Autentificación servidor

May 9, 2023

Contribución de:

Dado que el dispositivo NetScaler realiza la descarga y la aceleración de SSL en nombre de un servidor web, el dispositivo no suele autenticar el certificado del servidor web. Sin embargo, puede autenticar el servidor en implementaciones que requieren cifrado SSL de extremo a extremo.

En tal situación, el dispositivo se convierte en el cliente SSL y realiza una transacción segura con el servidor SSL. Comprueba que una CA cuyo certificado está enlazado al servicio SSL ha firmado el certificado del servidor y comprueba la validez del certificado del servidor.

Para autenticar el servidor, habilite la autenticación del servidor y vincule el certificado de la CA que firmó el certificado del servidor al servicio SSL del dispositivo ADC. Al vincular el certificado, debe especificar el enlace como una opción de CA.

A partir de la versión 13.1, compilación 42.x, el dispositivo NetScaler admite la validación de certificados con firma cruzada. Es decir, si un certificado está firmado por varios emisores, la validación se aprueba si hay al menos una ruta válida al certificado raíz. Anteriormente, si uno de los certificados de la cadena de certificados estaba firmado de forma cruzada y tenía varias rutas al certificado raíz, el dispositivo ADC solo comprobaba si había una ruta. Y si esa ruta no era válida, la validación falló.

Habilitar (o inhabilitar) la autenticación de certificados de servidor

Puede utilizar la CLI y la GUI para habilitar y inhabilitar la autenticación con certificados de servidor.

Habilitar (o inhabilitar) la autenticación con certificados de servidor mediante la CLI

En la línea de comandos, escriba los siguientes comandos para habilitar la autenticación con certificados de servidor y comprobar la configuración:

set ssl service  -serverAuth ( ENABLED | DISABLED ) show ssl service

Ejemplo:

              set ssl service ssl-service-1 -serverAuth ENABLED show ssl service ssl-service-1 Advanced SSL configuration for Back-end SSL Service ssl-service-1:` DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) Cipher Name: ALL Description: Predefined Cipher Alias Done 
             

Habilitar (o inhabilitar) la autenticación con certificados de servidor mediante la interfaz gráfica de usuario

Vaya aAdministración del tráfico > Equilibrio de carga > Serviciosy abra un servicio SSL.
En la sección Parámetros SSL, seleccione Habilitar la autenticación del servidor y especifique un nombre común.
En Configuración avanzada, seleccione Certificados y vincule un certificado de CA al servicio.

Enlazar el certificado de CA al servicio mediante la CLI

En la línea de comandos, escriba los siguientes comandos para vincular el certificado de CA al servicio y comprobar la configuración:

bind ssl service  -certkeyName  -CA show ssl service

Ejemplo:

              bind ssl service ssl-service-1 -certkeyName samplecertkey -CA show ssl service ssl-service-1 Advanced SSL configuration for Back-end SSL Service ssl-service-1: DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) CertKey Name: samplecertkey CA Certificate CRLCheck: Optional 1) Cipher Name: ALL Description: Predefined Cipher Alias Done 
             

Configurar un nombre común para la autenticación con certificados de servidor

En el cifrado de extremo extremo con autenticación del servidor habilitada, puede incluir un nombre común en la configuración de un servicio o grupo de servicios SSL. El nombre que especifique se compara con el nombre común del certificado de servidor durante un protocolo de enlace SSL. Si los dos nombres coinciden, el apretón de manos se realiza correctamente. Si los nombres comunes no coinciden, el nombre común especificado para el servicio o grupo de servicios se compara con los valores del campo de nombre alternativo del sujeto (SAN) del certificado. Si coincide con uno de esos valores, el apretón de manos se realiza correctamente. Esta configuración es especialmente útil si hay, por ejemplo, dos servidores detrás de un firewall y uno de los servidores falsifica la identidad del otro. Si el nombre común no está marcado, se acepta un certificado presentado por cualquiera de los servidores si la dirección IP coincide.

Nota:Solo se comparan las entradas DNS de nombre de dominio, URL e ID de correo electrónico del campo SAN.

Configure la verificación de nombres comunes para un servicio SSL o grupo de servicios mediante la CLI

En la línea de comandos, escriba los siguientes comandos para especificar la autenticación del servidor con la verificación de nombres comunes y comprobar la configuración:

Para configurar un nombre común en un servicio, escriba:

set ssl service  -commonName  -serverAuth ENABLED show ssl service

Para configurar un nombre común en un grupo de servicios, escriba:

set ssl serviceGroup  -commonName  -serverAuth ENABLED show ssl serviceGroup

Ejemplo:

              set ssl service svc1 -commonName xyz.com -serverAuth ENABLED show ssl service svc Advanced SSL configuration for Back-end SSL Service svc1: DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED Common Name: www.xyz.com SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SNI: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) CertKey Name: cacert CA Certificate OCSPCheck: Optional 1) Cipher Name: ALL Description: Predefined Cipher Alias Done 
             

Configure la verificación de nombres comunes para un servicio SSL o grupo de servicios mediante la interfaz gráfica de usuario

Vaya aAdministración del tráfico > Equilibrio de carga > Servicioso vaya aAdministración del tráfico > Equilibrio de carga > Gruposde servicios y abra un servicio o grupo de servicios.
En la secciónParámetros SSL, seleccioneHabilitar la autenticación del servidory especifique un nombre común.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Autentificación servidor

May 9, 2023

Contribución de:

May 9, 2023

Contribución de:

En este artículo

¿Le ha resultado útil?