Authentification du serveur
Étant donné que l’appliance Citrix ADC effectue le déchargement et l’accélération SSL pour le compte d’un serveur Web, l’appliance n’authentifie généralement pas le certificat du serveur Web. Toutefois, vous pouvez authentifier le serveur dans les déploiements nécessitant un chiffrement SSL de bout en bout.
Dans ce cas, l’appliance devient le client SSL et effectue une transaction sécurisée avec le serveur SSL. Il vérifie qu’une autorité de certification dont le certificat est lié au service SSL a signé le certificat de serveur et vérifie la validité du certificat de serveur.
Pour authentifier le serveur, activez l’authentification du serveur et liez le certificat de l’autorité de certification qui a signé le certificat du serveur au service SSL sur l’appliance ADC. Lors de la liaison du certificat, vous devez spécifier la liaison en tant qu’option d’autorité de certification.
Activer (ou désactiver) l’authentification de certificat du serveur
Vous pouvez utiliser l’interface de ligne de commande et l’interface graphique pour activer et désactiver l’authentification par certificat de serveur.
Activer (ou désactiver) l’authentification de certificat de serveur à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes suivantes pour activer l’authentification par certificat de serveur et vérifier la configuration :
set ssl service -serverAuth ( ENABLED | DISABLED ) show ssl service Exemple :
set ssl service ssl-service-1 -serverAuth ENABLED show ssl service ssl-service-1 Advanced SSL configuration for Back-end SSL Service ssl-service-1:` DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) Cipher Name: ALL Description: Predefined Cipher Alias Done Activer (ou désactiver) l’authentification de certificat de serveur à l’aide de l’interface graphique
- Accédez àGestion du trafic > Équilibrage de charge > Services, puis ouvrez un service SSL.
- Dans la section Paramètres SSL, sélectionnez Activer l’authentification du serveur et spécifiez un nom commun.
- Dans Paramètres avancés, sélectionnez Certificats et liez un certificat d’autorité de certification au service.
Liez le certificat de l’autorité de certification au service à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes suivantes pour lier le certificat d’autorité de certification au service et vérifier la configuration :
bind ssl service -certkeyName -CA show ssl service Exemple :
bind ssl service ssl-service-1 -certkeyName samplecertkey -CA show ssl service ssl-service-1 Advanced SSL configuration for Back-end SSL Service ssl-service-1: DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) CertKey Name: samplecertkey CA Certificate CRLCheck: Optional 1) Cipher Name: ALL Description: Predefined Cipher Alias Done Configurer un nom commun pour l’authentification de certificat de serveur
Dans le cryptage de bout en bout avec l’authentification du serveur activée, vous pouvez inclure un nom commun dans la configuration d’un service ou d’un groupe de services SSL. Le nom que vous spécifiez est comparé au nom commun dans le certificat de serveur lors d’une poignée de main SSL. Si les deux noms correspondent, la poignée de main réussit. Si les noms communs ne correspondent pas, le nom commun spécifié pour le service ou le groupe de services est comparé aux valeurs du champ Nom alternatif de l’objet (SAN) du certificat. Si elle correspond à l’une de ces valeurs, la poignée de main réussit. Cette configuration est particulièrement utile s’il y a, par exemple, deux serveurs derrière un pare-feu et l’un des serveurs usurpent l’identité de l’autre. Si le nom commun n’est pas coché, un certificat présenté par l’un ou l’autre serveur est accepté si l’adresse IP correspond.
Remarque :seules les entrées DNS de nom de domaine, d’URL et d’ID de messagerie dans le champ SAN sont comparées.
Configurer la vérification de nom commun pour un service ou un groupe de services SSL à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes suivantes pour spécifier l’authentification du serveur avec la vérification du nom commun et vérifier la configuration :
Pour configurer un nom commun dans un service, tapez :
set ssl service-commonName -serverAuth ENABLED show ssl service Pour configurer un nom commun dans un groupe de services, tapez :
set ssl serviceGroup-commonName -serverAuth ENABLED show ssl serviceGroup
Exemple :
>设置ssl服务svc1 commonname xyz.com - serverAuth ENABLED show ssl service svc Advanced SSL configuration for Back-end SSL Service svc1: DH: DISABLED Ephemeral RSA: DISABLED Session Reuse: ENABLED Timeout: 300 seconds Cipher Redirect: DISABLED SSLv2 Redirect: DISABLED Server Auth: ENABLED Common Name: www.xyz.com SSL Redirect: DISABLED Non FIPS Ciphers: DISABLED SNI: DISABLED SSLv2: DISABLED SSLv3: ENABLED TLSv1: ENABLED 1) CertKey Name: cacert CA Certificate OCSPCheck: Optional 1) Cipher Name: ALL Description: Predefined Cipher Alias Done Configurer la vérification de nom commun pour un service ou un groupe de services SSL à l’aide de l’interface graphique
- Accédez àGestion du trafic > Équilibrage de charge > Servicesou accédez àGestion du trafic > Équilibrage de charge > Groupes de services, puis ouvrez un service ou un groupe de services.
- Dans la section Paramètres SSL, sélectionnez Activer l’authentification du serveur et spécifiez un nom commun.