导入和转换SSL文件
您现在可以从远程主机导入SSL资源,如证书、私钥、crl和DH密钥,即使这些主机无法通过FTP访问。这个特性在shell访问远程主机受到限制的环境中特别有用。在/nsconfig/ssl目录下创建默认文件夹如下:
- 证书文件:/nsconfig/ssl/certfile
- 私钥:/nsconfig/ssl/keyfile
- 利用:/var/netscaler/ssl/crlfile
- DH密钥:“/nsconfig/ssl/dhfile”
支持从HTTP和HTTPS服务器导入。如果文件所在的HTTPS服务器需要通过客户端证书认证才能访问,则导入失败。
注意:
import命令没有保存在配置文件(ns.conf)中,重启后重新导入配置文件可能会导致错误。
导入证书文件
您可以通过CLI和GUI从远程主机导入文件(资源)。
该任务指导管理员通过命令行从远端主机导入证书文件
在命令提示符处,输入:
import ssl certFile [] []
例子:
Import SSL certfile my-certfile http://www.example.com/file_1
show ssl certfile Name: my-certfile URL: http://www.example.com/file_1
要删除证书文件,请使用rm ssl certFile
命令,它只接受' name '参数。
该任务指导管理员通过命令行从远程主机导入密钥文件
在命令提示符处,输入:
import ssl keyFile [] []
例子:
Import SSL keyfile my-keyfile http://www.example.com/key_file
show ssl keyfile Name: my-keyfile URL: http://www.example.com/key_file
要删除密钥文件,请使用rm ssl密钥文件
命令,它只接受' name '参数。
通过命令行从远程主机导入CRL
在命令提示符处,输入:
导入ssl crlFile [] []
删除CRL文件时,使用rm ssl crlFile
命令,该命令只接受
例子:
import ssl crlfile my-crlfile http://www.example.com/crl_file show ssl crlfile Name: my-crlfile URL: http://www.example.com/crl_file
该任务指导管理员通过命令行从远程主机导入DH文件
在命令提示符处,输入:
import ssl dhFile [] []
例子:
import ssl dhfile my-dhfile http://www.example.com/dh_file show ssl dhfile Name: my-dhfile URL: http://www.example.com/dh_file
如果需要删除DH文件,请使用rm ssl dhFile
命令,该命令只接受
通过GUI导入SSL资源
导航到流量管理> SSL >导入,然后选择适当的选项卡。
导入PKCS#8和PKCS#12证书
如果希望使用网络中其他安全服务器或应用程序上已有的证书和密钥,可以导出它们,然后将它们导入Citrix ADC设备。在将导出的证书和密钥导入到Citrix ADC设备之前,您可能必须对它们进行转换。
有关如何从网络中的安全服务器或应用程序导出证书的详细信息,请参见要导出的服务器或应用程序的文档。
注意:
在Citrix ADC设备上安装时,密钥和证书名称不能包含除UNIX文件系统支持的字符以外的空格或特殊字符。在保存导出的密钥和证书时,请遵循适当的命名约定。
证书和私钥对通常以pkcs# 12格式发送。该设备支持证书和密钥的PEM和DER格式。要将PKCS#12转换为PEM或DER,或将PEM或DER转换为PKCS#12,请参阅本页后面的“转换SSL证书用于导入或导出”部分。
Citrix ADC设备不支持pkcs# 8格式的PEM密钥。但是,您可以使用OpenSSL接口将这些密钥转换为受支持的格式,您可以从CLI或配置实用程序访问该接口。在转换密钥之前,需要验证私钥是否为pkcs# 8格式。PKCS#8格式的密钥通常以以下文本开头:
-----BEGIN ENCRYPTED PRIVATE KEY----- leuSSZQZKgrgUQ== -----END ENCRYPTED PRIVATE KEY-----
在命令行中打开OpenSSL界面
- 使用SSH客户端(如PuTTY)打开到设备的SSH连接。
- 使用管理员凭据登录到设备。
- 在命令提示符处,输入shell。
- 在shell提示类型
openssl
.
从GUI打开OpenSSL界面
导航到流量管理> SSL并在“工具”组中选择OpenSSL接口.
使用OpenSSL接口将不支持的PKCS#8密钥格式转换为加密支持的密钥格式
在OpenSSL提示符下,根据不支持的密钥格式是RSA还是ECDSA类型,输入以下命令之一:
OpenSSL> -in -des3 -out OpenSSL>ec -in -des3 -out
将不支持的密钥格式转换为支持的密钥格式的参数
- PKCS # 8关键文件名:不兼容的PKCS#8私钥的输入文件名。
- 加密密钥文件名:PEM格式的兼容加密私钥输出文件名。
- 未加密的密钥文件名:PEM格式的兼容未加密私钥输出文件名。
转换SSL证书用于导入或导出
Citrix ADC设备支持SSL证书的PEM和DER格式。其他应用程序,如客户端浏览器和一些外部安全服务器,需要各种公钥加密标准(PKCS)格式。该设备可以将PKCS#12格式转换为PEM或DER格式,以便将证书导入到该设备,并可以将PEM或DER转换为PKCS#12以导出证书。为了提高安全性,导入文件的转换可以包括使用DES或DES3算法加密私钥。
注意:
如果使用GUI导入PKCS#12证书,且密码包含美元符号($)、反引号(')或escape()字符,则导入可能会失败。如果是,则会出现ERROR: Invalid password消息。如果密码中必须使用特殊字符,请务必使用转义字符()作为前缀,除非所有导入都是通过CLI执行的。
该任务指导管理员通过命令行转换证书格式
在命令提示符处,键入以下命令:
convert ssl pkcs12 [-import [-pkcs12File ] [-des | -des3] [-export [-certFile ] [-keyFile ]]
操作过程中,需要输入导入密码或导出密码。对于加密文件,还会提示您输入密码短语。
例子:
转换ssl pkcs12 Cert-Import-1。. pem -import -pkcs12File Cert-Import-1。pfx -des转换ssl pkcs12 Cert-Client-1。pfx -export -certFile Cert-Client-1 -keyFile Key-Client-1
使用GUI转换证书格式
导航到流量管理> SSL,在工具组,选择进口PKCS # 12.
文件中的PEM证书名称输出文件的名字字段。
浏览到PFX证书在本地计算机或设备上的位置。
点击好吧.
点击管理证书/密钥/ csr查看转换后的PEM文件。
您可以查看已上传的PFX文件和转换后的PEM文件。
导航到SSL>证书>服务器证书并点击安装.
指定一个证书密钥对的名字.
浏览到PEM文件的位置。
当提示时指定密码。
点击安装.
将证书密钥对绑定到SSL虚拟服务器。