证书吊销列表
证书颁发机构 (CA) 有时会发出证书吊销列表 (CRL)。CRL 包含有关不再可信的证书的信息。例如,假设 Ann 离开了 XYZ 公司。公司可以将 Ann 的证书放在 CRL 上,以防止她使用该密钥签署消息。
同样,如果私钥已泄露或证书已过期且正在使用新证书,则可以撤销证书。在信任公钥之前,请确保证书没有出现在 CRL 上。
NetScaler Gateway 支持以下两种 CRL 类型:
- 列出已吊销或不再有效的证书的 CRL
- 在线证书状态协议 (OSCP),一种用于获取 X.509 证书吊销状态的互联网协议
要添加 CRL:
在 NetScaler Gateway 设备上配置 CRL 之前,请确保 CRL 文件存储在本地设备上。在高可用性设置的情况下,CRL 文件必须存在于两台 NetScaler Gateway 设备上,并且两台设备上该文件的目录路径必须相同。
如果需要刷新 CRL,可以使用以下参数:
- CRL 名称:要添加到 NetScaler 上的 CRL 的名称。最多 31 个字符。
- CRL 文件:要添加到 NetScaler 上的 CRL 文件的名称。默认情况下,NetScaler 会在 /var/netscaler/ssl 目录中查找 CRL 文件。最多 63 个字符。
- URL:最多 127 个字符
- 基本 DN:最多 127 个字符
- 绑定 DN:最多 127 个字符
- 密码:最多 31 个字符
- 天数:最多 31
- 在配置实用程序中的配置选项卡上,展开 SSL,然后单击 CRL。
- 在详细信息窗格中,单击“Add”(添加)。
- 在“添加 CRL”对话框中,为以下各项指定值:
- CRL 名称
- CRL 文件
- 格式(可选)
- CA 证书(可选)
- 单击 Create(创建),然后单击 Close(关闭)。在 CRL 详细信息窗格中,选择您配置的 CRL,然后验证屏幕底部显示的设置是否正确。
要在 GUI 中使用 LDAP 或 HTTP 配置 CRL 自动刷新,请执行以下操作:
CRL 由 CA 定期生成和发布,有时甚至在撤销特定证书后立即生成和发布。Citrix 建议您定期更新 NetScaler Gateway 设备上的 CRL,以防止客户端尝试使用无效证书进行连接。
NetScaler Gateway 设备可以从网站或 LDAP 目录刷新 CRL。当您指定刷新参数和 Web 位置或 LDAP 服务器时,在运行命令时,CRL 不必出现在本地硬盘驱动器上。第一次刷新将副本存储在本地硬盘驱动器上,位于 CRL File 参数指定的路径中。存储 CRL 的默认路径为 /var/netscaler/ssl。
CRL 刷新参数
-
CRL 名称
NetScaler Gateway 上正在刷新的 CRL 的名称。
-
启用 CRL 自动刷新
启用或禁用 CRL 自动刷新。
-
CA Certificate(CA 证书)
签发 CRL 的 CA 的证书。必须在设备上安装此 CA 证书。NetScaler 只能从安装了证书的 CA 更新 CRL。
-
Method(方法)
用于从 Web 服务器 (HTTP) 或 LDAP 服务器获取 CRL 刷新的协议。可能的值:HTTP、LDAP。默认值:HTTP。
-
Scope(范围)
LDAP 服务器上的搜索操作范围。如果指定的范围为“ 基本”,则搜索将与基本 DN 处于同一级别。如果指定的范围为“ 一”,则搜索将扩展到基本 DN 以下的一个级别。
-
服务器 IP
从中检索 CRL 的 LDAP 服务器的 IP 地址。选择 IPv6 以使用 IPv6 IP 地址。
-
端口
LDAP 或 HTTP 服务器通信的端口号。
-
URL
从中检索 CRL 的网站的 URL。
-
Base DN(基础 DN)
LDAP 服务器用来搜索 CRL 属性的基本 DN。 注意:Citrix 建议使用基本 DN 属性而不是 CA 证书中的颁发者名称在 LDAP 服务器中搜索 CRL。发行人名称字段可能与 LDAP 目录结构的 DN 不完全匹配。
-
Bind DN(绑定 DN)
bind DN 属性用于访问 LDAP 存储库中的 CRL 对象。绑定 DN 属性是 LDAP 服务器的管理员凭据。配置此参数以限制对 LDAP 服务器的未经授权的访问。
-
密码
用于访问 LDAP 存储库中的 CRL 对象的管理员密码。如果限制对 LDAP 存储库的访问,即不允许匿名访问,则需要密码。
-
Interval(时间间隔)
必须执行 CRL 刷新的时间间隔。对于即时 CRL 刷新,请将间隔指定为 NOW。可能的值:每月、每日、每周、现在、无。
-
天数
必须执行 CRL 刷新的那一天。如果间隔设置为 DAILY,则该选项不可用。
-
Time(时间)
必须执行 CRL 刷新的确切时间(24 小时格式)。
-
二进制
将基于 LDAP 的 CRL 检索模式设置为二进制。可能的值:YES, NO。默认值:否。
- 在导航窗格中,展开 SSL,然后单击 CRL。
- 选择要为其更新刷新参数的已配置 CRL,然后单击“打开”。
- 选择启用 CRL 自动刷新选项。
- 在 CRL 自动刷新参数组中,为以下参数指定值:
注意:星号 (*) 表示必填参数。
- Method(方法)
- Binary(二进制文件)
- Scope(范围)
- 服务器 IP
- Port*(端口*)
- URL
- 基本 DN*
- Bind DN(绑定 DN)
- 密码
- Interval(时间间隔)
- Days(日期)
- Time(时间)
- 单击创建。在 CRL 窗格中,选择您配置的 CRL,然后验证屏幕底部显示的设置是否正确。
使用 OCSP 监视证书状态
联机证书状态协议 (OCSP) 是一种 Internet 协议,用于确定客户端 SSL 证书的状态。NetScaler Gateway 支持 RFC 2560 中定义的 OCSP。与证书吊销列表 (CRL) 相比,OCSP 在及时信息方面具有显著优势。客户证书的最新吊销状态在涉及大量资金和高值股票交易的交易中特别有用。它还使用更少的系统和网络资源。OCSP 的 NetScaler Gateway 实施包括请求批处理和响应缓存。
OCSP 的 NetScaler Gateway 实施
NetScaler Gateway 在 SSL 握手期间收到客户端证书时,NetScaler Gateway 设备上的 OCSP 验证开始。为了验证证书,NetScaler Gateway 会创建一个 OCSP 请求并将其转发给 OCSP 响应者。为此,NetScaler Gateway 要么从客户端证书中提取 OCSP 响应程序的 URL,要么使用本地配置的 URL。在 NetScaler Gateway 评估来自服务器的响应并确定是允许还是拒绝事务之前,事务处于挂起状态。如果来自服务器的响应延迟到配置的时间之后,并且没有配置其他响应程序,NetScaler Gateway 将允许该事务或显示错误,具体取决于您将 OCSP 检查设置为可选还是强制。NetScaler Gateway 支持批处理 OCSP 请求和缓存 OCSP 响应,以减少 OCSP 响应程序的负载并提供更快的响应。
OCSP 请求批处理
每次 NetScaler Gateway 收到客户端证书时,都会向 OCSP 响应程序发送请求。为了避免 OCSP 响应程序过载,NetScaler Gateway 可以在同一请求中查询多个客户端证书的状态。为了使请求批处理有效地工作,您需要定义一个超时时间,以便在等待形成批处理时不会延迟处理单个证书。
OCSP 响应缓存
缓存从 OCSP 响应程序收到的响应可以更快地响应用户,并减少 OCSP 响应程序的负载。从 OCSP 响应程序收到客户端证书的吊销状态后,NetScaler Gateway 会在本地缓存预定义的时间长度内的响应。在 SSL 握手期间收到客户端证书时,NetScaler Gateway 首先检查其本地缓存中是否有此证书的条目。如果找到仍然有效的条目(在缓存超时限内),则会对该条目进行评估,然后接受或拒绝客户端证书。如果找不到证书,NetScaler Gateway 会向 OCSP 响应程序发送请求,并在配置的时间长度内将响应存储在其本地缓存中。
配置 OCSP 证书状态
配置在线证书状态协议 (OCSP) 涉及添加 OCSP 响应程序、将 OCSP 响应程序绑定到证书颁发机构 (CA) 的签名证书,以及将证书和私钥绑定到安全套接字层 (SSL) 虚拟服务器。如果您需要将不同的证书和私钥绑定到已配置的 OCSP 响应程序,则需要先解除响应程序的绑定,然后将响应程序绑定到其他证书。
配置 OCSP
-
在配置选项卡的导航窗格中,展开 SSL,然后单击 OCSP 响应程序。
-
在详细信息窗格中,单击“Add”(添加)。
-
在“Name”(名称)中,键入配置文件的名称。
-
在 URL 中,键入 OCSP 响应程序的 Web 地址。
此字段是必填字段。Web 地址不能超过 32 个字符。
-
要缓存 OCSP 响应,请单击缓存,然后在超时中键入 NetScaler Gateway 保存响应的分钟数。
-
在请求批处理下,单击启用。
-
在批处理延迟中,指定允许对一组 OCSP 请求进行批处理的时间(以毫秒为单位)。
这些值可以介于 0 到 10000 之间。默认值为 1。
-
在按时产生的偏差中,键入 NetScaler Gateway 在设备必须检查或接受响应时可以使用的时间量。
-
如果要禁用 OCSP 响应程序的签名检查,请在“响应验证”下选择“信任响应”。
如果启用信任响应,请跳过步骤 8 和步骤 9。
-
在证书中,选择用于对 OCSP 响应进行签名的证书。
如果未选择证书,则将使用 OCSP 响应程序绑定到的 CA 来验证响应。
-
在请求超时中,键入等待 OCSP 响应的毫秒数。
此时间包括批处理延迟时间。这些值可以介于 0 到 120000 之间。默认值为 2000。
-
在签名证书中,选择用于签署 OCSP 请求的证书和私钥。如果不指定证书和私钥,则不会对请求进行签名。
-
要启用一次使用的号码
(nonce) extension
,请选择 Nonce。 -
要使用客户端证书,请单击客户端证书插入。
-
单击 Create(创建),然后单击 Close(关闭)。