证书撤销列表
证书颁发机构(CAs)不时会发布证书撤销列表(crl)。crl包含关于不再受信任的证书的信息。例如,假设安离开了XYZ公司。该公司可以将Ann的证书放在CRL上,以防止她使用该密钥签名消息。
类似地,如果私钥被泄露,或者证书过期且正在使用新的证书,则可以撤销证书。在信任公钥之前,请确保证书没有出现在CRL中。
Citrix Gateway支持以下两种CRL类型:
- 列出已吊销或不再有效的证书的CRL
- 在线证书状态协议(OSCP),用于获取X.509证书的撤销状态的Internet协议
添加CRL。
在Citrix网关设备上配置CRL之前,请确保CRL文件存储在设备本地。在高可用性设置的情况下,两个Citrix网关设备上都必须存在CRL文件,并且两个设备上指向该文件的目录路径必须相同。
如果需要刷新CRL,可以使用以下参数:
- CRL名称:Citrix ADC上添加CRL的名称。最多31个字符。
- CRL文件:在Citrix ADC上添加的CRL文件的名称。默认情况下,Citrix ADC在/var/netscaler/ssl目录中查找CRL文件。最多63个字符。
- URL:最多127个字符
- 基本DN:最多127个字符
- 绑定DN:最大127个字符
- 密码:最大31个字符
- 天:最多31
- 在“配置实用程序”中,在“配置”选项卡上,展开SSL,然后单击CRL。
- 在“详细信息”窗格中,单击“添加”。
- 在“添加CRL”对话框中,指定以下值:
- CRL名称
- CRL文件
- 格式(可选)
- CA证书(可选)
- 点击创建然后点击关. 在CRL详细信息窗格中,选择您配置的CRL,并验证屏幕底部显示的设置是否正确。
要在GUI中使用LDAP或HTTP配置CRL自动刷新,请执行以下操作:
CRL由CA定期生成并发布,有时是在特定证书被吊销后立即生成并发布。Citrix建议您定期更新Citrix Gateway设备上的crl,以防止客户端试图连接无效证书。
Citrix Gateway设备可以从web位置或LDAP目录刷新crl。当您指定刷新参数和web位置或LDAP服务器时,CRL不必在运行命令时出现在本地硬盘驱动器上。第一次刷新将在本地硬盘驱动器上的CRL File参数指定的路径中存储一个副本。CRL的默认存放路径为“/var/netscaler/ssl”。
CRL刷新参数
CRL名称
Citrix网关上刷新的CRL的名称。
启用CRL自动刷新
启用/禁用CRL自动刷新。
CA证书
已签发CRL的CA的证书。此CA证书必须安装在设备上。Citrix ADC只能从已安装证书的ca更新crl。
方法
从web服务器(HTTP)或LDAP服务器获取CRL刷新的协议。可能的值:HTTP、LDAP。默认值:HTTP。
范围
LDAP服务器上搜索操作的范围。如果指定的范围是Base,则搜索与Base DN处于同一级别。如果指定的范围为1,则搜索将扩展到低于基本DN的一个级别。
服务器IP.
检索CRL的LDAP服务器的IP地址。选择“IPv6”,使用IPv6的IP地址。
港口城市
LDAP或HTTP服务器通信的端口号。
URL.
从其中检索CRL的web位置的URL。
基本DN
LDAP服务器搜索CRL属性时使用的基准DN。注意:Citrix建议使用基本DN属性而不是CA证书中的颁发者名称在LDAP服务器中搜索CRL。Issuer-Name字段可能与LDAP目录结构的DN不完全匹配。
Bind DN
BIND DN属性用于访问LDAP存储库中的CRL对象。BIND DN属性是LDAP服务器的管理员凭据。配置此参数以限制对LDAP服务器的未经授权访问。
密码
访问LDAP存储库中的CRL对象时使用的管理员密码。如果限制对LDAP存储库的访问,即不允许匿名访问,则需要输入密码。
间隔
必须执行CRL刷新的间隔。对于瞬时CRL刷新,请将间隔指定为现在。可能值:每月、每天、每周、现在、无。
天
必须执行CRL刷新的日期。如果间隔设置为“每日”,则该选项不可用。
时间
必须执行CRL刷新的24小时格式的准确时间。
二进制
设置ldap方式的CRL检索方式为二进制。取值范围:YES、NO。默认值:不。
- 在导航窗格中,展开SSL,然后单击CRL。
- 选择要更新刷新参数的已配置CRL,然后单击“打开”。
- 选择启用CRL自动刷新选项。
- 在CRL自动刷新参数组中,指定以下参数的值:注意:星号(*)表示必填参数。
- 方法
- 二进制
- 范围
- 服务器IP.
- 港口*
- URL.
- 基本DN*
- Bind DN
- 密码
- 间隔
- 天
- 时间
- 单击创建。在CRL窗格中,选择您配置的CRL,并验证屏幕底部显示的设置是否正确。
使用OCSP监视证书状态
OCSP (Online Certificate Status Protocol)是一种Internet协议,用于确定客户端SSL证书的状态。Citrix网关支持RFC 2560中定义的OCSP。在信息的及时性方面,OCSP比证书撤销列表(crl)具有显著的优势。客户证书的最新撤销状态在涉及大额资金和高价值股票交易的交易中特别有用。它还使用更少的系统和网络资源。OCSP的Citrix网关实现包括请求批处理和响应缓存。
Citrix OCSP的网关实现
当Citrix网关在SSL握手期间接收到客户端证书时,Citrix Gateway设备上的OCSP验证开始。要验证证书,Citrix Gateway会创建OCSP请求并将其转发给OCSP响应者。为此,Citrix网关从客户端证书中提取OCSP响应者的URL,或使用本地配置的URL。该事务处于暂停状态,直到Citrix Gateway评估来自服务器的响应并确定是否允许交易或拒绝它。如果来自服务器的响应延迟超过配置的时间,并且没有配置其他响应者,则Citrix网关允许事务或显示错误,具体取决于您是否将OCSP检查设置为可选或强制性。Citrix Gateway支持批处理OCSP请求和ECSP响应的缓存,以减少OCSP响应器上的负载并提供更快的响应。
OCSP请求批处理
每次Citrix Gateway收到客户端证书,它会向OCSP响应者发送请求。为了帮助避免重载OCSP响应者,Citrix网关可以在同一请求中查询多个客户端证书的状态。对于请求批处理以有效地工作,您需要定义超时,以便在等待形成批处理时不会延迟单个证书的处理。
OCSP响应缓存
缓存从OCSP响应程序接收的响应可以更快地响应用户,并减少OCSP响应程序的负载。从OCSP响应程序接收到客户端证书的吊销状态后,Citrix Gateway会在本地缓存预定义时间长度的响应。当在SSL握手过程中收到客户端证书时,Citrix网关首先检查其本地缓存以获取该证书的条目。如果发现一个条目仍然有效(在缓存超时限制内),将对该条目进行评估,并接受或拒绝客户端证书。如果找不到证书,Citrix网关将向OCSP响应程序发送请求,并将响应存储在其本地缓存中一段配置的时间。
配置OCSP证书状态
配置联机证书状态协议(OCSP)涉及添加OCSP响应程序、将OCSP响应程序绑定到来自证书颁发机构(CA)的签名证书,以及将证书和私钥绑定到安全套接字层(SSL)虚拟服务器。如果需要将不同的证书和私钥绑定到已配置的OCSP响应程序,则需要首先解除响应程序的绑定,然后将响应程序绑定到不同的证书。
配置OCSP.
在“配置”选项卡上,在“导航”窗格中,展开SSL,然后单击“OCSP响应者”。
在“详细信息”窗格中,单击“添加”。
在名称中,键入概要文件的名称。
在URL中,键入OCSP响应程序的Web地址。
这个字段是强制性的。Web地址不能超过32个字符。
要缓存OCSP响应,请单击“缓存”和“超时”,键入Citrix网关保存响应的分钟数。
在请求批处理下,单击启用。
在批量延迟中,指定允许批量批量OCSP请求的时间以毫秒为单位。
取值范围为0 ~ 10000。默认值是1。
在Produced At Time Skew中,键入当设备必须检查或接受响应时Citrix Gateway可以使用的时间。
在响应验证下,如果要禁用OCSP响应者禁用签名检查,请选择信任响应。
如果启用信任响应,请跳过步骤8和步骤9。
在证书中,选择用于签署OCSP响应的证书。
如果未选择证书,则使用OCSP响应器绑定的CA对响应进行验证。
在请求超时中,输入等待OCSP响应的毫秒数。
该时间包括配料延迟时间。这些值可以从0到120000。默认值为2000。
在签署证书中,选择用于签署OCSP请求的证书和私钥。如果未指定证书和私钥,则不会签名请求。
启用一次使用的号码
(暂时)延期,选择特定场合。要使用客户端证书,请单击“客户端证书插入”。
单击“创建”,然后单击“关闭”。