Serverauthentifizierung

August 15, 2023

Beitrag von:

Da die NetScaler Appliance SSL-Offload und -Beschleunigung im Namen eines Webservers durchführt, authentifiziert die Appliance normalerweise nicht das Zertifikat des Webservers. Sie können den Server jedoch in Bereitstellungen authentifizieren, die eine End-to-End-SSL-Verschlüsselung erfordern.

In einer solchen Situation wird die Appliance zum SSL-Client und führt eine sichere Transaktion mit dem SSL-Server durch. Es überprüft, ob eine CA, deren Zertifikat an den SSL-Dienst gebunden ist, das Serverzertifikat signiert hat, und überprüft die Gültigkeit des Serverzertifikats.

Um den Server zu authentifizieren, aktivieren Sie die Serverauthentifizierung und binden Sie das Zertifikat der Zertifizierungsstelle, die das Serverzertifikat signiert hat, an den SSL-Dienst auf der ADC-Appliance. Beim Binden des Zertifikats müssen Sie die Bindung als CA-Option angeben.

NetScaler unterstützt die Validierung von signierten Zertifikaten. Das heißt, wenn ein Zertifikat von mehreren Ausstellern signiert wurde, ist die Überprüfung erfolgreich, wenn mindestens ein gültiger Pfad zum Stammzertifikat vorhanden ist. Wenn in Version 13.1 Build 42.x und früher eines der Zertifikate in der Zertifikatskette quersigniert war und mehrere Pfade zum Stammzertifikat hatte, suchte die Appliance nur nach einem Pfad. Und wenn dieser Pfad nicht gültig war, schlug die Überprüfung fehl.

Serverzertifikatauthentifizierung aktivieren (oder deaktivieren)

Sie können die CLI und die GUI verwenden, um die Serverzertifikatauthentifizierung zu aktivieren und zu deaktivieren.

Aktivieren (oder deaktivieren) Sie die Serverzertifikatauthentifizierung mit der CLI

Geben Sie an der Befehlszeile die folgenden Befehle ein, um die Serverzertifikatsauthentifizierung zu aktivieren und die Konfiguration zu überprüfen:

set ssl service  -serverAuth ( ENABLED | DISABLED ) show ssl service

Beispiel:

              设置ssl服务ssl-service-1 -serverAuth启用show ssl service ssl-service-1 Advanced SSL configuration for Back-end SSL Service ssl-service-1:` DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) Cipher Name: ALL Description: Predefined Cipher Alias Done 
             

Aktivieren (oder deaktivieren) Sie die Serverzertifikatauthentifizierung mithilfe der GUI

Navigieren Sie zuTraffic Management > Load Balancing > Servicesund öffnen Sie einen SSL-Dienst.
Wählen Sie im Abschnitt SSL-Parameter die Option Serverauthentifizierung aktivieren aus und geben Sie einen allgemeinen Namen an.
Wählen Sie unter Erweiterte Einstellungen die Option Zertifikate aus und binden Sie ein CA-Zertifikat an den Dienst.

Binden Sie das CA-Zertifikat mithilfe der CLI an den Dienst

Geben Sie an der Befehlszeile die folgenden Befehle ein, um das CA-Zertifikat an den Dienst zu binden und die Konfiguration zu überprüfen:

bind ssl service  -certkeyName  -CA show ssl service

Beispiel:

              bind ssl service ssl-service-1 -certkeyName samplecertkey -CA show ssl service ssl-service-1 Advanced SSL configuration for Back-end SSL Service ssl-service-1: DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) CertKey Name: samplecertkey CA Certificate CRLCheck: Optional 1) Cipher Name: ALL Description: Predefined Cipher Alias Done 
             

Konfigurieren Sie einen allgemeinen Namen für die Serverzertifikatauthentifizierung

Bei der Ende-zu-Ende-Verschlüsselung mit aktivierter Serverauthentifizierung können Sie einen allgemeinen Namen in die Konfiguration eines SSL-Dienstes oder einer Dienstgruppe aufnehmen. Der von Ihnen angegebene Name wird während eines SSL-Handshakes mit dem allgemeinen Namen im Serverzertifikat verglichen. Stimmen die beiden Namen überein, ist der Handshake erfolgreich. Wenn die allgemeinen Namen nicht übereinstimmen, wird der für den Dienst oder die Dienstgruppe angegebene allgemeine Name mit den Werten im Feld Subject Alternative Name (SAN) im Zertifikat verglichen. Wenn es mit einem dieser Werte übereinstimmt, ist der Handshake erfolgreich. Diese Konfiguration ist besonders nützlich, wenn sich beispielsweise zwei Server hinter einer Firewall befinden und einer der Server die Identität des anderen vortäuscht. Wenn der allgemeine Name nicht aktiviert ist, wird ein von einem der Server vorgelegten Zertifikate akzeptiert, sofern die IP-Adresse übereinstimmt.

Hinweis:Nur die DNS-Einträge für Domainname, URL und E-Mail-ID im SAN-Feld werden verglichen.

Konfigurieren Sie die Überprüfung allgemeiner Namen für einen SSL-Dienst oder eine Dienstgruppe mithilfe der CLI

Geben Sie an der Befehlszeile die folgenden Befehle ein, um die Serverauthentifizierung mit Common-Name-Verifizierung festzulegen und die Konfiguration zu überprüfen:

Um einen allgemeinen Namen in einem Dienst zu konfigurieren, geben Sie Folgendes ein:
```
set ssl service  -commonName  -serverAuth ENABLED show ssl service  
```
Um einen allgemeinen Namen in einer Dienstgruppe zu konfigurieren, geben Sie Folgendes ein:
```
set ssl serviceGroup  -commonName  -serverAuth ENABLED show ssl serviceGroup  
```

Beispiel:

              set ssl service svc1 -commonName xyz.com -serverAuth ENABLED show ssl service svc Advanced SSL configuration for Back-end SSL Service svc1: DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED Common Name: www.xyz.com SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SNI: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) CertKey Name: cacert CA Certificate OCSPCheck: Optional 1) Cipher Name: ALL Description: Predefined Cipher Alias Done 
             

Konfigurieren Sie die Überprüfung allgemeiner Namen für einen SSL-Dienst oder eine Dienstgruppe mithilfe der GUI

Navigieren Sie zuTraffic Management > Load Balancing > Servicesoder navigieren Sie zuTraffic Management > Load Balancing > Service Groupsund öffnen Sie einen Dienst oder eine Dienstgruppe.
Wählen Sie im AbschnittSSL-Parameterdie OptionServerauthentifizierung aktivierenaus und geben Sie einen allgemeinen Namen an.

心血管病死亡offizielle版本这本目录是再见isch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Serverauthentifizierung

August 15, 2023

Beitrag von:

August 15, 2023

Beitrag von:

In diesem Artikel

War dieser Artikel hilfreich?