OCSP装订
CRL和OCSP的Citrix ADC实现只报告客户端证书的撤销状态。要检查在SSL握手期间接收到的服务器证书的撤销状态,客户端必须向证书颁发机构发送请求。
对于具有繁重流量的网站,许多客户端都收到相同的服务器证书。如果每个客户端向服务器证书的撤销状态发送查询,则证书颁发机构将与OCSP请求淹没以检查证书的有效性。
OCSP装订解决方案
为了避免不必要的拥塞,Citrix ADC设备现在支持OCSP订书机。也就是说,设备现在可以在SSL握手时,从OCSP响应器验证证书状态后,将服务器证书的撤销状态发送给客户端。服务器证书的撤销状态被“固定”到设备作为SSL握手的一部分发送给客户机的响应中。要使用OCSP订书特性,必须在SSL虚拟服务器上启用它,并在设备上添加OCSP响应器。
注意:
Citrix ADC设备支持RFC 6066中定义的OCSP订书机。
OCSP装订仅在Citrix ADC设备的前端支持。
重要的:
Citrix ADC支持OCSP装订器仅限于使用TLS协议版本1.0或更高版本的握手。
服务器证书的OCSP响应缓存
在SSL握手期间,当客户端请求服务器证书的撤销状态时,设备首先检查其本地缓存中是否有此证书的条目。如果找到一个有效的条目,将对其进行评估,并将服务器证书及其状态提供给客户端。如果没有找到撤销状态条目,设备将向OCSP响应器发送服务器证书的撤销状态请求。如果收到响应,则将证书和撤销状态发送给客户端。如果OCSP响应中出现了下一个更新字段,则将响应缓存到配置的时间长度(在timeout字段中指定的值)。
请注意:从版本12.1 Build 49.x,即使在超时到期之前,也可以清除服务器证书的缓存响应,即使在OCSP响应者到期。早些时候,在配置的超时结束之前,无法丢弃证书密钥对中的缓存状态。
要在命令提示符下使用CLI清除缓存状态,请键入:
CLEAR SSL CERTKEY -OCSPSTAPLINGCACHE <! - CELTCOPY - >
例子:
clear ssl certKey s1 -ocspstaplingCache
使用GUI清除缓存状态
- 在GUI中,导航到交通管理>SSL.>证书>CA证书.
- 在“详细信息”窗格中,选择一个证书。
- 在里面选择行动列表中,选择清除.提示确认,单击是的.
OCSP装订配置
配置OCSP订书钉涉及启用功能和配置OCSP。要配置OCSP,必须添加OCSP响应程序,将OCSP响应器绑定到CA证书,并将证书绑定到SSL虚拟服务器。
注意:
只支持基于HTTP的URL的OCSP响应器。
使用CLI启用OCSP订书
在命令提示符处,输入:
设置SSL vserver -ocspstapling [启用|禁用] <! - 需要 - >
例子:
set ssl vserver vip1 -ocspStapling ENABLED Done sh ssl vserver vip1高级ssl配置:DH: DISABLED DH Private-Key exponpling Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 120 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth:DISABLED SSL Redirect: DISABLED Non FIPS Cipher: DISABLED SNI: ENABLED OCSP Stapling: ENABLED SSLv2: DISABLED SSLv3: DISABLED TLSv1.0: ENABLED TLSv1.1: ENABLED TLSv1.2: ENABLED Push Encryption Trigger: Always Send Close-Notify: YES ECC Curve: P_256, P_384, P_224, P_521 1) CertKey Name: server_certificate1服务器证书1)Cipher Name:默认描述:具有加密强度的默认密码列表>= 128bit完成
注意:如果启用了默认(增强的)配置文件,则使用设置ssl配置文件<配置文件名称> -ocspStapling [ENABLED | DISABLED]
命令,启用或禁用OCSP。
使用GUI启用OCSP订书
- 导航到交通管理>SSL.>虚拟服务器.
- 打开虚拟服务器,然后SSL参数中,选择OCSP装订.
OCSP配置
动态或手动添加OCSP响应器,用于发送OCSP装订请求。内部响应器是在根据服务器证书的OCSP URL添加服务器证书及其颁发者证书时动态添加的。通过命令行或图形界面添加手动OCSP响应器。要发送服务器证书的OCSP请求,Citrix ADC设备会根据将OCSP响应器绑定到颁发者证书时分配给它的优先级选择它。如果响应器发送OCSP订书机请求失败,则选择优先级次高的响应器发送请求。例如,如果手工配置的响应器只有一个失败,且存在动态绑定的响应器,则选择该响应器发送OCSP请求。
如果OCSP URL不是HTTP,则不创建内部OCSP响应器。
请注意
手动添加的OCSP响应器优先于动态添加的OCSP响应器。
手工创建的OCSP响应器与内部创建的OCSP响应器的区别
手动创建OCSP响应器 | 内部(动态)创建OCSP响应器 |
手动创建并显式绑定到具有优先级的颁发者证书。 | 在添加服务器证书及其颁发者证书(CA证书)时,默认创建并绑定。名称以“ns_internal_”开头。 |
优先级在1到127之间为已配置的响应器保留。 | 优先级自动从128开始分配。 |
URL和批处理深度可以改变。 | URL和批处理深度不能改变。 |
直接删除。 | 只有删除服务器证书或CA证书时才会删除。 |
可以绑定到任何CA证书。 | 默认绑定一个CA证书。不能绑定到任何其他CA证书。 |
保存在配置文件(ns.conf)中。 | 添加命令未保存在配置中。只保存SET命令。 |
如果将优先级分别为1、2、3的3个OCSP响应器绑定到同一个颁发者证书上,再解除优先级为2的绑定,则其他优先级不受影响。 | 3个OCSP响应器自动绑定到优先级分别为128、129和130的颁发者证书。如果删除用于创建优先级为129的响应器绑定的服务器证书,则该响应器将被删除。另外,下一个响应器的优先级(优先级130)将自动更改为129。 |
请求处理示例:
- 添加虚拟服务器(VIP1)。
- 添加颁发者证书(CA1),并绑定到VIP1。
- 添加三个证书S1、S2和S3。系统默认创建内部响应器,分别为resp1、resp2、resp3。
- 绑定S3到VIP1。
- 请求来到VIP1。选中Responder resp3。
要动态地创建一个内部OCSP响应器,设备需要以下内容:
- 服务器证书颁发者的证书(通常是CA证书)。
- 服务器证书的证书-密钥对。此证书必须包含证书颁发机构提供的OCSP URL。URL用作动态添加的内部响应器的名称。
内部OCSP响应程序具有与手动配置的响应者相同的默认值。
注意:
在内部响应器上默认禁用缓存。使用
设置ssl ocspResponder
命令启用缓存。
2 .通过命令行配置OCSP
在命令提示符处,输入以下命令配置OCSP并验证配置结果:
添加ssl certKey < certkeyName > (cert <字符串>[密码])(关键<字符串> | -fipsKey <字符串> | -hsmKey <字符串>][通知<通知>][-expiryMonitor(启用|禁用)[-notificationPeriod < positive_integer >]][包(是的|不)]添加ssl ocspResponder <名称> URL > < URL(缓存(启用|禁用)[-cacheTimeout < positive_integer >]][-resptimeout < positive_integer >] [-responderCert <字符串> | -trustResponder] [-producedAtTimeSkew < positive_integer >] [-signingCert <字符串>][-useNonce(是的|不)][-insertClientCert(是的|不)]结合ssl certKey [< certkeyName >] [-ocspResponder <字符串>][优先< positive_integer >)显示ssl ocspResponder(<名称>)< !——NeedCopy >
参数:
httpMethod:
用于发送OCSP请求的HTTP方法。对于长度小于255字节的请求,可以配置向OCSP服务器查询的HTTP GET方法。如果指定了GET方法,但长度大于255字节,设备将使用默认方法(POST)。
取值范围:GET、POST
默认值:文章
ocspUrlResolveTimeout:
等待OCSP URL解析的时间,以毫秒为单位。在这段时间过后,优先级更高的响应器将被选择。如果所有响应都失败,则会出现错误消息或连接被丢弃,这取决于虚拟服务器上的设置。
最小值:100
最大的值:2000
例子:
添加SSL certkey root_ca1 -cert root_cacert。pem添加ssl ocspResponder ocsp_responder1 url http:// www.myCA.org: 80 / ocsp /“缓存启用-cacheTimeout 100 -resptimeout -responderCert responder_cert -producedAtTimeSkew 300 -signingCert sign_cert -insertClientCert是的结合ssl certKey root_ca1 -ocspResponder ocsp_responder1优先级1 sh ocspResponder ocsp_responder1 1)名称:ocsp_responder1 URL: http://www.myCA.org:80/ocsp/, IP: 192.128.22.22 Caching: Enabled Timeout: 30 minutes批处理:8 Timeout: 100mS HTTP Request Timeout: 100mS Request Signing Certificate: sign_cert Response Verification: Full, Certificate: responder_cert ProducedAt Time Skew: 300 s Nonce Extension:启用客户端证书插入:Enabled Done show certkey root_ca1 Name: root_ca1 Status: Valid, Days to expiration:8907 Version: 3…1)OCSP Responder Name: ocsp_responder1 Priority: 1 Done
1 .通过命令行修改OCSP
不能修改OCSP响应器的名称,但可以使用设置ssl ocspResponder
命令要更改任何其他参数。
在命令提示符下,键入以下命令以设置参数并验证配置:
设置ssl ocspResponder <名称> [URL > < URL][缓存(启用|禁用)][-cacheTimeout < positive_integer >] [-resptimeout < positive_integer >] [-responderCert <字符串> | -trustResponder] [-producedAtTimeSkew < positive_integer >] [-signingCert <字符串>][-useNonce(是的|不)]解放ssl certKey [< certkeyName >] [-ocspResponder <字符串>]结合sslcertKey [] [- ocspresponse ] [-priority ] show ssl ocspResponder []
通过GUI配置OCSP
- 导航到交通管理>SSL.>OCSP响应者,并配置OCSP响应者。
- 导航到交通管理>SSL.>证书,选择证书,并在行动列表中,选择OCSP绑定.绑定OCSP响应器.
- 导航到交通管理>负载均衡>虚拟服务器,打开虚拟服务器,在“Certificates”区域单击,绑定CA证书。
- 可选地,选择OCSP强制性.
注意:
中的插入客户端证书参数
添加SSL OcsPresponder.
和设置ssl ocspResponder
命令不再有效。即配置时忽略该参数。