安装系统
Citrix Gateway 12.1
在Citrix网关
在所有的产品
产品文档
安装系统
Citrix Gateway 12.1
在Citrix网关
在所有的产品
Citrix网关
当前版本 13.0 12.1
查看PDF

证书撤销列表

2020年10月5日
由:
C

证书颁发机构(ca)不时发布证书撤销列表(crl)。crl包含关于不再受信任的证书的信息。例如,假设Ann离开XYZ公司。该公司可以将Ann的证书放在CRL上,以防止她使用该密钥对消息进行签名。

类似地,如果私钥被泄露,或者该证书过期而新的证书正在使用,则可以撤销证书。在信任公钥之前,请确保该证书不会出现在CRL中。

Citrix Gateway支持以下两种CRL类型:

  • 列出被吊销或不再有效的证书的crl
  • 在线证书状态协议(OSCP),一种用于获取X.509证书的吊销状态的互联网协议

添加CRL

在Citrix Gateway设备上配置CRL之前,请确保CRL文件存储在该设备的本地。在高可用性设置的情况下,CRL文件必须出现在两个Citrix Gateway设备上,并且文件的目录路径必须在两个设备上相同。

如果需要刷新CRL,可以使用以下参数:

  • CRL名称:在Citrix ADC上添加的CRL的名称。最大31个字符。
  • CRL File: Citrix ADC上添加的CRL文件名。Citrix ADC默认在/var/ netscler /ssl目录中查找CRL文件。最多63个字符。
  • URL:最多127个字符
  • 基准DN:最多127个字符
  • 绑定DN:最多127个字符
  • 密码:最多31个字符
  • 天(s):最高31
  1. 在配置实用程序的configuration选项卡上,展开SSL,然后单击CRL。
  2. 在详细信息窗格中,单击Add。
  3. 2 .在“添加CRL”对话框中,输入以下值:
    • CRL的名字
    • CRL文件
    • 格式(可选)
    • CA证书(可选)
  4. 点击创建然后点击关闭.在CRL详细信息窗格中,选择刚刚配置的CRL,并检查屏幕底部显示的设置是否正确。

在配置实用工具中,配置使用LDAP或HTTP方式自动刷新CRL

CRL由CA定期生成并发布,在某些情况下,会在某个证书被撤销后立即生成并发布。Citrix建议您定期更新Citrix Gateway设备上的crl,以防止客户端试图连接无效的证书。

Citrix Gateway设备可以从web位置或LDAP目录刷新crl。当指定刷新参数和web位置或LDAP服务器时,执行命令时本地硬盘驱动器上不需要存在CRL。第一次刷新将在本地硬盘驱动器中存储一个副本,保存在“CRL文件”参数指定的路径中。CRL默认存放路径为“/var/netscaler/ssl”。

CRL刷新参数

  • CRL的名字

    Citrix Gateway上正在刷新CRL的名称。

  • 启用CRL自动刷新功能

    启用/禁用CRL自动刷新功能。

  • CA证书

    颁发CRL的CA的证书。此CA证书必须安装在该设备上。Citrix ADC只能从安装证书的ca更新crl。

  • 方法

    从web服务器(HTTP)或LDAP服务器获取CRL刷新的协议。取值范围:HTTP、LDAP。默认值:HTTP。

  • 范围

    LDAP服务器上搜索操作的范围。如果指定的范围为Base,则搜索与基准DN处于同一级别。如果指定的范围为“1”,则搜索范围扩展到基准DN以下一级。

  • 服务器IP

    获取CRL的LDAP服务器的IP地址。选择“IPv6”表示IP地址为IPv6。

  • 港口

    LDAP或HTTP服务器通信的端口号。

  • URL

    从其中检索CRL的web位置的URL。

  • 基本DN

    LDAP服务器搜索CRL属性时使用的基准DN。注意:Citrix建议在LDAP服务器中搜索CRL时使用base DN属性,而不是CA证书中的Issuer-Name。Issuer-Name字段可能与LDAP目录结构的DN不完全匹配。

  • Bind DN

    绑定DN属性,用于访问LDAP存储库中的CRL对象。绑定DN属性是LDAP服务器的管理员凭证。配置该参数可以限制对LDAP服务器的非授权访问。

  • 密码

    访问LDAP存储库中CRL对象的管理员密码。如果限制对LDAP存储库的访问,即不允许匿名访问,则需要设置此参数。

  • 时间间隔

    执行CRL刷新的时间间隔。如果是瞬时刷新CRL,则刷新时间间隔设置为NOW。取值:每月、每天、每周、现在、无。

  • 执行CRL刷新的日期。如果interval设置为DAILY,则该选项不可用。

  • 时间

    需要执行CRL刷新的确切时间(24小时格式)。

  • 二进制

    配置基于ldap的CRL检索方式为二进制。取值:YES、NO。默认值:不。

  1. 2 .在导航窗格中展开“SSL”,单击“CRL”。
  2. 选择已配置的需要更新刷新参数的CRL,单击“打开”。
  3. 选中“启用CRL自动刷新”选项。
  4. 2 .在“CRL自动刷新参数”组中,各参数的取值如下:注意:“*”表示必选参数。
    • 方法
    • 二进制
    • 范围
    • 服务器IP
    • 港口*
    • URL
    • 基本DN *
    • Bind DN
    • 密码
    • 时间间隔
    • 天(s)
    • 时间
  5. 单击Create。在CRL窗格中,选择刚刚配置的CRL,并检查屏幕底部显示的设置是否正确。
证书撤销列表
2020年10月5日
由:
C
2020年10月5日
由:
C

在这篇文章中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -思杰系统有限公司。保留所有权利。