Clientzertifikatauthentifizierung

网上银行网站persönlichen Daten von Mitarbeitern, benötigen manchmal Kundenzertifikate zur Authentifizierung。Um Authentifizierung, Autorisierung und Überwachung für die Authentifizierung von Benutzern basierend auf clientseitigen Zertifikatattributen zu konfigurieren, aktivieren Sie zunächst die Clientauthentifizierung auf dem virtuellen Verkehrsmanagementserver und binden das Stammzertifikat an den virtuellen Authentifizierungsserver。Dann implementieren Sie eine von zwei选项。Sie können den Standardauthentifizierungstyp auf dem virtuellen Authentifizierungsserver als CERT konfigurieren, oder Sie können eine Zertifikataktion erstellen, die definiert, was der Citrix ADC tun muss, um Benutzer basierend auf einem Clientzertifikat zu authentifizieren。在北登Fällen muss Ihr Authentifizierungsserver crl unterstützen。你是这样做的，你是这样做的subjectCN我的客户，我的客户。

我们的Benutzer versucht，我们的beinem virtuellen Authentifizierungsserver anzumelden, für den keine Authentifizierungsrichtlinie konfigurert ist，和eine globale Kaskade nict konfigurert ist, werden die Benutzernameninformationen audem angegebenen Feld des Zertifikats extrahiert。我是说，我是说，我是说，我是说，我是说，我是说。Stellt der Benutzer während des SSL-Handshakes kein gültiges Zertifikat zur Verfügung oder schlägt die Extraktion des Benutzernamens fehl, schlägt die Authentifizierung fehl。我们的客户，我们的客户，我们的客户。

贝登福尔根登维尔法伦的davon ausgegangen，达斯你的宝贝，你的宝贝，你的宝贝和Überwachungskonfiguration erstellt haben。Daher wild nur erläutert, wie die Authentifizierung mithilfe von Clientzertifikaten aktiviert wild。Bei diesen Verzeichnis wauch davon ausgegangen, dass Sie Ihr Root-Zertifikat und Ihre Clientzertifikate erhalten und diese auf dem ADC im Verzeichnis /nsconfig/ssl abgelegt haben。

Konfigurieren der Clientzertifikatauthentifizierung

因此konfigurieren Sie die authentifiziergs -， Autorisierungs- and audit - zertifikatsparameter des Clients über die Befehlszeilenschnittstelle

我的名字是:“我的名字是什么?”“我的名字是什么?”“我的名字是什么?”

add ssl certKey  -cert  -key  -password -inform  -expiryMonitor  -notificationPeriod  bind ssl certKey [] [-ocspResponder ] [-priority ] show ssl certKey [] set aaa parameter -defaultAuthType CERT show aaa parameter set aaa certParams -userNameField "Subject:CN" show aaa certParams 

因此，认证、自认证和审计客户端和参数管理程序

1. 航海家司祖Sicherheit > AAA - Anwendungsverkehr > Virtuelle服务器。
2. Wählen我是您的详细信息，您的虚拟服务器，您的für die Authentifizierung von Clientzertifikaten konfigurieren möchten, und klicken您的客户Bearbeiten。
3. Klicken Sie auf der SeiteKonfiguration螺母证书auf den Rechtspfeil (>)， um das CA Cert Key-Installationsdialogfeld zu öffnen。
4. Klicken Sie im DialogfeldCA证书密钥汪汪汪插入。
5. Klicken Sie im DialogfeldCA证书密钥—SSL证书汪汪汪安装。
6. Legen我是Dialogfeld Zertifikat installierendie folgenden Parameter fest, deren Namen den CLI-Parameternamen entsprechen, wie in der Abbildung gezeigt:
   • Name des Zertifikatschlüsselpaars* - certkeyName
   • Dateiname des Zertifikats - certFile
   • 名称der Schlüsseldatei - keyFile
   • Zertifikatsformat -通知
   • 肯沃特-密码
   • Zertifikatspaket -束
   • Bei Ablauf benachrichtigen - expiryMonitor
   • Meldezeitraum - notificationPeriod
7. Klicken Sie aufInstallieren， und klicken Sie dann aufSchließen．
8. Wählen我是对话框CA证书密钥在清单中证书das Stammzertifikat aus。
9. Klicken Sie aufSpeichern．
10. Klicken Sie auf选择， um zum hauptkonfigationsbildschirm zurückzukehren。
11. 航海家司祖Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > CERT．
12. Wählen我是你的朋友，我是你的朋友，我是你的朋友für我是你的朋友，我是你的朋友möchtenBearbeiten．
13. 民意调查配置认证CERT策略在der dropdownlist Server den virtuellen Server aus, den Sie für die Authentifizierung von Clientzertifikaten konfiguriert haben。
14. Klicken Sie auf好吧．这是我的国家，我的国家，我的国家，我的国家。

auentifizierung von Clientzertifikaten mithilife erweiterter Richtlinien

我的Folgenden finden Sie die Schritte zum Konfigurieren der Clientzertifikatauthentifizierung auf Citrix ADC mithilfe erweiterter richtlinen。

1. 航海家司祖Sicherheit > AAA - Anwendungsverkehr > Virtuelle服务器．

2. Wählen您是我的详细信息，您的服务器，您的für die Authentifizierung von Clientzertifikaten konfigurieren möchten, und klicken您的Bearbeiten．

   Hinweis:

   Wenn Sie ein gültiges CA-Zertifikat und ein Serverzertifikat für den virtuellen服务器导入haben, können SieSchritt 3 bis Schritt 10uberspringen。

3. Klicken Sie auf der Seite配置螺母证书汪汪汪**， um das **CA Cert key - installationsdialog field祖茂堂offnen。
4. Klicken Sie im DialogfeldCA证书密钥汪汪汪插入。
5. Klicken Sie im DialogfeldCA证书密钥—SSL证书汪汪汪安装。

6. Legen我是Dialogfeld Zertifikat installierendie folgenden Parameter fest, deren Namen den CLI-Parameternamen entsprechen, wie in der Abbildung gezeigt:

   • Name des Zertifikatschlüsselpaars - certKeyName
   • Dateiname des Zertifikats - certFile
   • 名称der Schlüsseldatei - keyFile
   • Zertifikatsformat -通知
   • 肯沃特-密码
   • Zertifikatspaket -束
   • Bei Ablauf benachrichtigen - expiryMonitor
   • Meldezeitraum - notificationPeriod
7. Klicken Sie aufInstallierenund dann auf Schließen。
8. Wählen我是对话框CA证书密钥根据《证书清单》。
9. Klicken Sie aufSpeichern．
10. Klicken Sie auf选择， um zum hauptkonfigationsbildschirm zurückzukehren。
11. 航海家司祖Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien， und wählen Sie dannRichtlinie来自。

12. Führen你是我的详细资料，我的孩子，我的孩子，我们的孩子:

    • 嗯，你是我的朋友，你是我的朋友Hinzufugen．
    • 嗯，我爱你，我爱你，我爱你，我爱你，我爱你Bearbeiten．

13. Geben你是我的对话奥得河Authentifizierungsrichtlinie konfigurierenWerte für die参数ein oder wählen Sie Sie aus。

    • 名字，名字，里奇林。Für eine zuvor konfigurierte Richtlinie kann nicht geändert werden。
    • Aktionstyp - Zertifikat auswählen
    • Aktion - Die Authentifizierungsaktion (proffil)， Die mit der Richtlinie verknüpft werden soll。是können eine vorhandene的真实性auswählen oder auf das + klicken和eine neue Aktion des richtigen类型。
    • Protokollaktion - Die mit der Richtlinie zu verknüpfen Überwachungsaktion。你können eine vorhandene Überprüfungsaktion auswählen oder auf das + klicken und eine neue Aktion tion erstellen。
    • Ausdruck - Die Regel, Die verindungen auswählt, auf Die Sie Die angegebene Aktion anwenden möchten。Die Regel kann einfach(“wahr”wählt den gesamten Verkehr aus) oder komplex sein。您geben Ausdrucke静脉,indem先窝在der Ausdruckstyp Dropdownliste ganz链接螺母民主党Ausdrucksfenster auswahlen和丹古老Ausdruck direkt在窝Ausdruckstextbereich eingeben,奥得河indem您auf Hinzufugen klicken,嗯das Dialogfeld Ausdruck Hinzufugen祖茂堂offnen,和死亡达林bezeichnenden Dropdownlisten verwenden,嗯您Ausdruck)。
    • Kommentar - Sie können einen Kommentar eingeben, der die Art des Datenverkehrs beschreibt, für den diese Authentifizierungsrichtlinie黄金。可选的。
14. Klicken Sie aufErstellen奥得河好吧unddann aufSchließen．我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说，我是说。

通过für Clientzertifikate

Der Citrix ADC kann jetzt so konfiguriert werden, dass Clientzertifikate an geschützte Anwendungen weitergegeben werden, die Clientzertifikate für die Benutzerauthentifizierung benötigen。Der ADC authentifiziert zuerst den Benutzer, fügt dann das Clientzertifikat in die Anforderung ein und sendet es an die anwenddong。Diese Funktion weird durch Hinzufügen geeigneter SSL-Richtlinien konfiguriert。

Das genaue Verhalten dieser Funktion, wenn ein Benutzer ein Clientzertifikat vorlegt, hängt von der Konfiguration des virtuellen VPN-Servers ab。

• Wenn der virtuelle VPN-Server so konfiguriert ist, dass er Clientzertifikate akzeeptiert, diese aber nicht benötigt, fügt der ADC das Zertifikat in die Anforderung ein和leitet die Anfrage dann an die geschützte Anwendung weiter。
• Wenn auf dem virtuellen VPN-Server die Authentifizierung des Clientzertifikats deaktiveert ist, verhandelt der ADC as Authentifizierungsprotokoll neu und authentifiziert den Benutzer erneut, bevor er as Clientzertifikat in den Header einfügt und die Anforderung an die geschützte Anwendung weiterleitet。
• Wenn der virtuelle VPN-Server如此konfigurert ist, dass er er eine Authentifizierung des Clientzertifikats erfordert, verwendet der ADC das Clientzertifikat, um den Benutzer zu authentifiieren, fügt dann das Zertifikat in den Header ein und leitet die Anforderung an die geschützte Anwendung weiter。

在所有的diesen Fällen konfigurieren Sie das Passthrough des Clientzertifikats wie folgt。

Erstellen und Konfigurieren des Passthrough für Clientzertifikate über die Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

add vpn vserver  SSL  443 

Ersetzen您的名字durch einen Namen für den virtuellen服务器。Der Name muss aus einem bis 127 ASCII-Zeichen bestehen, beginend mit einem Buchstaben oder Unterstrich (_) und nur Buchstaben, Zahlen und Unterstrich, Hash (#)， Punkt (.)， Leerzeichen, Doppelpunkt (:)， at (@)， = (=) und Bindestrich(-)。Ersetzen您< IP >durch die dem virtuellen服务器zugewiesene ip地址。

set ssl vserver  -clientAuth ENABLED -clientCert  

Ersetzen您<名称>durch den Namen des virtuellen Servers, den Sie erstellt haben。Ersetzen您< clientCert >durch einen der folgenden Werte:

• disabled - Deaktiviert die Authentifizierung des Clientzertifikats auf dem virtuellen VPN-Server。
• mandatory - konfiguriert den virtuellen VPN-Server so, dass Clientzertifikate für die Authentifizierung erforderlich sind。
• 可选- konfiguriert den virtuellen VPN-Server so, dass er die Authentifizierung des Clientzertifikats zulässt, diese aber nicht erfordert。

绑定VPN vserver  -policy local 

Ersetzen您<名称>durch den Namen des virtuellen VPN-Servers, den Sie erstell haben。

绑定VPN vserver  -policy cert 

Ersetzen您<名称>druch den Namen des virtuellen VPN-Servers, den Sie erstellt haben。

bind ssl vserver  -certkeyName  

Ersetzen您<名称>durch den Namen des virtuellen Servers, den Sie erstellt haben。Ersetzen您< certkeyName >druch den Schlüssel des Clientzertifikats。

bind ssl vserver  -certkeyName  -CA -ocspCheck可选

Ersetzen您<名称>durch den Namen des virtuellen Servers, den Sie erstellt haben。Ersetzen您< cacertkeyName >durch den Schlüssel des CA-Zertifikats。

add ssl action  -clientCert ENABLED -certHeader CLIENT-CERT 

Ersetzen您< actname >durch einen Namen für die SSL-Aktion。

添加SSL策略 -rule true -action  

Ersetzen您< polname >durch einen Namen für Ihre neue SSL-Richtlinie。Ersetzen您< actname >durch den Namen der SSL-Aktion, die Sie erstellt haben。

bind ssl vserver  -policyName  -priority 10 

Ersetzen您<名称>durch den Namen des virtuellen VPN-Servers。

Beispiel

add vpn vserver vs-certpassthru SSL 10.121.250.75 443 set SSL vserver vs-certpassthru -clientAuth ENABLED -clientCert可选bind vpn vserver vs-certpassthru -policy local bind vpn vserver vs-certpassthru -certkeyName mycertKey bind SSL vserver vs-certpassthru -certkeyName mycertKey -CA -ocspCheck可选add SSL action act-certpassthru -clientCert ENABLED -certHeader CLIENT-CERT add SSL policy pol-certpassthru -rule true -action act-certpassthru绑定ssl vserver vs-certpassthru -policyName pol-certpassthru -priority 10