Créer un certificat

Une autorité de certification (CA) est Une entité qui émet des certificats numériques destinés à être utilisés dans la cryptographie à clé publique。Les applications, telles que Les navigateurs Web, qui effective des transactions SSL font confc aux certificates émis ou signés par une autorité de certification。cesapplications tiennent à jour une liste des autorités de certification auxquelles font confifant。Si l 'une des autorités de certification de confifisigne le certificat utilisé pour la transaction sécurisée, l 'application追求la transaction。

注意:Citrix vous推荐d 'utiliser des certifats obtenus auprès d 'autorités de certification autorisées, telles que Verisign, pour toutes vos transactions SSL。Utilisez les certificates générés sur l 'appliance Citrix ADC à des fins de test unique, et non dans un déploiement en direct。

倒进口商un certificate et une clé existants, reportez-vous à la section进口商无证书。

Procédez comme suit pour créer un certificate et le lier à un server virtuel SSL。Les seuls caractères spéciaux autorisés dans Les names de fichiers sont le trait de soulignement et le point。

• Créez une clé privée。
• Créez une demande de signature de certificate (CSR)。
• Soumettez le CSR à une autorité de认证。
• Créez une paire de clés de certificat。
• Liez la paire de clés de certificat à un server virtuel SSL

Le schéma suivant说明Le flux de travail。

连战vidéo vers评论créer et安装unnouveau证书。

Créer une clé privée

意见:

• À partir de la版本12.1 build 49。x, vous pouvez utiliser l ' algorithm AES256 au format de clé PEM pour chiffrer une clé privée sur l 'appliance。L 'AES avec clé 256位est + efface et + sécurisé sur le plan mathématique par rapport à la clé 56位du数据加密标准(DES)。

• À partir de la版本12.1 build 50。x, vous pouvez créer une clé RSA au format PKCS #8。

La clé privée est La party La加上importante d 'un certificate numérique。Par définition, cette clé ne doit être partagée avec personne et doit être conservée en toute sécurité sur l 'appliance Citrix ADC。Toutes les données chiffrées avec la clé publique ne peuvent être déchiffrées qu ' à l ' aide de la clé privée。

接收证书'autorité有效证书clé privée有效证书été utilisée倒créer要求签名证书。La clé est requise pour ajouter le certificate à l 'appliance Citrix ADC。

L 'appliance prend unique en charge les algorithms de cryptage RSA pour créer des clés privées。Vous pouvez soumettre l 'un ou l 'autre type de clé privée à l 'autorité de certification (CA)。接收证书'autorité有效证书clé privée有效证书été utilisée倒créer要求签名证书。La clé est requise pour ajouter le certificate à l 'appliance Citrix ADC。

重要的是:

• 面纱à限制器l 'accès à选民clé privée。Toute personne ayant accès à votre clé privée peut déchiffrer vos données SSL。
• 假名之人clé SSL autorisé包括假名之人'accès绝对的假名之人est包括假名之人clé。

Tous les certificates et clés SSL sont stockés dans le dossier/ nsconfig / sslde l 'appliance。Pour plus de sécurité， vous pouvez utiliser l 'algorithme DES ou triple DES (3DES) Pour chiffrer la clé privée stockée sur l 'appliance。

Créer une clé privée RSA à l 'aide de l 'interface de ligne de command

À l 'invite de commands, tapez:

create ssl rsakey   [-exponent (3 | F4)] [-keyform (DER | PEM)] [-des | -des3 | -aes256] {-password} [-pkcs8] 

为例:

创建rsakey testkey 2048 -aes256 -password 123456 -pkcs8 

Créer une clé privée RSA à l 'aide de l 'interface graphique

1. Accedez一流量应答> SSL > Fichiers SSL。

2. 在l 'ongletcl, selectionnezCréer une clé RSA。

   

3. 我们之间的关系paramètres我们之间的关系克里尔。

   • 关键的文件名: nom du fichier de clé RSA et， éventuellement, chemin d 'accès au fichier clé RSA。/nsconfig/ssl/ est le chemin par défaut。
   • Taille de la clé: tail, en bits, de la clé RSA。Peut aller de 512位à 4096位。
   • 公众价值: explant public pour la clé RSA。L ' explant事实党de L ' algorithm de chiffrequirement et est nécessaire à la création de la clé RSA。
   • 格式de clé: format dans lefihier de clé RSA est stocké sur l 'appliance。
   • 算法解码PEM: cryptez la clé RSA générée à l 'aide de l ' algorithm me AES 256, DES ou Triple-DES (DES3)。Par défaut, les clés privées ne sont pas chiffrées。
   • 短语secrète PEM: si la clé privée est cryptée, saisissez une phrase de passe pour la clé。

   

Sélectionnez un algorithm de coage AES256 dans une clé RSA à l 'aide de l 'interface graphique

1. Accedez一流量应答> SSL > Fichiers SSL > Créer une clé RSA。

2. 在格式de clé, selectionnezPEM。

3. 在算法解码PEM, selectionnezAES256。

4. SelectionnezPKCS8。

Créer une demande signature de certificat à l 'aide de l 'interface de ligne de command

À l 'invite de commands, tapez:

create ssl certreq  -keyFile  | -fipsKeyName ) [-keyForm (DER | PEM) {- pemassphrase}] -countryName  -stateName  -organizationName  -organizationUnitName  -localityName  -commonName  -emailAddress  {-challengePassword} -companyName  -digestMethod (SHA1 | SHA256) 

为例:

create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256 

Créer une demande signature de certificat à l 'aide de l 'interface graphique

1. Accedez一Gestion du traffic > SSL。

2. 在证书SSL， cliquez surCréer une demande de signature de certificate (CSR)。

   

3. 在方法德综合, selectionnezSHA256。

倒+d ' information, reportez-vous à la section Créer une CSR。

其他商品的价格要求在证书上签字

Le champ Subject Alternative Name (SAN) d 'un certificate vous permet d 'associer plusieurs valueurs, telles que des names de domain and address IP， à un seul certificat。条款，你的权利sécuriser plusieurs domaines，告诉que www.exemple.com, www.exemple1.com, www.exemple2.com, avec un seul certificat。

某些航海家，不收费，不需要签名证书(CSR)。Ils appliquent le SAN dan tous les certificate approuvés发布。

L 'appliance Citrix ADC prend en charge L 'ajout de valurs SAN lors de la création d 'une CSR。Vous pouvez使者une要求de签名de certificate avec une entrée SAN à une autorité de certification pour obtenir un certificate signé avec cette entrée SAN。Lorsque l 'appliance reçoit une demand, elle recherche un nom de domain通讯员dans les entrées SAN du certificate at de server。Si une correspondence est trouvée, il enie le certificate at au client et termine la négociation SSL。Vous pouvez utiliser l 'interface de ligne de命令ou l 'interface graphque pour créer une demand de signature de certificate avec des valurs SAN。

标记:L 'appliance Citrix ADC traite unique les valeurs SAN basées sur DNS。

Créer une demand de signature de certificate avec de autre de nom de客体à l 'aide de l 'interface

create ssl certReq  (-keyFile  | -fipsKeyName ) [-subjectAltName ] [-keyform (DER | PEM) {- pemassphrase}] -countryName  -stateName  -organizationName  [-organizationUnitName ] [-localityName ] [-commonName ] [-emailAddress ] {-challengePassword} [-companyName ] [-digestMethod (SHA1 | SHA256)] 

产品:

SubjectAltName:L 'autre nom de L 'objet (SAN) est une extension de X.509 qui permet d ' associate différentes valeurs à un certificat de sécurité à L 'aide d 'un champ SubjectAltName。Ces valeurs sont appelées«主题替代名称»(SAN)。名称包括:

1. 地址IP (préfixe avec«IP:»示例:IP: 198.51.10.5 IP: 192.0.2.100)

2. 命名DNS (préfixe avec«DNS:»示例:DNS: www.exemple.com DNS: www.exemple.org DNS: www.exemple.net)

命令之路，价值之路，警察之路。Séparez deux valurs par un espace。我们是有义务的警察。最长长度:127

为例:

创建certReq test1。csr -keyFile test1.使用实例ky -countryName IN -stateName Kar -organizationName citrix -commonName ctx.com -subjectAltName "DNS:*.example.com DNS:www.example.org DNS:www.example.net" 

标记:

根据设备FIPS, vous deplacer le nom du fihier clé par le nom de la clé FIPS si vous créez la clé FIPS指示根据设备。

create certReq  -fipsKeyName fipskey.使用实例ky -countryName IN -stateName Kar -organizationName citrix -commonName ctx.com -subjectAltName "DNS:www.example.com DNS:www.example.org DNS:www.example.net" 

Créer un CSR à l 'aide de l 'interface graphique

1. Accedez一交通问题>SSL>成套SSL。
2. 在l 'onglet企业社会责任， cliquez sur创建证书签名请求(CSR)。
3. 我们的价值和集团克里尔。

限制

Pour utiliser le SAN lors de la création d 'un certificat SSL, vous devez spécifier explicit les valeurs du SAN。有价值的东西不能自动à社会责任。

Soumettre le CSR à l 'autorité de认证

La plupart des autorités de certification (CA)接受电子邮件形式的证书认证。L 'autorité de certification renvoie un certificate at valid à L ' address e-mail à partir de laquelle vous soumettez le CSR。

La demand de signature de certificat est stockée dans le dossier/ nsconfig / ssl。

Générer un certificat de test

标记:

倒générer un certificat de test de server, reportez-vous à la sectionGénération d 'un certificate de test de server。

L 'appliance Citrix ADC dispose d 'une suite d 'outils CA intégrée que vous pouvez utiliser pour créer des certificates auto-signés à des fins de test。

注意:Étant donné que l 'appliance Citrix ADC signe ces certificates, et non une autorité de certification réelle, vous ne devez pas les utiliser dans un environment de production。Si vous tentez d 'utiliser un certificate auto-signé dans un environment de production, les utilisateurs reçoivent un avertissement«certificat non validity»à chque accès au servur virtuel。

L 'appliance prennd en charge la création des各类证书:

• 证明根ca
• 证书CA intermédiaires
• 最终使用证书
  • 服务证书
  • 证书的客户

先锋générer uncertificat, créez une clé privée et utilise -la pour créer une demand de signature de certificat (CSR) sur l 'appliance。Ensuite，代使者要求签名证书à une autorité de certification, utilisez les outils d 'autorité de certification Citrix ADC pour générer un certificat。

Création d 'un certificat à l 'aide d 'un assistant

1. Accedez一Gestion du traffic > SSL。
2. Dans le volet d’information，苏Demarrage， sélectionnez助理函电函电函电证书原产地créer。
3. Suivez les instructions qui s ' affichent à l ' écran。

Créer un certificat d 'autorité de certification racine à l 'aide de la CLI

À l 'invite de commands, tapez la command suivante:

create ssl cert    [-keyFile ] [-keyform (DER | PEM)] [-days ] 

dan l ' example suivant, csreq1 est le CSR et rsa1 est la clé privée qui a été créée précédemment。

为例:

创建ssl cert cert1 csreq1 ROOT_CERT -keyFile rsa1 -keyForm PEM -days 365 Done 

Créer un certificat CA intermédiaire à l 'aide de l 'interface de ligne de command

create ssl cert    [-keyFile ] [-keyform (DER | PEM)] [-days ] [-certForm (DER | PEM)] [-CAcert ] [-CAcertForm (DER | PEM)] [-CAkey ] [-CAkeyForm (DER | PEM)] [- cas埃里] 

Dans l ' example suivant, csr1 est la CSR créée précédemment。Cert1 et rsakey1 sont le certificate et la clé correspondence du certificat auto-signé (autorité de certification racine)， et pvtkey1 est la clé privée du certificat d 'autorité de certification intermédiaire。

为例:

create ssl rsakey pvtkey1 2048 - index F4 -keyform PEM Done 

Créer un certificat d 'autorité de certification racine à l 'aide de l 'interface graphique

Accedez一Gestion du traffic > SSLet, dans le groupe Mise en route, sélectionnez助理证书'autorité de认证拉辛Et configurez UN certificat d 'autorité de certification racine。

Créer un certificat CA intermédiaire à l 'aide de l 'interface graphique

Accedez一Gestion du traffic > SSLet, dans le groupe Mise en route, sélectionnez助理认证'autorité de认证intermédiaireEt configurez UN certificate 'autorité de certification intermédiaire。

Créer un certificat d 'utilisateur final

Un certificat d 'utilisateur final peut être Un certificat client ou Un certificat de server。倒créer un certificat d 'utilisateur final de test, spécifiez le certificat d 'autorité de certification intermédiaire ou le certificat d 'autorité de certification racine auto-signé。

标记:倒créer un certificat d 'utilisateur最终à des fins de production, spécifiez un certificat d 'autorité de certification approuvée et envoyez la demande signature de certificat à une autorité de certification (CA)。

Créer un certificat d 'utilisateur final de test à l 'aide de l 'interface de ligne de命令

create ssl cert    [-keyFile ] [-keyform (DER | PEM)] [-days] [-certForm (DER | PEM)] [-CAcert ] [-CAcertForm (DER | PEM)] [-CAkey] [-CAkeyForm (DER | PEM)] [- cas埃里] 

S 'il n 'y pas de certificate intermédiaire, utilisez les valeurs de certificate (cert1) et de clé privée (rsakey1) du certificat d 'autorité de certification racine dansCAcert等凝固了的。

为例:

create ssl cert cert12 csr1 SRVR_CERT -CAcert cert1 -CAkey rsakey1 - casier23 Done 

S 'il exist un certificat intermédiaire, utilisez les valeurs de certificat (certsy) et de clé privée (pvtkey1) du certificate at intermédiaire dansCAcert等凝固了的。

为例:

create ssl cert cert12 csr1 SRVR_CERT -CAcert certsy -CAkey pvtkey1 - casier23 Done 

Création d 'un certificat SAN auto-signé à l 'aide d 'OpenSSL

倒créer uncertificat SAN auto-signé avec plusieurs autres aures name d 'objet, effectuez les opérations suivantes:

1. Créez un fichier de configuration OpenSSL sur votre ordinateur local en modiant les champs associés selon les exigences de l ' enterprise。

   备注:Dans l ' example suivant, le fichier de configuration est«req.conf»。

   [req] distinguished_name = req_distinguished_name x509_extensions = v3_req prompt = no [req_distinguished_name] C = US ST = VA L = SomeCity O = MyCompany OU = MyDivision CN = www.company.com [v3_req] keyUsage = keyEncipherment, dataEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = www.company.net DNS.2 = company.com DNS.3 = company.net 

2. Téléchargez le fichier dans le répertoire /nsconfig/ssl de l 'appliance Citrix ADC。

3. Connectez-vous à Citrix ADC en tant qu 'utilisateur命令接口nsrootEt passez à l 'invite du shell。

4. Exécutez la command suivante pour créer le certificat:

   CD /nsconfig/ssl openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout cert.pem -out cert.pem -config req.conf -extensions 'v3_req' 

5. Exécutez la command suivante pour vérifier le certificat:

   openssl x509 -in cert.pem -noout -text证书:Data: Version: 3 (0x2) Serial Number: ed:90:c5:f0:61:78:25:ab Signature Algorithm: md5WithRSAEncryption Issuer: C=US, ST=VA, L=SomeCity, O=MyCompany, OU=MyDivision, CN=www.company.com Validity Not Before: Nov 6 22:21:38 2012 GMT Not After: Nov 6 22:21:38 2014 GMT Subject: C=US, ST=VA, L=SomeCity, O=MyCompany, OU=MyDivision, CN=www.company.com Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key:(2048 bit)模量(2048 bit):…指数:65537 (0x10001) X509v3扩展:X509v3密钥用途:密钥加密，数据加密X509v3扩展密钥用途:TLS Web服务器认证X509v3主题替代名称:DNS:www.company.net, DNS:company.com, DNS:company.net签名算法:md5WithRSAEncryption…