参数的已配置 CRL,然后单击“打开”。
- 选择启用 CRL 自动刷新选项。
- 在 CRL 自动刷新参数组中,为以下参数指定值:
注意:星号 (*) 表示必需参数。
- 方法
- 二进制
- 作用域
- 服务器 IP
- 端口*
- URL
- 基地 DN*
- 绑定 DN
- 密码
- 时间间隔
- 天数
- 时间
- 单击创建。在 CRL 窗格中,选择刚刚配置的 CRL,并验证屏幕底部显示的设置是否正确。
在本文中
- 添加 CRL
- 使用配置实用程序中的 LDAP 或 HTTP 配置 CRL 自动刷新
- 在 Citrix Gateway 上刷新的 CRL 的名称。
- 启用或禁用 CRL 自动刷新。
- 颁发 CRL 的 CA 证书。必须在设备上安装此 CA 证书。Citrix ADC 只能从其上安装了证书的 CA 更新 CRL。
- 从 Web 服务器 (HTTP) 或 LDAP 服务器获取 CRL 刷新的协议。可能的值:HTTP、LDAP。默认值:HTTP。
- 从中检索 CRL 的 LDAP 服务器的 IP 地址。选择 IPv6 以使用 IPv6 IP 地址。
- LDAP 或 HTTP 服务器通信的端口号。
- 从中检索 CRL 的 Web 位置的 URL。
- 用于访问 LDAP 存储库中 CRL 对象的绑定 DN 属性。绑定 DN 属性是 LDAP 服务器的管理员凭据。配置此参数以限制对 LDAP 服务器的未经授权的访问。
- 用于访问 LDAP 存储库中 CRL 对象的管理员密码。如果对 LDAP 存储库的访问受到限制,即不允许匿名访问,则需要执行此操作。
- 执行 CRL 刷新的时间间隔。对于瞬时 CRL 刷新,请将间隔指定为“NOW”。可能的值:每月,每日,每周,现在,无。
- 应执行 CRL 刷新的日期。如果间隔设置为每日,则此选项不可用。
- 应执行 CRL 刷新的 24 小时格式的确切时间。