Zertifikatsperrlisten

Ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bleibt in der Regel bis zum Ablaufdatum gültig。下估计Umständen kann die Zertifizierungsstelle das ausgestellte Zertifikat jedoch vor dem Ablaufdatum widerrufen。Wenn beispielsweise der private Schlüssel eines Eigentümers kompromittiert wirte， ändert sich der Name eines Unternehmens oder einer Person oder die Verknüpfung zwischen dem Subjekt und under Zertifizierungsstelle。

Eine zertifikatsperrlist (Certificate Revocation List, CRL) identifiziert ungültige Zertifikate anhand der seriennumber und des Ausstellers。

Zertifizierungsstellen stellen regelmäßig Zertifikatsperrlisten aus。Sie können die Citrix ADC Appliance so konfigurieren, dass eine Zertifikatsperrliste verwendet wirten, um Clientanforderungen zu blockieren, die ungültige Zertifikate enthalten。

Wenn Sie bereits eine CRL-Datei von einer Zertifizierungsstelle haben, fügen Sie diese der Citrix ADC Appliance hinzu。Sie können Aktualisierungsoptionen konfigurieren。Sie können Citrix ADC auch so figurureren, dass die CRL-Datei automatich bestimmten interval von einem Webspeicherort odereinem LDAP-Standort aus synchronisiert word。模具器具unterstützt CRLs im PEM- order DER-Dateiformat。Stellen Sie sicher, dass Sie das Dateiformat der CRL-Datei angeben, die der Citrix ADC Appliance hinzugefügt wird。

Wenn Sie den ADC als Zertifizierungsstelle verwendet haben, um Zertifikate zu erstellen, die in SSL-Bereitstellungen verwendet werden, können Sie auch eine CRL erstellen, um ein bestimtes Zertifikat zu widerrufen。Diese Funktion kann beispielsweise verwendet werden, um sicherzustellen, dass selbstsignierte Zertifikate, die auf dem Citrix ADC erstellt werden, weder in einer producktionsumgebung noch über ein bestimtes hinaus verwendet werden数据。

Hinweis:

Standardmäßig werden Zertifikatsperrlisten im Verzeichnis /var/netscaler/ssl auf der Citrix ADC Appliance gespeichert。

Erstellen einer CRL auf der ADC-Appliance

大Sie die ADC-Appliance verwenden können, um als Zertifizierungsstelle zu fungieren und selbstsignierte Zertifikate zu erstellen, können Sie auch die folgenden Zertifikate widerrufen:

• 泽尔蒂菲凯特，死吧。
• Zertifikate, deren CA-Zertifikat Sie besitzen。

模具器具muss ungültige Zertifikate widerrufen, bevor eine Zertifikatsperrliste für diese Zertifikate erstellt word。模具器具系列产品在einer Indexdatei和aktualisit de Datei jedes Mal, wenn sie in Zertifikat widerruft中。Die datei wautomatisch erstellt, wenn in Zertifikat zum ersten Mal gesperrt wellist。

Widerrufen eines Zertifikats oder Erstellen einer zertifikatsperrlist mit der CLI

Geben Sie an der eingabeauforderung den folgenden Befehl ein:

create ssl crl    (-revoke  | -genCRL ) 

Beispiel:

create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -revoke invalidate -1 create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -genCRL crl -1 

Widerrufen eines Zertifikats order Erstellen einer zertifikatsperrlist mit der GUI

1. Navigieren您祖茂堂流量管理> SSL， und wählen Sie in der Gruppe Erste Schritte die Option crl verwaltung aus。
2. 我们会死的wählen Sie in der list操作auswahlen死选项Zertifikat widerrufen奥得河CRL generieren来自。

Hinzufügen einer vorhandenen Zertifikatsperrliste zum ADC

思Citrix ADC电器配置，思Citrix ADC电器配置。在einem HA-Setup muss die CRL-Datei auf beiden acc -Appliances vorhanden sein, und der Verzeichnispfad zur Datei muss auf beiden Appliances identisch sein。

Hinzufügen einer Zertifikatsperrliste auf dem Citrix ADC mit der CLI

Geben Sie an der eingabeauforderung die folgenden Befehle ein, um eine Zertifikatsperrliste auf dem Citrix ADC hinzuzufügen und die configure zu überprüfen:

add ssl crl   [-inform (DER | PEM)] show ssl crl [] 

Beispiel:

> add ssl crl crl-one /var/netscaler/ssl/CRL-one -inform PEM完成> show ssl crl crl-one名称:crl-one状态:Valid，过期天数:29 crl路径:/var/netscaler/ssl/CRL-one格式:PEM CAcert: samplecertkey刷新:DISABLED版本:1签名算法:sha1WithRSAEncryption颁发者:C=US,ST=California,L=Santa Clara,O=NetScaler Inc,OU=SSL Acceleration,CN=www.ns.com/emailAddress=support@Citrix ADC appliance.com Last_update:Jun 15 10:53:53 2010 GMT Next_update: july 15 10:53:53 2010 GMT 1)序列号:00撤销日期:Jun 15 10:51:16 2010 GMT Done 

Hinzufügen einer Zertifikatsperrliste auf dem Citrix ADC mit der GUI

Navigieren您祖茂堂交通管理>SSL>CRL， und fügen Sie eine CRL hinzu。

Konfigurieren冯CRL-Aktualisierungsparametern

Eine Zertifizierungsstelle in regelmäßigen Abständen oder manchmal unmittelbar nach dem Widerruf eines bestimmten Zertifikats generiert und veröffentlicht。Citrix empfiehlt, die Zertifikatsperrlisten auf der Citrix ADC Appliance regelmäßig zu aktualisieren, um den Schutz vor Clients zu gewährleisten, die eine verindung mit ungültigen Zertifikaten herstellen möchten。

Die Citrix ADC Appliance kann Zertifikatsperrlisten von einem Webspeicherort oder einem LDAP-Verzeichnis aktualisieren。wen Sie aktualisierungparameen Webspeicherort oder einen LDAP-Server angeben, muss die Zertifikatsperrliste zum Zeitpunkt der Ausführung des Befehls night auf der lokalen Festplatte vorhanden sein。beder ersten Aktualisierung wirine Kopie auf dem lokalen Festplattenlaufwerk in dem durch den参数CRL-Datei angelgebenen Pfad gespeichert。Der Standardpfad zum Speichern Der Zertifikatsperrliste lautet /var/netscaler/ssl。

Hinweis:在版本10.0 und höher ist die Methode zum Aktualisieren einer Zertifikatsperrliste standardmäßig夜enthalten。Geben Sie eine HTTP- oder LDAP-Methode an。Wenn Sie ein Upgrade von einer früheren Version auf Version 10.0 oder höher durchführen, müssen Sie eine Methode hinzufügen und den Befehl erneut ausführen。

CLI下的配置文件

Geben Sie an der eingabeauforderung die folgenden Befehle ein, um CRL Auto Refresh zu konfigureren und die configururation zu überprüfen:

set ssl crl  [-refresh (ENABLED | DISABLED)] [-CAcert ] [-server  | -url ] [-method (HTTP | LDAP)] [-port ] [-baseDN ] [-scope (Base | One)] [-interval ] [day ] [-time ][-bindDN ] {-password} [-binary (YES | NO)] show ssl crl [] 

Beispiel:

设置CRL crl1刷新方法启用ldap通知DER -CAcert ca1 - server 10.102.192.192 - port 389范围基地basedn“cn = clnt_rsa4_multicert_der, ou = eng, o = ns, c =“- 00:01设置ssl CRL crl1刷新方法启用http -CAcert ca1 - port 80 - 00:10 URL http://10.102.192.192/crl/ca1.crl > sh CRL 1)名称:crl1状态:有效,天过期:355 CRL路径:/var/netscaler/ssl/crl1格式:PEM CAcert: ca1刷新:方法:启用http URL:http://10.102.192.192/crl/ca1.crl端口:80刷新时间:00:10 Last Update: Successful, Date:Tue ju6 14:38:13 2010 Done 

LDAP协议HTTP协议GUI

1. Navigieren您祖茂堂流量管理> SSL > CRL．
2. Öffnen Sie eine zertifikatsperrlist, und wählen SieAutomatische Zertifikatsperrliste aktivieren．

Hinweis

Wenn die neue CRL vor der tatsächlichen Aktualisierungszeit im externen Repository aktualisiert wurde, wie im Feld成为Aktualisierungszeitder CRL angegeben, müssen Sie Folgendes tun: Aktualisieren Sie die CRL auf der Citrix ADC Appliance

sofort。

嗯die letzte Aktualisierungszeit anzuzeigen, wählen Sie die Zertifikatsperrliste aus, und klicken Sie auf细节．

Synchronisieren冯Zertifikatsperrlisten

德国Citrix ADC电器有限公司(Die Citrix ADC Appliance)

Wenn Zertifikatsperrlisten häufig aktualisiert werden, benötigt die Citrix ADC Appliance einen automatisierten Mechanismus, um die neuesten Zertifikatsperrlisten aus dem Repository abzurufen。Sie können die Appliance so konfigurieren, dass Zertifikatsperrlisten automatisch in einem angegebenen Aktualisierungsintervall aktualisiert werden。

模具设备verwaltet eine interinterlistder Zertifikatsperrlisten，死于regelmäßigen Abständen aktualisiert werden müssen。在工业生产中，模具使用说明书:müssen。Remote-LDAP-Server oder HTTP-Server her, ruft die neuesten CRLs ab and aktualisiert danl - list mit den neuen CRLs。

Hinweis:

Wenn die CRL-Prüfung auf foratorisch gesetzt ist, Wenn das CA-Zertifikat an den virtuellen Server gebunden ist und die anfängliche CRL-Aktualisierung fehlschlägt，疯狂的folgende Aktion für Verbindungen ergriffen:

allle client - authentifizierungsverindungen mit demselben Aussteller wie die CRL werden bis zur CRL als REVOKED zurückgewiesen wird erfolgreich aktualisiert。

Sie können das Intervall angeben, in dem die CRL-Aktualisierung durchgeführt werden muss。Sie können auch die genaue Zeit angeben。

CLI下的自动同步程序

Geben Sie an der eingabeauforderung den folgenden Befehl ein:

set ssl crl  [-interval ] [day ] [-time ] 

Beispiel:

set ssl crl crl -1 -refresh ENABLE -interval每月-天10 -time 12:00 

GUI下的同步程序

1. Navigieren您祖茂堂流量管理> SSL > CRL．
2. Öffnen Sie eine zertifikatsperrlist, wählen SieAutomatische Zertifikatsperrliste aktivieren让我们走吧。

Ausführen der Clientauthentifizierung mit einer zertifikatsperrlist

Wenn eine zertifikatsperrlist (Certificate Revocation List, CRL) auf einer Citrix ADC Appliance vorhanden ist, wid eine Zertifikatsperrlistenprüfung durchgeführt, unabhängig davon, ob die Zertifikatsperrlistenprüfung auf必选festgelegt ist。

Der Erfolg oder Misserfolg eines Handshake hängt von einer combination Der folgenden Faktoren ab:

• 雷格für死CRL-Prüfung
• 雷格für死Clientzertifikatprüfung
• 状态der für das Zertifizierungsstellenzertifikat konfigurierten zertifikatsperrlist

In der folgenden Tabelle sinde Ergebnisse der möglichen Kombinationen für einen Handshake mit einem gesperrten Zertifikat aufgeführt。

Tabelle 1。Ergebnis eines与einem握手Verwendung eines gesperrten Zertifikats下的客户

Hinweis:

• Die CRL-Prüfung ist standardmäßig可选。Um von optional zuerst oder umgekehrt zu wechseln, müssen Sie zuerst das Zertifikat vom virtuellen SSL-Server lösen und es dann nach dem Ändern der Option erneut bind。

• 在der Ausgabe des Befehlssh ssl vserverbedeet OCSP检查:可选的，dass eine CRL-Prüfung ebenfalls可选的ist。死CRL-Prüfungseinstellungen werden在der Ausgabe dessh ssl vserver上帝保佑你，你会死CRL-Prüfung义不容辞。Wenn die CRL-Prüfung auf optional gesetzt ist, werden die Details der CRL-Prüfung nicht angezeigt。

所以konfigurieren Sie die CRL-Prüfung mit der CLI

Geben Sie an der eingabeauforderung den folgenden Befehl ein:

bind ssl vserver  -certkeyName  [(-CA -crlCheck(必选|可选))]sh ssl vserver 

Beispiel:

bind ssl vs v1 -certkeyName ca -CA -crlCheck mandatory > sh ssl vs v1 VServer v1的高级ssl配置:DH: DISABLED DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 120秒Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth: ENABLED Client Cert Required: mandatory ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS:DISABLED HSTS inclesubdomains: NO HSTS Max-Age: 0 SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED Push Encryption Trigger: Always Send Close-Notify: YES ECC Curve: P_256, P_384, P_224, P_521 1) CertKey Name: ca ca Certificate CRLCheck: Mandatory CA_Name Sent 1) Cipher Name: DEFAULT Description:预定义Cipher Alias Done 

配置图形用户界面CRL-Prüfung mit der GUI

1. Navigieren您祖茂堂流量管理>负载均衡> Virtuelle服务器， und öffnen Sie einen virtuellen SSL-Server。
2. 在Abschnitt的Klicken SieZertifikate．
3. Wählen Sie ein Zertifikat aus, und wählen Sie in der listOCSP und CRL检查死亡的选择CRL Obligatorisch来自。

Ergebnis eines握手mit einem gesperrten oder gültigen Zertifikat