在SSL卸载和加速
在Citrix ADC 13.0
在Citrix ADC
在所有的产品
产品文档
在SSL卸载和加速
在Citrix ADC 13.0
在Citrix ADC
在所有的产品
Citrix ADC
当前版本 13 12.1 11.1
查看PDF

服务器身份验证

2021年9月14日
由:
C

由于Citrix ADC设备代表web服务器执行SSL卸载和加速,因此该设备通常不验证web服务器的证书。但是,您可以在需要端到端SSL加密的部署中对服务器进行身份验证。

在这种情况下,设备将成为SSL客户端,并与SSL服务器执行安全事务。它验证其证书绑定到SSL服务的CA是否已签署服务器证书,并检查服务器证书的有效性。

要对服务器进行身份验证,请启用服务器身份验证,并将签署服务器证书的CA的证书绑定到ADC设备上的SSL服务。绑定证书时,必须将绑定指定为CA选项。

启用(或禁用)服务器证书身份验证

您可以使用CLI和GUI启用和禁用服务器证书身份验证。

使用CLI启用(或禁用)服务器证书身份验证

在命令提示下,键入以下命令以启用服务器证书身份验证并验证配置:

设置ssl服务-serverAuth(已启用|已禁用)显示ssl服务--需要复制-->

例子:

设置ssl服务ssl-service-1-已启用服务器身份验证<--需要复制-->
显示ssl服务ssl-service-1后端ssl服务的高级ssl配置ssl-service-1:`DH:禁用临时RSA:禁用会话重用:启用超时:300秒密码重定向:禁用SSLv2重定向:禁用服务器身份验证:启用ssl重定向:禁用非FIPS密码:禁用SSLv2:禁用SSLv3:启用TLSv1:启用1) 密码名称:所有描述:预定义密码别名完成<--需要复制-->

使用GUI启用(或禁用)服务器证书身份验证

  1. 导航到流量管理>负载均衡>业务,并打开SSL服务。
  2. 在“SSL参数”部分中,选择“启用服务器身份验证”,并指定“通用名称”。
  3. 在高级设置中,选择证书,并将CA证书绑定到服务。

使用CLI命令将CA证书与服务绑定

在命令提示符下,输入以下命令将CA证书绑定到服务并验证配置:

bind ssl service  -certkeyName  -CA show ssl service

例子:

绑定ssl服务ssl-service-1-certkeyName samplecertkey-CA<--需要复制-->
ssl-service-1后端ssl服务的高级ssl配置ssl-service-1: DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SSLv2: DISABLED SSLv3: DISABLED TLSv1:ENABLED 1) CertKey Name: samplecertkey CA Certificate CRLCheck:可选1)Cipher Name: ALL Description:预定义Cipher Alias Done

配置服务器证书认证的通用名称

在启用服务器身份验证的端到端加密中,可以在SSL服务或服务组的配置中包含公共名称。在SSL握手期间,您指定的名称将与服务器证书中的通用名称进行比较。如果两个名称匹配,则握手成功。如果公共名称不匹配,则将为服务或服务组指定的公共名称与证书中的主题替代名称(SAN)字段中的值进行比较。如果匹配其中一个值,则握手成功。例如,如果防火墙后有两台服务器,其中一台服务器欺骗了另一台服务器的身份,则此配置特别有用。如果没有检查公共名称,如果IP地址匹配,则接受任一服务器提供的证书。

注意:只比较SAN字段中的域名、URL和email ID DNS表项。

该任务指导管理员通过CLI配置SSL服务/服务组的common-name校验

在命令提示符处,输入以下命令,使用通用名验证指定服务器身份验证,并验证配置:

  1. 要在服务中配置公用名称,请键入:

    set ssl service  -commonName  -serverAuth ENABLED show ssl service

  2. 要在服务组中配置公用名称,请键入:

    设置ssl serviceGroup-commonName-serverAuth已启用显示ssl serviceGroup<--需要复制-->

例子:

>设置ssl服务svc1-commonName xyz.com-serverAuth已启用<--需要复制-->
show ssl service svc后端ssl服务的高级ssl配置svc1: DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED Common Name: www.xyz.com ssl Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: DISABLED SSLv2: DISABLED SSLv3:ENABLED TLSv1: ENABLED 1) CertKey Name: cacert CA Certificate OCSPCheck:可选1)Cipher Name: ALL Description:预定义Cipher Alias Done

使用GUI配置SSL服务或服务组的通用名验证

  1. 导航到流量管理>负载均衡>业务或导航到流量管理>负载均衡>服务组,并打开服务或服务组。
  2. 在“SSL参数”部分中,选择“启用服务器身份验证”,并指定通用名称。
服务器身份验证
2021年9月14日
由:
C
2021年9月14日
由:
C

在这篇文章中

网站反馈 | 隐私和法律术语 | 饼干的偏好 | 同意设置
© 1999-思杰系统有限公司。保留所有权利。