Citrix ADC

看到PDF

认证客户端ou MTLS (Mutual TLS)

2022年3月8日,

Contributeur:

Dans une transaction SSL classique, le client qui se connect à un server通过une connection sécurisée vérifie la validité du server。Pour ce faire, il vérifie le certificat du server avant d 'initier la transaction SSL。图特弗斯，il peut到达您的souhaitiez配置服务器倒认证客户端连接。

标记:À partir de la version 13.0 build 41。x, l电器思杰提供证书要求信息fragmentés en plus enrollment si la taille totale inférieure à 32 Ko。大旗，大旗était de 16 Ko et la fragmentation n ' était pas prise en charge。

Lorsque l ' authentication client est activée sur un server virtuel SSL, l ' appliance Citrix ADC demand de le certificate client lors de l ' établissement de liaison SSL。L ' appliance vérifie que le certificat présenté par le client est soumis à禁止正常，告知签名émetteur和过期日期。

标志倒

L ' appliance puisse vérifier les signatures de L ' émetteur, le certificat de L 'autorité de certification qui a émis le certificat client doit être:

段关于l 'appareil。

Lié au server virtuel avec lequel le客户端生效的事务。

产品认证有效，产品认证客户à accéder à，产品认证资源sécurisées。必须出示有效证书，设备放弃客户要求établissement联络SSL。

L 'appliance vérifie le certificat client en mant d 'abord une chaîne de certificats, en commençant par certificat client et en end par certificat 'autorité de certification racine du client (par例如Verisign)。Le certificat d 'autorité de certification racine peut contir un ou plusieurs certificats d 'autorité de certification intermédiaires (si l 'autorité de certification racine n ' émet pas directle certificat client)。

Citrix ADC领先的认证客户，确保您的证书对installé sur客户有效。Activez ensuite l ' authentication du server virtuel qui gère les事务。Enfin, liez le certificate de l 'autorité de certification qui a émis le certificat client au server virtuel sur l 'appliance。

标记:应用Citrix ADC MPX前置尾clés证书由512位和4 096位组成。Le certificat doit être signé à l 'aide de l 'un des algorithmes de hachage suivants:

MD5
sha - 1
sha - 224
sha - 256
sha - 384
sha - 512

Sur une appliance SDX, si une puce SSL est attribuée à une instance VPX, la prise en charge de la taille de la paire de clés de certificat d 'une appliance MPX s '贴花。西农，clés de de taille de paire de certificat d 'une instance VPX s '贴花。

undispositif virtuel Citrix ADC(实例VPX) preprets d 'au moins 512位，jusqu 'aux taivantes:

证书服务器4096位根据服务器虚拟
证书客户端4096位sur le服务
证书CA 4096位
持证4096位，体格较好

À partir de la version 13.1 build 17。x，吹捧Citrix ADC prennent en charge les certificates signés à l 'aide des algorithmes rssa - pss。ce的X.509证书认证算法'accès。Le tableau suivant présente les jeux de paramètres RSASSA-PSS pris en par l 'appliance Citrix ADC。

ID clé publique	面具功能génération de masque (MGF)	函数MGF消化	函数签名消化	小说de盐
Cryptage RSA	MGF1	sha - 256	sha - 256	32个八位字节
Cryptage RSA	MGF1	sha - 384	sha - 384	48个八位字节
Cryptage RSA	MGF1	sha - 512	sha - 512	64个八位字节

标记:À partir de la version 13.0 build 79。x, l ' authentication du client avec un certificate client RSA 4096 bits est prise en charge 'une négociation SSL sur la plate-forme VPX。

意见:

Pour connaître les限制MPX FIPS，咨询限制MPX FIPS．
Pour connaître les limitation SDX FIPS, reportez-vous à la section限制FIPS有关．

富纳尔证书客户端

先进的配置认证客户端，uncertificat客户端有效doit être installé sur客户端。一个证书客户端包含de信息système client spécifique qui crée des sessions sécurisées avec l 'appliance Citrix ADC。查克证书客户端est唯一et ne doit être utilisé que par un seul système客户端。

Que vous obteniez le certificate client auprès d 'une autorité de certification, Que vous utilisiez un certificate client现有ou vous génériez un certificat client sur l 'appliance Citrix ADC, vous devez convertile certificate au format approprié。Sur l ' appliance Citrix ADC, les certificate sont stockés au format PEM ou DER et doivent être convertis au format pkcs# 12 avant d’être installés Sur le système client。Après avoir converti le certificate et l 'avoir transféré vers le système客户端，assurez-vous qu 'il est installé sur ce système et configuré pour l 'application客户端。L 'application, telle qu 'un navigator Web, doit faire party des transaction SSL。

Pour obtenir des instructions sur la façon de convertir un certificat du format PEM ou DER au format pkcs# 12, voir进口商和转换器的官员SSL．

Pour obtenir des instructions sur façon de générer un certificat client, reportez-vous à la section认为联合国证书．

activever l ' authentication basée sur证书客户端

Par défaut, l ' authentication du client est désactivée sur l 'appliance Citrix ADC et吹捧交易SSL se oursuivent无认证客户端。Vous pouvez配置器l '认证du客户端pour qu ' elle soit兼性ou责权dans le cadre de ' établissement de liaison SSL。

Si ' l '认证du客户est兼性，l ' l 'appliance demand de le certificate at client mais procède à la transaction SSL même Si ' le client présente un证书无效。客户认证是必须的，产品符合à l ' établissement de liaison Si le客户端SSL fournit证书的有效性。

注意:Citrix vous推荐définir des stratégies de contrôle d 'accès appropriées avant de modifier la vérification d '认证basée sur le certificate客户sur faculty。

标记:L’authentication du client est configurée pour des servers virtuels SSL individual, et non - global。

activever l ' authentication basée sur le certificat client à l 'aide de la CLI

À l 'invite de commandes, tapez les commandes suivantes pour activer l ' authentication basée sur证书客户端et vérifier la配置:

              set ssl vserver  [-clientAuth (ENABLED | DISABLED)] [-clientCert (MANDATORY | OPTIONAL)] show ssl vserver  
             

为例:

              set ssl vserver vssl -clientAuth ENABLED -clientCert Mandatory Done show ssl vserver vssl高级ssl配置:DH: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Session Reuse: ENABLED Timeout: 120秒Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED ClearText Port: 0 Client Auth: ENABLED Client Cert Required: Mandatory ssl Redirect: DISABLED Non FIPS cips: DISABLED SNI: DISABLED OCSP Stapling: DISABLED HSTS: DISABLED HSTS IncludeSubDomains: NO HSTS Max-Age:0 SSLv2: DISABLED SSLv3: ENABLED TLSv1.0: ENABLED TLSv1.2: ENABLED TLSv1.2: ENABLED 1) CertKey Name: sslkey Server Certificate 1) Policy Name: client_cert_policy Priority: 0 1) Cipher Name: DEFAULT Description:预定义Cipher Alias Done 
             

activever l ' authentication basée sur le certificat client à l 'aide de l 'interface graphique

Accedez一流量> Équilibrage充电>服务器虚拟机， puis ouvrez联合国服务器虚拟。
Dans la section Paramètres SSL, sélectionnez认证客户端，puis Dans la list证书客户端，sélectionnez义务。

标记:

客户端认证définie强制性证书客户端扩展stratégie，认证证书échoue。À partir de la version 12.0-56。x, vous pouvez définir un paramètre dans le profile SSL正面pour ignorer cette vérification。Le paramètre est désactivé par défaut。En d 'autres termes, la vérification est effectuée par défaut。

忽略者vérification de l 'extension de stratégie lors de l ' authentication du客户端à l 'aide

À l’invite de commandes, tapez:

              set ssl profile ns_default_ssl_profile_frontend -clientauth ENABLED -skipClientCertPolicyCheck ENABLED参数skipClientCertPolicyCheck控制策略扩展检查，如果在X509证书链中存在。仅当启用客户端认证且客户端证书为必选参数时适用。可能取值如下:—ENABLED:客户端认证时跳过策略检查。—DISABLED:客户端认证时进行策略检查。默认值:DISABLED 
             

忽略者vérification de l 'extension de stratégie lors de l ' authentication du客户端à l 'aide

Accedez一和>《profil >的资料SSL．
Créez un nouveau侧面正面ou modifiez un侧面正面存在。
Vérifiez que l ' authentication du客户est activée et que le certificate客户est défini根据义务。
Selectionnez忽略者vérification de stratégie de certificat客户端

忽略者la vérification de stratégie

Lier les certificats d 'autorité de certification au server virtuel

Une autorité de certification don’le certificat est présent sur l’appliance Citrix ADC doit émettre le certificat client utilisé pour l’authentication du client。Liez ce证书服务端虚拟Citrix ADC qui ' effective认证客户端。

Liez le certificat d 'autorité de certification au服务器虚拟SSL de telle sorte que l 'appliance puisse前une chaîne de certificats complète lorsqu 'elle vérifie le certificat client。Sinon, la formation de la chaîne de certificats échoue et le client se voit refer l 'accès même si son certificate at est valid。

Vous pouvez lier des certificats d 'autorité de certification au server virtuel SSL dans ' n ' import quel order。L 'appliance pass la commande appropriée lors de la vérification du certificat客户端。

例如，单客户端présente un certificat émis ParCA_A,或者CA_A是一个Autorité de certification intermédiaire don le certificate at est émis parCA_B，不要le certificat est à son tour émis par une autorité de certification Racine approuvée，Root_CA， une chaîne de certificats contenetrois certificats doivent être liés au服务器virtuel sur l 'appliance Citrix ADC。

为服务水准，voir提供关于联络和高级证书的指示Lier la pair de clés de certificat au服务器虚拟SSL．

Pour obtenir des instructions sur création d 'une chaîne de certificats, voirCréer une chaîne de certificats．

Contrôle加上严格的证书验证客户端

L 'appliance Citrix ADC接受les certificate d 'autorité de certification intermédiaire valides s 'ils sont émis par une seule autorité de certification racine。最终，最终证书'autorité de certification racine est lié au server virtuel et que l 'autorité de certification racine validity tout certificate intermédiaire envoyé avec le certificate client, l ' appliance fait confiesà la chaîne de certificats et l ' établissement de liaison réussit。

客户端请求chaîne de certificats dans la négociation, aucun des certificats intermédiaires ne peut être validé à l 'aide d 'un répondeur CRL ou OCSP, sauf si ce certificat est lié au服务器虚拟SSL。Par conséquent, même si l 'un des certificats intermédiaires est révoqué， la prise de contact est réussie。Dans le cadre de l ' établissement de la liaison, le server virtuel SSL特使名单证书'autorité de certification qui lui sont liés。Pour un contrôle加上严格的，vous pouvez配置le服务器虚拟SSL Pour qu 'il接受唯一的uncertificat signé par l 'un des certificats d 'autorité de certification liés à ce服务器虚拟。Pour ce faire, vous devez active le paramètreClientAuthUseBoundCachaindans le profile SSL lié au服务器虚拟。La connection échoue si l 'un des certificats d 'autorité de certification liés au server virtuel n 'a pas signé le certificat client。

例如，disons que deux certificats clients, clientcert1 et clientcert2, sont signés Par les certificats intermédiaires int-CA-A et int-CA-B，分别。Les certificats intermédiaires sont signés par certificat racine Root-CA。Int-CA-A et Root-CA sont liés au服务器虚拟SSL。Dans le cas par défaut (ClientAuthUseBoundCachain désactivé)， clientcert1 et clientcert2 sont acceptés。Toutefois, si clientauthuseboundachain est activé， l 'appliance Citrix ADC n ' accept que clientcert1。

Contrôle加上严格的de la validation des certificats客户à l 'aide de l 'interface de ligne de commande

À l’invite de commandes, tapez:

set ssl profile  -ClientAuthUseBoundCAChain Enabled

Permettre un contrôle加上严格的sur la validation des certificats客户à l 'aide de l 'interface graphique

Accedez一和>的资料selectionnez l 'onglet《profil SSLet créez un profile SSL ou sélectionnez un profile已存在。
Selectionnezactivever l ' authentication client à l 'aide de la chaîne de certification liée．

英文版本官方文件est en english。某些争议性文件Citrix ont été traduits de façon automatique à des pratique独特性。Citrix n' exce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des errors, des imprécisions ou un language inapproprié。Aucune garantie，显性的或隐性的，最重要的fournie quant à准确，la fiabilité， la perence ou la justesse de toute贸易effectuée代理的英语原产地语言，ou quant à la conformité de votre product ou service Citrix à tout contenu traduit façon automatique, et toute garte fournie en vertu de contrat de conditions and use the services适用性，ou de autre accord avec Citrix，Quant à la conformité du product ou service à toute documentation ne’s贴花pas dans la mesure où cette documentation été traduite de façon automatique。Citrix ne pourra être tenu负责dommage problème dû à l'utilisation de contenu façon automatique。

Cela vous a-t-il été实用程序?

认证客户端ou MTLS (Mutual TLS)

2022年3月8日,

Contributeur:

2022年3月8日,

Contributeur:

在cet(中央东部东京)的文章

Cela vous a-t-il été实用程序?