证书撤销列表
由CA签发的证书通常仍然有效,直至其到期日期。然而,在某些情况下,CA可能撤销到期日之前颁发的证书。例如,当业主的私有密钥被泄露,公司或个人的名称更改,或主体和CA的变化之间的关联。
证书吊销列表CRL (Certificate Revocation List)通过序列号和颁发者来识别无效的证书。
证书颁发机构定期颁发crl。可以将Citrix ADC设备配置为使用CRL阻止提供无效证书的客户端请求。
如果您已经拥有来自CA的CRL文件,请将其添加到Citrix ADC设备中。您可以配置刷新选项。您还可以配置Citrix ADC在指定的时间间隔内自动从web位置或LDAP位置同步CRL文件。该设备支持PEM或DER文件格式的crl。一定要指定要添加到Citrix ADC设备中的CRL文件的文件格式。
如果你已经使用了ADC作为CA创建在SSL部署使用的证书,你还可以创建一个CRL撤销特定证书。此功能可以使用,例如,以确保是在思杰ADC创建的自签名证书不是在生产环境或超过某一特定日期或者使用。
笔记:
默认情况下,crl存储在Citrix ADC设备上的/var/netscaler/ssl目录中。
在ADC设备上创建一个CRL
由于可以使用ADC设备作为CA并创建自签名证书,因此还可以撤销以下证书:
- 您所创建的证书。
- 您所拥有的CA证书。
设备必须在为这些证书创建CRL之前撤销无效的证书。设备将已撤销证书的序列号存储在索引文件中,并在每次撤销证书时更新该文件。索引文件是在证书第一次被吊销时自动创建的。
通过命令行方式撤销证书或创建CRL
在命令提示符处,键入以下命令:
create ssl crl (-revoke | -genCRL ) 例子:
create ssl crl Cert-CA-1 Key-CA-1 File-Index-1 -revoke Invalid-1——NeedCopy >使用GUI撤销证书或创建CRL
- 导航流量管理> SSL在“Getting Started”组中选择“CRL管理”。
- 输入证书的详细信息,并在选择操作列表,选择吊销证书, 或者CRL生成。
向ADC中添加一个已有的CRL
在Citrix ADC设备上配置CRL之前,请确保将CRL文件存储在本地的Citrix ADC设备上。在HA设置中,CRL文件必须在两个ADC设备上都存在,文件的目录路径必须在两个设备上相同。
通过命令行方式在Citrix ADC上添加CRL
在命令提示符下,输入以下命令在Citrix ADC上添加CRL并验证配置:
添加SSL CRL [-inform(DER | PEM)]示出了SSL CRL [] <! - NeedCopy - > 例子:
> add ssl crl crl-one /var/netscaler/ssl/CRL-one -inform PEM Done > show ssl crl crl-one Name: crl-one Status: Valid, Days to expiration: 29 crl路径:/var/netscaler/ssl/CRL-one格式:PEM CAcert: samplecertkey Refresh: DISABLED版本:1签名算法:sha1WithRSAEncryption颁发者:C=US,ST=California,L=Santa Clara,O=NetScaler Inc.,OU=SSL加速,CN=www.ns.com/emailAddress=support@Citrix ADC appliance.com Last_update: june 15 10:53:53 2010 GMT Next_update: jul15 10:53:53 2010 GMT 1) Serial Number: 00 Revocation Date: june 15 10:51:16 2010 GMT Done 通过使用GUI添加在Citrix ADC一个CRL
导航交通管理>SSL>CRL,并添加CRL。
配置CRL刷新参数
CRL由证书颁发机构定期生成并发布,有时是在特定证书被撤销后立即生成并发布。Citrix建议您定期更新Citrix ADC设备上的crl,以防止客户机试图连接无效证书。
Citrix ADC设备可以从web位置或LDAP目录刷新crl。当您指定刷新参数和web位置或LDAP服务器时,CRL不必在运行命令时出现在本地硬盘驱动器上。第一次刷新将在本地硬盘驱动器上的CRL File参数指定的路径中存储一个副本。CRL的默认存放路径为“/var/netscaler/ssl”。
注意:在10.0及以后版本中,默认不包含刷新CRL的方法。指定HTTP或LDAP方法。如果您从较早的版本升级到10.0或更高版本,您必须添加一个方法并再次运行该命令。
配置CRL自动刷新使用CLI
在命令提示符下,输入以下命令配置CRL自动刷新,并验证配置结果:
设置ssl crl < crlName >[刷新(启用|禁用)][-CAcert <字符串>][- server < ip_addr | ipv6_addr | * > | URL > < URL][方法(HTTP | LDAP)] [- port > <港口][basedn <字符串>][范围(基地|)][间隔<间隔>][天< positive_integer >] [- < HH: MM >] [-bindDN <字符串>]{密码}(二进制(是的|不)]显示ssl crl (< crlName >) < !——NeedCopy >例子:
设置CRL crl1刷新方法启用ldap通知DER -CAcert ca1 - server 10.102.192.192 - port 389范围基地basedn“cn = clnt_rsa4_multicert_der, ou = eng, o = ns, c =“- 00:01设置ssl CRL crl1刷新方法启用http -CAcert ca1 - port 80 - 00:10 url http://10.102.192.192/crl/ca1.crl > sh CRL 1)名称:crl1状态:Valid, Days to expiration: 355 CRL路径:/var/netscaler/ssl/crl1格式:PEM CAcert: ca1 Refresh: ENABLED Method: HTTP URL: http://10.102.192.192/crl/ca1.crl Port:80 Refresh Time: 00:10 Last Update: Successful, Date:Tue ju6 14:38:13 2010 Done 通过GUI配置LDAP或HTTP方式的CRL自动刷新
- 导航流量管理> SSL > CRL。
- 打开CRL,选择启用CRL自动刷新。
笔记
属性指定的实际更新时间之前,如果在外部存储库中刷新了新的CRL最后更新时间字段,则必须执行以下操作:
立即在Citrix ADC设备上刷新CRL。
选择CRL,单击,查看上次更新的时间细节。
利用同步
Citrix ADC设备使用最近分发的CRL来防止已撤销证书的客户端访问安全资源。
如果经常更新crl,那么Citrix ADC设备需要一种自动机制来从存储库中获取最新的crl。您可以将设备配置为按指定的刷新间隔自动更新crl。
该设备维护一个需要定期更新的内部crl列表。在这些指定的间隔内,设备扫描列表中需要更新的crl。然后它连接到远程LDAP服务器或HTTP服务器,检索最新的CRL,然后使用新的CRL更新本地CRL列表。
笔记:
如果CRL检查设置为强制当CA证书绑定到虚拟服务器,初始CRL刷新失败,以下采取行动的连接:
所有与CRL相同的颁发者的客户端认证连接都被拒绝为撤销连接,直到CRL刷新成功。
您可以指定该CRL刷新必须进行的时间间隔。您还可以指定的确切时间。
通过命令行同步CRL自动刷新
在命令提示符处,键入以下命令:
集SSL CRL [-interval <间隔>] [·天<整数>] [-time ] <! - NeedCopy - > 例子:
set ssl crl crl -1 -refresh ENABLE -interval month -days 10 -time 12:00 使用GUI同步CRL刷新
- 导航流量管理> SSL > CRL。
- 打开CRL,选择启用CRL自动刷新,并指定时间间隔。
使用证书撤销列表执行客户端身份验证
如果在Citrix ADC设备上存在证书撤销列表(CRL),则无论将执行CRL检查设置为强制还是可选,都将执行CRL检查。
握手的成功或失败取决于以下因素的组合:
- CRL检查规则
- 客户端证书检查规则
- CA证书的CRL配置状态
下表列出了涉及已撤销证书的握手的可能组合结果。
表1。使用已撤销证书与客户端握手的结果
| CRL检查规则 | 规则对客户端证书检查 | CA证书的CRL配置状态 | 与已撤销的证书握手的结果 |
|---|---|---|---|
| 可选 | 可选 | 失踪 | 成功 |
| 可选 | 强制性的 | 失踪 | 成功 |
| 可选 | 强制性的 | 现在 | 失败 |
| 强制性的 | 可选 | 失踪 | 成功 |
| 强制性的 | 强制性的 | 失踪 | 失败 |
| 强制性的 | 可选 | 现在 | 成功 |
| 强制性的 | 强制性的 | 现在 | 失败 |
| 可选/强制 | 可选 | 已到期 | 成功 |
| 可选/强制 | 强制性的 | 已到期 | 失败 |
笔记:
缺省情况下,CRL检查是可选的。若要从可选更改为必选,或反之,必须首先将证书从SSL虚拟服务器解除绑定,然后在更改选项后再次绑定它。
的输出
sh ssl vserver, OCSP check: optional表示CRL检查也是可选的。的输出信息中显示CRL检查设置sh ssl vserver命令,仅当CRL检查设置为强制时使用。如果CRL检查设置为可选,则不显示CRL检查的详细信息。
使用CLI配置CRL检查
在命令提示符处,键入以下命令:
bind ssl vserver -certkeyName [(-CA -crlCheck(必选|可选))]sh ssl vserver 例子:
结合SSL VS V1 -certkeyName CA -CA -crlCheck强制性>上海SSL,相较于VServer的V1 V1先进的SSL配置:DH:禁用DH专用密钥指数大小限制:禁用短暂RSA:启用刷新数:0会话重用:允许超时:120秒密码重定向:已禁用的SSLv2重定向:禁用明文端口:0客户端验证:启用客户证书要求:强制SSL重定向:士FIPS的加密算法:禁用SNI:禁用OCSP装订:已禁用HSTS:禁用HSTS IncludeSubDomains:NO HSTS最大年龄:0的SSLv2:已禁用的SSLv3:启用TLSv1.0:启用TLSv1.1:启用TLSv1.2工作:启用推送功能,加密触发:总是发送关闭-通知:YES ECC曲线:P_256,P_384,P_224,P_521 1)CertKey名称:CACA证书CRLCheck:强制性CA_NAME发送1)密码名称:DEFAULT描述:<! - NeedCopy - >预定义的密码别名完成使用GUI配置CRL检查
- 导航流量管理>负载均衡>虚拟服务器,并打开一个SSL虚拟服务器。
- 点击证书部分。
- 选择一个证书,并在OCSP和CRL检查列表,选择CRL强制性。
用已撤销或有效的证书握手的结果
| CRL检查规则 | 客户端证书检查规则 | CA证书的CRL配置状态 | 与已撤销的证书握手的结果 | 具有有效证书的握手的结果 |
|---|---|---|---|---|
| 强制性的 | 强制性的 | 现在 | 失败 | 成功 |
| 强制性的 | 强制性的 | 已到期 | 失败 | 失败 |
| 强制性的 | 强制性的 | 失踪 | 失败 | 失败 |
| 强制性的 | 强制性的 | 未定义的 | 失败 | 失败 |
| 可选 | 强制性的 | 现在 | 失败 | 成功 |
| 可选 | 强制性的 | 已到期 | 成功 | 成功 |
| 可选 | 强制性的 | 失踪 | 成功 | 成功 |
| 可选 | 强制性的 | 未定义的 | 成功 | 成功 |
| 强制性的 | 可选 | 现在 | 成功 | 成功 |
| 强制性的 | 可选 | 已到期 | 成功 | 成功 |
| 强制性的 | 可选 | 失踪 | 成功 | 成功 |
| 强制性的 | 可选 | 未定义的 | 成功 | 成功 |
| 可选 | 可选 | 现在 | 成功 | 成功 |
| 可选 | 可选 | 已到期 | 成功 | 成功 |
| 可选 | 可选 | 失踪 | 成功 | 成功 |
| 可选 | 可选 | 未定义的 | 成功 | 成功 |