认为联合国证书

Une autorité de certification (CA) est Une entité qui émet des certificats numériques destinés à être utilisés dans la cryptographie à clé publicque。Les applications, telles que Les navigator Web, qui effecent des transactions SSL字体确认辅助证书émis ou signés par une autorité de certification。Ces应用tiennent à jour une列表des autorités de认证auxquelles字体确认。Si l 'une des autorités de certification de confiessigne certificat utilisé pour la transaction sécurisée, l 'application pursue la transaction。

注意:Citrix vous推荐证书利用者获取auprès d 'autorités de certification autorisées, teles que Verisign, pour toutes vos transactions SSL。utiisez les证书générés sur l 'appliance Citrix ADC à des fins de test unique, et non dans un déploiement en direct。

Pour importer uncertificat et une clé exists, reportez-vous à la section进口国联合国证书．

Procédez comme suit pour créer un certificat et le lier à un服务器虚拟SSL。Les seuls caractères spéciaux autorisés法国人对灵魂特质和观点的命名。

• Créez une clé privée。
• Créez une demande de signature de certificate (CSR)。
• Soumettez le CSR à une autorité de认证。
• Créez une pair de clés de certificat。
• Liez la pair de clés de certificat à un server virtuel SSL

Le schéma suivant插图Le flux de trave。

留置权视频更小评论créer et installer unnouveau certificat．

Créer une clé privée

意见:

• À partir de la版本12.1构建49。x, vous pouvez utiliser的算法AES256 au格式clé PEM pour chiffrer une clé privée sur 'appliance。L’aes avec clé 256位est + efficace et + sécurisé sur le plan mathématique par rapport à la clé 56位du数据加密标准(DES)。

• À partir de la version 12.1 build 50。x, vous pouvez créer une clé RSA au format pkcs# 8。

La clé privée est La party La plus importante d 'un certificate numérique。Par définition, cette clé ne doit être partagée avec personne et doit être conservée en toute sécurité sur l 'appliance Citrix ADC。图图données chiffrées avec la clé publique ne peuvent être déchiffrées qu ' à l ' aide de la clé privée。

Le certificat que vous recevez de l 'autorité de certification n 'est valide qu 'avec la clé privée qui a été utilisée pour créer la demande de signature de certificate。La clé est请倒ajouter le证书à l 'appliance Citrix ADC。

应用唯一充电算法加密RSA pour créer des clés privées。Vous pouvez soumettre l 'un ou l 'autre type de clé privée à l 'autorité de certification (CA)。Le certificat que vous recevez de l 'autorité de certification n 'est valide qu 'avec la clé privée qui a été utilisée pour créer la demande de signature de certificate。La clé est请倒ajouter le证书à l 'appliance Citrix ADC。

重要的是:

• Veillez à limiter l 'accès à votre clé privée。Toute个人ayant accès à votre clé privée peut déchiffrer vos données SSL。
• nom La longuur clé SSL autorisé包括La longuur du chemin d 'accès绝对的si le chemin est包括nom La clé。

Tous les certificats et clés SSL sont stockés dans le档案/ nsconfig / sslde l 'appliance。Pour plus de sécurité， vous pouvez utiliser l 'algorithme DES ou triple DES (3DES) Pour chiffrer la clé privée stockée sur l 'appliance。

Créer une clé privée RSA à l 'aide de l 'interface de ligne de commander

À l’invite de commandes, tapez:

create ssl rsakey   [-exponent (3 | F4)] [-keyform (DER | PEM)] [-des | -des3 | -aes256] {-password} [-pkcs8] 

为例:

创建rsakey testkey 2048 -aes256 -password 123456 -pkcs8 

Créer une clé privée RSA à l 'aide de l '接口图形

1. Accedez一Gestion du traffic > SSL > Fichiers SSL．

2. 在l 'ongletcl, selectionnezCréer une clé RSA．

   

3. 价值者倾尽一切paramètres财产与利益克里尔．

   • 关键的文件名: nom du fichier de clé RSA et， éventuellement, chemin d 'accès au fichier clé RSA。/nsconfig/ssl/ est le chemin par défaut.日志含义
   • Taille de la clé: taille, en bits, de la clé RSA。Peut aller de 512位à 4096位。
   • 公众的价值:解释公众pour la clé RSA。解释事实的当事方的算法和测试nécessaire à la création de la clé RSA。
   • 格式de蜡烛: format dans lequel le fichier clé RSA est stocké sur l 'appliance。
   • 编码PEM算法: cryptez la clé RSA générée à l 'aide de l 'algorithme AES 256, DES ou Triple-DES (DES3)。Par défaut, les clés privées ne sont pas chiffrées。
   • 短语分泌PEM: si la clé privée est cryptée, saisissez une短语de passe pour la clé。

   

Sélectionnez un算法编码AES256 dans une clé RSA à l 'aide de l 'interface graphique

1. Accedez一Gestion du traffic > SSL > Fichiers SSL > Créer une clé RSA．

2. 在格式de蜡烛, selectionnezPEM．

3. 在编码PEM算法, selectionnezAES256．

4. SelectionnezPKCS8．

Créer une demand de signature de certificate à l 'aide de ligne de司令官的接口

À l’invite de commandes, tapez:

create ssl certreq  -keyFile  | -fipsKeyName ) [-keyForm (DER | PEM) {-PEMPassPhrase}] -countryName  -stateName  -organizationName  -organizationUnitName  -localityName  -commonName  -emailAddress  {-challengePassword} -companyName  -digestMethod (SHA1 | SHA256) 

为例:

create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256 

Créer une demand de signature de certificat à l 'aide de l 'interface graphique

1. Accedez一流量> SSL．

2. 在证书SSL,双击Créer une demand de signature de certificate (CSR)．

   

3. 在方法德综合, selectionnezSHA256．

倒+d '信息，reportez-vous à la节Créer une CSR．

要求在证明书上签字的另一项要求是什么

主题备选名称(SAN)证书你的联合估价，域名和地址IP， à un seul证书。En d 'autres termes, vous pouvez sécuriser plusieurs domaines, telesque www.exemple.com, www.exemple1.com, www.exemple2.com, avec un seul certificate。

某些航海员、航海员、航海员和航海员要求签名证书(CSR)。贴花证书approuvés公示。

L 'appliance Citrix ADC提供圣洛尔斯création d 'une CSR服务。Vous pouvez特使要求签名证书entrée SAN à une autorité de certification pour obtenir un certificate signé avec cette entrée SAN。Lorsque l’appliance reçoit une demande, elle recherche un nom de domaine通讯员dans les entrées SAN du certificat de serveur。我方通信地址trouvée，委托书客户端地址négociation SSL。您的使用接口的木质素指挥接口的图形提供créer的要求的签名证书的价值。

标记:L 'appliance Citrix ADC特有的价值SAN basées sur DNS。

Créer une demand de signature de certificatavec l 'autre nom de l 'objet à l 'aide de l 'interface

create ssl certReq  (-keyFile  | -fipsKeyName ) [-subjectAltName ] [-keyform (DER | PEM) {-PEMPassPhrase}] -countryName  -stateName  -organizationName  [-organizationUnitName ] [-localityName ] [-commonName ] [-emailAddress ] {-challengePassword} [-companyName ] [-digestMethod (SHA1 | SHA256)] 

产品:

SubjectAltName:'autre nom de L 'objet (SAN) est une extension de X.509 qui permet d 'associer différentes valeurs à un certificat de sécurité à L 'aide d 'un champ SubjectAltName。Ces valeurs sont appelées«Subject Alternative Names»(SAN)。Les的名字包括:

1. 地址IP (préfixe avec«IP:»举例:IP: 198.51.10.5 IP: 192.0.2.100)

2. Noms DNS (préfixe avec«DNS:»举例:DNS: www.exemple.com DNS: www.exemple.org DNS: www.exemple.net)

指挥官的荣誉，军师的荣誉。Séparez deux valeurs par un espace。有义务的图章和界面图形。朗格(Longueur) maximale: 127

为例:

创建certReq test1。csr test1密钥文件。ky -countryName IN -stateName Kar -organizationName citrix -commonName ctx.com -subjectAltName "DNS:*.example.com DNS:www.example.org DNS:www.example.net" 

标记:

Sur une appliance FIPS, vous devez remplacer le nom du ficer clé par le nom de la clé FIPS si vous créez la clé FIPS direction Sur l 'appliance。

create certReq  -fipsKeyName fipskey。ky -countryName IN -stateName Kar -organizationName citrix -commonName ctx.com -subjectAltName "DNS:www.example.com DNS:www.example.org DNS:www.example.net" 

Créer un CSR à l 'aide de l '界面图形

1. Accedez一杜治理交通>SSL>成套SSL．
2. 在l 'onglet企业社会责任,双击创建证书签名请求(CSR)．
3. 我们都是企业家克里尔．

限制

Pour utiliser le SAN lors de la création d 'un certificate at SSL, vous devez spécifier明确les valeurs du SAN。价值与自动化的关系à党的fichier CSR。

Soumettre le CSR à l 'autorité de认证

La plupart des autorités de certification (CA)接受les soumissions de certificates par e-mail。L 'autorité证书撤销有效证书à L ' address e-mail à partir de laquelle vous soumettez le CSR。

签名证书的要求stockée dans le卷宗/ nsconfig / ssl．

Générer un certificat de test

标记:

Pour générer un certificate de test de server, reportez-vous à la sectionGénération d 'un certificat de test de server．

L 'appliance Citrix ADC dispose d 'une suite d ' outtils CA intégrée que vous pouvez utiliser pour créer des certificats auto-signés à des fins de test。

注意:Étant donné que l 'appliance Citrix ADC signes certificates, et non - une autorité de certification réelle，您的产品在生产环境下可以使用。我们的tentez d 'utiliser un certificate auto-signé dans un environment de production, les utilisateurs reçoivent un avertissement«certificate non - validity»à chaque accès au servervirtuel。

L 'appliance prepreen charge la création des types de certifats suivants:

• 证明根ca
• 证书CA intermediaires
• 证明d 'utilisateur最后
  • 证书de serveur
  • 证书的客户

Avant de générer un certificate, créez une clé privée et utiisez -la pour créer une demand de signature de certificate (CSR) sur’l’appliance。Ensuite，代表签名证书à une autorité de certification, utiisez les outls d 'autorité de certification Citrix ADC pour générer un certificate。

Création d 'un certificat à l 'aide d 'un assistant

1. Accedez一流量> SSL．
2. Dans le volet d ' ' information，苏Demarrage， sélectionnez我的助理通讯员在souhaitez类型的证书créer。
3. Suivez的指令是:à l ' écran。

Créer un certificat d 'autorité de certification racine à l 'aide de la CLI

À l 'invite de commandes, tapez la commande suivante:

create ssl cert    [-keyFile ] [-keyform (DER | PEM)] [-days ] 

例如:suivant, csreq1 le CSR et rsa1 est la clé privée qui a été créée précédemment。

为例:

创建ssl cert cert1 csreq1 ROOT_CERT -keyFile rsa1 -keyForm PEM——NeedCopy >

Créer un certificat CA intermédiaire à l 'aide de l 'interface de ligne de commander

create ssl cert    [-keyFile ] [-keyform (DER | PEM)] [-days ] [-certForm (DER | PEM)] [-CAcert ] [-CAcertForm (DER | PEM)] [-CAkey ] [-CAkeyForm (DER | PEM)] [- caseal ] 

Dans l’example suivant, csr1 est la CSR créée précédemment。Cert1 et rsakey1 sont le certificat et la clé通信du certificat auto-signé (autorité de certification racine)， et pvtkey1 est la clé privée du certificat d 'autorité de certification intermédiaire。

为例:

创建ssl rsa密钥pvtkey1 2048 -exponent F4 -keyform PEM——NeedCopy >

Créer un certificat d 'autorité de certification racine à l 'aide de l 'interface graphique

Accedez一流量> SSLet, dans le groupe Mise, sélectionnez助理证书'autorité认证拉辛Et configurez UN certificate d 'autorité de certification racine。

Créer un certificat CA intermédiaire à l 'aide de l '界面图形

Accedez一流量> SSLet, dans le groupe Mise, sélectionnez助理证书'autorité认证intermédiaireEt configurez UN certificat d 'autorité de certification intermédiaire。

Créer un certificat d ' utiisateur决赛

unicat d ' utiisateur final peut être unicat client ou unicat de server。Pour créer un certificate at d ' utiisateur final de test, spécifiez le certificat d 'autorité de certification intermédiaire ou le certificate d 'autorité de certification racine auto-signé。

标记:Pour créer un certificat d ' utiisateur final à des fins de production, spécifiez un certificat d 'autorité de certification approuvée et et要求签名的证书à une autorité de certification (CA)。

Créer unicat d ' utiisateur final de test à l ' l '接口de ligne de commander

create ssl cert    [-keyFile ] [-keyform (DER | PEM)] [-days] [-certForm (DER | PEM)] [-CAcert ] [-CAcertForm (DER | PEM)] [-CAkey] [-CAkeyForm (DER | PEM)] [- caseal ] 

S 'il n 'y pas de certificate at intermédiaire, utiisez les valeurs de certificate (cert1) et de clé privée (rsakey1) du certificate at d 'autorité de certification racine dansCAcert等凝固了的．

为例:

create ssl cert cert12 SRVR_CERT -CAcert cert1 -CAkey rsakey1 - caseral 23 Done 

S 'il存在的证书intermédiaire, utilisez les valeurs de certificate (certsy) et de clé privée (pvtkey1) du certificat intermédiaire dansCAcert等凝固了的．

为例:

create ssl cert cert12 SRVR_CERT -CAcert certy -CAkey pvtkey1 - casmaterial23 Done 

Création d 'un certificat SAN auto-signé à l 'aide d 'OpenSSL

Pour créer un certificat SAN auto-signé avec plusieurs aures noms d 'objet, efftuez les opérations suivantes:

1. Créez un fichier de configuration sur votre ordinateur local en modifiant les champs associés selon les exigences de l ' enterprise。

   备注:Dans l ' example suivant, le fichier de configuration est«req.conf»。

   [req] distished_name = req_distished_name x509_extensions = v3_req prompt = no [req_distished_name] C = US ST = VA L = SomeCity O = MyCompany OU = MyDivision CN = www.company.com [v3_req] keyUsage = keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = www.company.net DNS.2 = company.com DNS.3 = company.net 

2. Téléchargez le fichier dans le répertoire /nsconfig/ssl de l 'appliance Citrix ADC。

3. Citrix ADC en ' ulisateur的指挥接口à l ' ligne de 'interface densrootEt passez à l 'invite du shell。

4. Exécutez la commande suivante pour créer le certificate:

   CD /nsconfig/ssl openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout cert.pem -config req.conf -extensions 'v3_req' 

5. Exécutez la commande suivante pour vérifier le certificate:

   openssl x509 -in cert.pem -noout -text证书:数据:版本:3 (0x2)序列号:ed:90:c5:f0:61:78:25:ab签名算法:md5WithRSAEncryption Issuer: C=US, ST=VA, L=SomeCity, O=MyCompany, OU=MyDivision, CN=www.company.com有效期Not Before: Nov 6 22:21:38 2012 GMT Not After: Nov 6 22:21:38 2014 GMT Subject: C=US, ST=VA, L=SomeCity, O=MyCompany, OU=MyDivision, CN=www.company.com主题公钥信息:公钥算法:rsaEncryption RSA公钥:(2048 bit)模数(2048 bit):…Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Key Usage:密钥加密、数据加密X509v3 Extended Key Usage: TLS Web服务器认证X509v3 Subject Alternative Name: DNS:www.company.net, DNS:company.com, DNS:company.net Signature Algorithm: md5WithRSAEncryption…