在Citrix ADC设备上创建证书签名请求并使用SSL证书

要安装、链接和更新证书，请参见安装，链接和更新证书。

执行以下步骤以创建证书并将其绑定到SSL虚拟服务器。

• 创建私钥。
• 创建证书签名请求(CSR)。
• 将CSR提交给证书颁发机构。
• 创建证书密钥对。
• 将证书密钥对绑定到SSL虚拟服务器

下面的图表说明了该工作流。

创建私钥

私钥是数字证书中最重要的部分。根据定义，不与任何人共享此密钥，必须在Citrix ADC设备上保持安全。使用私钥只能使用公钥加密的任何数据。

您从CA收到的证书仅适用于用于创建CSR的私钥。将证书添加到Citrix ADC设备所需的关键。

重要的是:限制对您的私钥的访问。任何可以访问您的私钥的人都可以解密您的SSL数据。

笔记：允许的SSL密钥名长度包括绝对路径名的长度，如果该路径包含在密钥名中。

通过命令行创建RSA私钥

在命令提示符下，键入：

create ssl rsakey   [-expone (3 | F4)] [-keyform (DER | PEM)] [-des | -des3 | -aes256] {-password} [-pkcs8] 

例子：

create rsakey RSA_Key 2048 -aes256 -password 123456 -pkcs8 

使用GUI创建RSA私钥

1. 导航流量管理> SSL > SSL文件。

2. 在里面SSL文件页面，点击钥匙选项卡上,选择创建RSA密钥。

3. 输入以下参数的值，然后单击创建。

   • 关键文件名- 名称和，可选地，RSA密钥文件的路径。/ nsconfig / ssl /是默认路径。
   • 钥匙尺寸- RSA密钥的大小，位于位。可以从512位到4096位。
   • 公共指数价值- RSA密钥的公共指数。指数是密码算法的一部分，需要创建RSA键。
   • 键格式- RSA密钥文件存储在设备上的格式。
   • PEM编码算法—使用AES 256、DES或DES3 (Triple-DES)算法加密生成的RSA密钥。默认情况下，私钥是未加密的。
   • pem passphrase.- 如果私钥被加密，请输入密钥的密码短语。

创建证书签名请求

使用私钥创建证书签名请求并提交给证书颁发机构。

通过CLI创建证书签名请求

在命令提示符下，键入：

创建SSL Certreq  -KeyFile  |-fipskeyname ）[-keyform（der | pem）{-pempassphrase}] -countryname  -statename  -organizationname  -organizationUnitName  -LocalityName  -Commonname   -EmailAddress  {-ChallengePassword} -companename  -digestmethod（sha1 | sha256）<！ -  caltcopy  - >

例子：

create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256 

使用GUI创建证书签名请求

1. 导航交通管理>SSL。

2. 在里面SSL文件页面,点击csr选项卡,并单击创建证书签名请求(CSR)。

3. 输入以下参数的值。

   • 请求文件名- 名称和，可选地，证书签名请求的路径（CSR）。/ nsconfig / ssl /是默认路径。

   • 关键文件名—用于创建证书签名请求的私钥的名称(可选)和路径，该私钥随后成为证书密钥对的一部分。私钥可以是RSA密钥，也可以是ECDSA密钥。密钥必须存在于设备的本地存储中。/nsconfig/ssl是默认路径。

   • 键格式
   • PEM密码短语(用于加密密钥)
   • 消化方法
   • 组织名称
   • 州或省
   • 国家
   • 主题替代名称：主题备用名称（SAN）是X.509的一个扩展，允许使用典范ArtName字段与安全证书相关联。这些值称为“主题替代名称”（SAN）。名称包括：
     • IP地址（具有“IP的前缀：”示例：IP：198.51.10.5 IP：192.0.2.100）
     • DNS名称（具有“DNS：”的前缀示例：DNS：www.example.com DNS：www.example.org DNS：www.example.net）

     注:

     • 证书中的主题替代名称（SAN）字段允许您将多个值（例如域名和IP地址）相关联，具有单个证书。换句话说，您可以保护多个域，例如www.example.com，www.example1.com，www.example2.com，具有单一证书。

     • 一些浏览器，例如Google Chrome，不再支持证书签名请求（CSR）中的公共名称。他们在所有公开信任的证书中强制执行SAN。

   • 共同的名字:在SSL握手期间，您指定的名称将与服务器证书中的通用名称进行比较。如果两个名称匹配，则握手成功。如果公共名称不匹配，则将服务或服务组指定的公共名称与证书中的SAN字段值进行比较。如果匹配其中一个值，则握手成功。例如，如果防火墙后有两台服务器，其中一台服务器欺骗了另一台服务器的身份，则此配置特别有用。如果没有检查公共名称，如果IP地址匹配，则接受任一服务器提供的证书。

4. 点击创建。

将CSR提交给证书颁发机构

大多数证书机构（CA）通过电子邮件接受证书提交。CA将有效证书返回给您提交CSR的电子邮件地址。

添加证书密钥对

安装从证书颁发机构接收的已签名证书。

笔记：默认情况下，证书和密钥存储在/nsconfig/ssl目录下。如果您的证书或密钥存储在任何其他位置，则必须提供Citrix ADC设备上文件的绝对路径。

使用CLI添加证书密钥对

添加SSL CERTKEY  -Cert  [（ -  key  [-password]）|-fipskey ] [-inform（der | pem）] [] [-nexpirymonitor（已启用|禁用）[-notificationPeriod ]] show ssl certkey [] <！ -  caltcopy-- >

例子：

添加SSL CERTKEY RSA_CERTKEYPAIR -CERT SERVER_CERT.PEM -KEY RSA_KEY.PEM -PASSWORD SSL启用--notificationPeriod 30 DONE <！ -  COURTCOPY  - >

使用GUI添加证书密钥对

1. 导航交通管理> SSL>证书>服务器。

2. 输入以下参数的值，然后单击安装。

   • 证书密钥对名称 - 证书和私钥对的名称。

   • 证书文件名称-从证书颁发机构收到的已签名的证书。

   • 密钥文件名-用于形成证书密钥对的私钥文件的名称和(可选)路径。

将证书密钥对绑定到SSL虚拟服务器

重要提示：在将证书绑定到SSL虚拟服务器之前，将任何中间证书链接到此证书。有关链接证书的信息，请参阅创建一系列证书。

用于处理SSL事务的证书必须绑定到接收SSL数据的虚拟服务器。如果有多个虚拟服务器接收SSL数据，则必须将有效的证书-密钥对绑定到每一个虚拟服务器。

该任务指导管理员通过命令行，为虚拟服务器绑定SSL证书密钥对

在命令提示符下，输入以下命令将SSL证书密钥对绑定到虚拟服务器并验证配置:

绑定ssl vserver  -certkeyname  -ca -skipcaname show ssl vserver  <！ -  caltcopy  - >

例子：

Bind SSL VS VS1 -CertKeyName Cert2 -CA -Skipcaname Done SH SSL VS VS1高级SSL配置VS1ClearText端口：0客户端验证：禁用SSL重定向：禁用非FIPS CIPHER：禁用SNI：禁用OCSP装订：禁用HSTS：已禁用包含UBDOMAINS：0 SSLV2：禁用SSLV3：启用TLSv1.1：禁用TLSV1.2：禁用推送加密触发：始终发送关闭：是STRIGE SIG-DIGEST检查：禁用ECC曲线：P_256，P_384，P_224，P_521 1）CERTKEY名称：CERT1 CA证书OCSPCHECK：DOCENTION CA_NAME发送2）CERTKEY名称：CERT2 CA证书OCSPCHECK：可选CA_NAME跳过1）密码名称：默认说明：具有加密强度的默认密码列表> = 128bit DONE <！ -  CALLCOPY  - >

使用GUI将SSL证书密钥对绑定到虚拟服务器

1. 导航流量管理>负载均衡>虚拟服务器并打开SSL虚拟服务器。点击里面的证书部分。

2. 单击箭头以选择证书密钥对。

3. 从列表中选择证书键对。

4. 将证书键对绑定到虚拟服务器。

故障排除

下面是两个常见的错误场景，并提供了相应解决方案文章的链接。

• 如果在Citrix ADC设备上安装证书密钥对时看到以下错误，请参见https://support.citrix.com/article/CTX134233

  错误：私钥无效，或此私钥所需的PEM密码短语。

• 如果在Citrix ADC设备上安装SSL证书时看到以下错误，请参见https://support.citrix.com/article/CTX137887

  错误：证书无效。