SSLに関するよくある質問
基本的な
VPXインスタンスでGUIへへのののアクセスアクセスが失败したらいいですですですですです
GUIへのhttpsアクセスアクセスは,证明书とキーのペア必要です.citrix adcアプライアンスで,证明书ととのペアがさにに内部サービスバインドれれれますれれますますますますますれますれれれれれれれれれれれれれますれれれで1024バイト,vpxインスタンスで512バイトです。ただし,最新の网页ブラウザーの多くは1024バイト未満のキーキー受け入れを受け入れの。
构成ユーティリティののhttpsアクセスのために,少なくとも1024バイトの证明书とキーのペアインストールし,内部内部サービスにバインドすることお勧めしますますししますししますししししし。ns-server-certificate
1024年をバイトに更新します。設定ユーティリティまたはCLIへのHTTPアクセスを使用して,証明書をインストールできます。
MPXアプライアンスにライセンスを追加すると,証明書とキーのペアバインディングが失われます。この問題を解決するにはどうしたらいいですか
MPXアプライアンスの驾驶时にがが存存追しアプライアンスを再すると,证明书のが失われる性性がます。
アプライアンスを起動する前に,適切なライセンスをインストールすることをお勧めします。
SSLトランザクションのセキュリティで保護されたチャネルの設定に関連するさまざまな手順は何ですか
SSLトランザクション用のセキュアチャネルを設定するには,次の手順を実行します。
クライアントは,セキュアチャネルに対するHTTPS要求をサーバーに送信します。
プロトコルと暗号を选択すると,サーバーは证明书をクライアントに送信します。
クライアントはサーバー证明书の信頼性をチェックします。
いずれかのチェックが失敗した場合,クライアントは対応するフィードバックを表示します。
チェックが合格した場合,またはチェックが失敗してもクライアントが継続することを決定した場合,クライアントは一時的な使い捨てキーを作成します。このキーは事前マスターシークレットと呼ばれ,クライアントはサーバー証明書の公開キーを使用してこのキーを暗号化します。
サーバーは,プリマスターシークレットを受信すると,サーバーの秘密キーを使用してそれを復号化し,セッションキーを生成します。クライアントは,プリマスターシークレットからセッションキーも生成します。したがって,クライアントとサーバーの両方に,アプリケーションデータの暗号化と復号化に使用される共通のセッションキーがあります。
SSLはCPU集约型のであるであるを理解
SSLプロセスには,次の2つのステージが関連付けられています。
公用しセキュアセキュアチャネルのとセキュアセキュア设定ハンドシェイクセキュアチャネル设定。
対称キー技術を使用した一括データ暗号化。
前述のステージはどちらもサーバーのパフォーマンスに影响を与える可能性があり,次の理由から集中的なCPU处理が必要になります。
最初最初ハンドシェイクに,公开秘密キーの暗暗含まれますます。これこれ,キーサイズ(1024ビット,2048,4096ビット)が大厦ため,cpuが非常に集し。
データデータの号化/钢号化は,暗号化または标号化必要があるあるののて,计算コストも高度なります。
SSL設定のさまざまなエンティティは何ですか
SSL設定には,次のエンティティがあります。
- サーバー証明書
- 認証局(CA)証明書
- 次のタスクのプロトコルを指定する暗号スイート。
- 初期キー交換
- サーバーとクライアントの認証
- 一括暗号化アルゴリズム
- メッセージ認証
- クライアント認証
- CRL
- SSL証明書キー生成ツールを使用すると,次のファイルを作成できます。
- 証明書リクエスト
- 自己署名証明書
- RSAキー
- DHパラメータ
Citrix ADCアプライアンスのSSLオフロード机械を使いたい.ssl说明书をを信するためのさまざまオプションオプション何です
Citrix ADCアプライアンスでsslセットアップをを成するに,ssl说明书を受け取る受け取る必要ますます.ssl说明书をを受するはに,次のいずれはののはできは。
承認された認証局(CA)に証明書を要求します。
既存のサーバー証明書を使用します。
Citrix ADCアプライアンスで証明書とキーのペアを作成します。
注:この証明書は,Citrix ADCアプライアンスによって生成されたテストルートCAによって署名されたテスト証明書です。テスト根caによって署名されたテスト証明書は,ブラウザでは受け入れられません。ブラウザは,サーバーの証明書を認証できないことを示す警告メッセージがスローされます。
- テスト目的以外には,サーバー証明書に署名するための有効なCA証明書とCAキーを指定する必要があります。
SSLセットアップの最小要件は何ですか
SSLセットアップを構成するための最小要件は次のとおりです。
- 証明書とキーを取得します。
- 負荷分散SSL仮想サーバーを作成します。
- HTTPまたはSSLサービスをSSL仮想サーバーにバインドします。
- 証明書とキーのペアをSSL仮想サーバーにバインドします。
SSLのさまざまなコンポーネントの制限は何ですか
SSLコンポーネントには,次の制限があります。
- SSL証明書のビットサイズ:4096。
- SSL証明書の数:アプライアンスの使用可能なメモリによって異なります。
- リンクリンクされれ中间CA CA SSL说明书のの大数:チェーンあたり9
- crl失效:
Citrix ADCアプライアンスのエンドツーエンドのデータ暗号化に関連するさまざまな手順は何ですか
Citrix ADCアプライアンスのサーバー側の暗号化プロセスに関連する手順は次のとおりです。
クライアントは,セキュリティで保護されたサイトのCitrix ADCアプライアンスで構成されたSSL VIPに接続します。
セキュアな要求を受信すると,アプライアンスは要求を復号化し,レイヤ4 ~ 7のコンテンツスイッチング技術とロードバランシングポリシーを適用します。次に,リクエストに使用可能な最適なバックエンドWebサーバーを選択します。
Citrix ADCアプライアンスは,選択したサーバーとのSSLセッションを作成します。
SSLセッションを確立した後,アプライアンスはクライアント要求を暗号化し,セキュアSSLセッションを使用してWebサーバに送信します。
アプライアンスは,サーバから暗暗を受,データを复応答をて再に,クライアントをします。
Citrix ADCアプライアンスの多重化技術により,アプライアンスはWebサーバーで確立されたSSLセッションを再利用できます。したがって,アプライアンスは,フルハンドシェイクと呼ばれるCPUを大量にに消费キー交换交换を回避しキープロセスによりによりによりによりによりのののさののがが削减されのプロセスがが削减されのプロセスがが削减されののがが削减されの
証明書とキー
证明书とキーファイルはのの场所配置できますかますファイルファイルを保存するする推奨ありますますますますますます
証明書とキーファイルは,Citrix ADCアプライアンスまたはローカルコンピュータに格納できます。ただし,証明書とキーファイルはCitrix ADCアプライアンスの/ nsconfig / ssl
ディレクトリに保存することをお勧めします。/等
ディレクトリは,Citrix ADCアプライアンスのフラッシュメモリに存在します。この操作により,移植性が提供され,アプライアンス上の証明書ファイルのバックアップと復元が容易になります。
注:証明書とキーファイルが同じディレクトリに保存されていることを確認してください。
Citrix ADCアプライアンスでサポートされる証明書キーの最大サイズはどれくらいですか
9.0リリースより前のソフトウェアリリースを実行しているCitrix ADCアプライアンスは,2048ビットの最大証明書キーサイズをサポートします。リリース9.0以降では,4096ビットの最大証明書キーサイズがサポートされています。この制限はRSA証明書に適用されます。
MPXアプライアンスは,512ビットから次のサイズまでの証明書をサポートします。
仮想サーバー上の4096ビットサーバー証明書
サービス上の4096ビットビットクライアント说明书
4096年ビットCA証明書(中間証明書とルート証明書を含む)
バックエンドサーバー上の4096ビット証明書
4096ビットのクライアント说明书(仮想サーバーでクライアント认证がが效になっている合并)
仮想アプライアンスは,512ビットから次のサイズまでの証明書をサポートします。
仮想サーバー上の4096ビットサーバー証明書
サービス上の4096ビットビットクライアント说明书
4096年ビットCA証明書(中間証明書とルート証明書を含む)
リリース12.0 -56。xのバックエンドサーバー上の4096ビット証明書。2048年古いリリースではビット証明書がサポートされています。
リリース12.0 -56。2048年xからのビットのクライアント証明書(仮想サーバでクライアント認証が有効になっている場合)。
Citrix ADCアプライアンスでサポートされるDHパラメータの最大サイズはどれくらいですか
Citrix ADCアプライアンスは,最大2048ビットのDHパラメータをサポートしています。
Citrix ADCアプライアンスでサポートされる証明書チェーンの最大長,つまりチェーン内の最大証明書数はどれくらいですか
Citrix ADCアプライアンスは,サーバー証明書メッセージを送信するときに,チェーン内で最大10個の証明書を送信できます。最大長のチェーンには,サーバ証明書と9つの中間CA証明書が含まれます。
Citrix ADCアプライアンスアプライアンスででサポートされるさまざまな明书籍キーキーの形式はは何ですです
Citrix ADCアプライアンスは,次の証明書とキーの形式をサポートしています。
- プライバシー強化メール(PEM)
- 識別エンコーディングルール(DER)
Citrix ADCアプライアンスにインストールできる証明書とキーの数に制限はありますか
なしなしインストールできる明书ととキー数号,citrix adcアプライアンスののの使使使ますのみのみ制ますます。
証明書とキーファイルをローカルコンピューターに保存しました。FTPプロトコルを使用してこれらのファイルをCitrix ADCアプライアンスに転送したい。これらのファイルをCitrix ADCアプライアンスに転送するための優先モードはありますか
はい。FTPプロトコルを使用している場合は,バイナリモードを使用して証明書とキーファイルをCitrix ADCアプライアンスに転送する必要があります。
注:デフォルトでは、FTPは無効になっています。说明书およびキーファイルを転送するには、SCPプロトコルをお勧めします。構成ユーティリティは、暗黙的に SCP を使用してアプライアンスに接続します。
証明書とキーのデフォルトのディレクトリパスは何ですか
说明书とキーのののは'/ nsconfig / ssl'です。
証明書とキーペアを追加するときに,証明書とキーファイルへの絶対パスを指定しないとどうなりますか
証明書とキーのペアを追加するときは,証明書とキーファイルへの絶対パスを指定します。指定しない場合,ADCアプライアンスはこれらのファイルをデフォルトディレクトリで検索し,カーネルにロードしようとします。デフォルトのディレクトリは/ nsconfig / ssl
です。たとえば,アプライアンスの/ nsconfig / ssl
ディレクトリでcert1024。pemファイルとrsa1024。pemファイルが使用可能な場合,次のコマンドは両方とも正常に実行できます。
添加ssl certKey cert1 -cert cert1204。pem关键rsa1024。pem < !——NeedCopy >
添加SSL CertKey Cert1 -Cert /nsconfig/ssl/cert1204.pem -key /nsconfig/ssl/rsa1024.pem <! - caltcopy - >
高可用性セットアップを構成しました。セットアップにSSL機能を実装したい。高可用性セットアップで証明書とキーファイルをどのように処理する必要がありますか
高可用性設定では,プライマリとセカンダリのCitrix ADCアプライアンスの両方に証明書とキーファイルを保存する必要があります。プライマリアプライアンスにSSL証明書とキーのペアを追加する前に,証明書とキーファイルのディレクトリパスが両方のアプライアンスで同じである必要があります。
nCipher公司nShield®HSM
nCipher公司nShield®HSMと統合する場合,Citrix ADCアプライアンスをHAに追加する際に特定の構成に留意する必要がありますか
HAの両方のノードで同じnCipher公司デバイスを構成します。nCipher公司構成コマンドはHAで同期しません。nCipher公司nShield®HSMの前提条件については,”前提条件「を参照してください。
nciphernshield®HSMとRFSの両方向个别に统合并必要がますかHaセットアップの前后にこのを完了完了する必要がますか
統合は,HAセットアップの前後に完了できます。HAセットアップ後に統合が行われると,セカンダリノードを設定する前にプライマリノードにインポートされたキーは,セカンダリノードに同期されません。したがって,高可用性セットアップの前にnCipher公司統合をお勧めします。
プライマリとセカンダリの両方のCitrix ADCアプライアンスにキーをインポートする必要がありますか,それともプライマリノードからセカンダリノードにキーが同期されていますか
nCipher公司がHAを形成する前に両方のデバイスに統合されている場合,キーは統合プロセスでRFSから自動的に同期されます。
HSMがCitrix ADCアプライアンスではなくnCipher公司上にある場合,ノードに障害が発生して交換されたときのキーと証明書はどうなりますか
ノードに障害が発生した場合,新しいノードにnCipher公司を統合することで,キーと証明書を新しいノードに同期できます。次に,次のコマンドを実行します。
Sync ha files SSL force ha Sync
nCipher公司の統合プロセスでキーが同期されている場合,証明書は同期され,追加されます。
暗号
ヌル暗号って何ですか
暗号化のない暗号は,NULL-Ciphersと呼ばれます。たとえば,NULL-MD5はヌル暗号です。
SSL VIPまたはSSLサービスの場合,零暗号はデフォルトで有効になっていますか
なしssl vipまたはsslサービスでは,null暗号はデフォルトで效にません。
ヌル暗号を削除する手順は何ですか
SSL VIPから零暗号を削除するには,次のコマンドを実行します。
bind ssl cipher REM NULL
SSLサービスから零暗号を削除するには,次のコマンドを実行します。
bind ssl cipher REM NULL -service
Citrix ADCアプライアンスでサポートされるさまざまな暗号エイリアスは何ですか
アプライアンスでサポートされている暗号エイリアスを一覧表示するには,コマンドプロンプトで次のように入力します。
sh密码< !——NeedCopy >
Citrix ADCアプライアンスの事前定義された暗号をすべて表示するコマンドは何ですか
Citrix ADCアプライアンスの事前定義された暗号をすべて表示するには,CLIで次のように入力します。
Show SSL cipher
Citrix ADCアプライアンスの個々の暗号の詳細を表示するコマンドは何ですか
Citrix ADCアプライアンスの個々の暗号の詳細を表示するには,CLIで次のように入力します。
显示SSL密码 <! - yourcopy - >
例:
显示密码SSL3-RC4-SHA 1)密码名称:SSL3-RC4-SHA描述:SSLV3 KX = RSA AU = RSA ENC = RC4(128)MAC = SHA1 DONE <! - 需要 - >
Citrix ADCアプライアンスの事前定義された暗号を追加することの意義は何ですか
Citrix ADCアプライアンスアプライアンスアプライアンスの事前定义されたたをを追する,空位暗がssl vipまたはsslサービスサービス追加されます。
Citrix ADCアプライアンスの暗号グループからバインド解除せずに暗号の順序を変更することは可能ですか
はい。カスタム暗号グループからからをバインド解除することなく,暗,の暗を変更できただし顺位の暗グループこと顺位ををすることはません.sslエンティティにバインドさたたのの顺位ををするには,まず仮想サーバー,サービス,またはサービスグループから暗号をバインド解除します。
注:SSLエンティティにバインドされた暗号グループが空の場合,ネゴシエートされた暗号がないため,SSLハンドシェイクは失敗します。暗号グループには,少なくとも1つの暗号が含まれている必要があります。
ECDSAはCitrix ADCアプライアンスでサポートされていますか
ECDSAは,次のCitrix ADCプラットフォームでサポートされています。サポートされているビルドの詳細については,Citrix ADCアプライアンスで使用可能な暗号のと表1表2を参照してください。
- N3チップを搭載したCitrix ADC MPXおよび有关アプライアンス
- Citrix ADC MPX 5900/8900 / 15000/26000
- Citrix ADC SDX 8900/15000
- Citrix ADC VPXアプライアンス
Citrix ADC VPXアプライアンスは,フロントエンドでAES-GCM用户/ SHA2暗号をサポートしていますか
用户はいAES-GCM / SHA2暗号はCitrix ADC VPXアプライアンスでサポートされています。サポートされているビルドの詳細については,Citrix ADCアプライアンスアプライアンスで使使使使な暗を参照してください。
说明书
クライアント说明书の名は,ユーザーセッションの长さででますか
はい。ユーザーセッションのは,后続のリクエストでクライアント证证できつまり,sslハンドシェイク完了し,证明书がによって再度再度送れない后でも同様。说明されているに,数码と代入を使。
例:
add ns variable v2 -type "text(100)" add ns assign a1 -variable "$v2" -set "CLIENT.SSL.CLIENT_CERT.SUBJECT.TYPECAST_NVLIST_T('=','/').VALUE("CN")" add rewrite action act1 insert_http_header subject "$v2" //示例:添加重写策略pol1 true a1添加重写策略pol2 true act1 bind重写全局pol1 1 next -type RES_DEFAULT bind重写全局pol2 2 next -type RES_DEFAULT set重写参数-undefAction RESET
サーバー証明書をバインドする必要があるのはなぜですか
サーバー証明書のバインドは,SSL設定でSSLトランザクションを処理するための基本的な要件です。
サーバー証明書をSSL VIPにバインドするには,CLIで次のように入力します。
bind ssl vserver -certkeyName
サーバー証明書をSSLサービスにバインドするには,CLIで次のように入力します。
绑定ssl service -certkeyname <! - yourcopy - >
SSL VIPまたはSSLサービスにバインドできる証明書はいくつありますか
Citrix ADC VPX,MPX / SDX(N3),およびMPX / SDX 14000 FIPSアプライアンスでは,2つの说明书をssl仮想サーバーまたはsslサービスにバインドでき(SNIががのの合)。说明书はrsaおよびecdsaの各タイプの1つであるである必要があります.sniが有象の料,rsaまたはecdsaタイプののサーバ明书をバインドます.citrix adc mpx(n2)またはmpx 9700 fipsアプライアンスで,sniが无效になってて综合性は,rsaタイプタイプの明书を1つだけバインドできます.sniが有象なな合书,RSAタイプタイプ复ののサーバ明书
サーバー証明書のバインドを解除または上書きするとどうなりますか
サーバー証明書のバインドを解除または上書きすると,既存の証明書を使用して作成されたすべての接続とSSLセッションが終了します。既存の証明書を上書きすると,次のメッセージが表示されます。
错误:警告:当前证书替换了以前的绑定。<!——NeedCopy >
Citrix ADCアプライアンスににアプライアンスアプライアンスにに书をインストールし,サーバー明明书にリンクするはどうすればよいですか
中間証明書のインストールについては,”http://support.citrix.com/article/ctx114146“の記事を参照してください。
Citrix ADCに証明書をインストールしようとすると,“リソースはすでに存在します”というエラーが発生するのはなぜですか
“リソースはすでに存在します”エラーの解決方法については,”http://support.citrix.com/article/ctx117284“の記事を参照してください。
Citrix ADCアプライアンスでサーバーサーバー明书籍を作物成し,サーバーサーバー明书籍作物
次の手順を実行して,テスト証明書を作成します。
注:この手順で作成された証明書を使用して,すべてのユーザおよびブラウザを認証することはできません。テストに証明書を使用した後は,承認されたルート認証局によって署名されたサーバー証明書を取得する必要があります。
自然名亡名书书作作作者
ルートCA証明書を作成するには,CLIで次のように入力します。
创建SSL rsakey /nsconfig/ SSL /test-ca。Key 1024 create SSL certreq /nsconfig/ SSL /test-ca. conf . confcsr密钥文件/ nsconfig / ssl /测试ca。key根据提示输入所需信息,然后输入以下命令:create ssl cert /nsconfig/ssl/test-ca. keycer / nsconfig / ssl /测试ca。csr ROOT_CERT -keyfile /nsconfig/ssl/test-ca. cer关键< !——NeedCopy >
次の手順を実行して,サーバー証明書を作成し,作成したルートCA証明書で署名します。
リクエストとキーを作成するには,CLIで次のように入力します。
创建SSL rsakey /nsconfig/ SSL /test-server。密钥1024 create SSL certreq /nsconfig/ SSL /test-server. properties . propertiescsr密钥文件/ nsconfig / ssl /测试服务器。关键< !——NeedCopy >
プロンプトが表示されたら,必要な情報を入力します。
シリアル番号ファイルを作成するには,CLIで次のように入力します。
Shell # echo '01' > /nsconfig/ssl/serial.txt # exit
ステップ1で作成したルートCA証明書によって署名されたサーバ証明書を作成するには,CLIで次のように入力します。
创建SSL证书/nsconfig/ SSL /test-server。cer / nsconfig / ssl /测试服务器。csr SRVR_CERT -CAcert /nsconfig/ssl/test-ca. cercer凝固了的/ nsconfig / ssl /测试ca。nsconfig/ssl/serial.txt
SSLハンドシェイクとバルク暗号化のサーバー証明書情報を保持するメモリ内オブジェクトであるCitrix ADC証明書とキーのペアを作成するには,CLIで次のように入力します。
添加SSL certkey test-certkey -cert /nsconfig/ SSL /test-server。cer关键/ nsconfig / ssl /测试服务器。关键< !——NeedCopy >
说明书とキーのをssl仮想サーバーにバインドするは,cliで次のように力します。
bind ssl vserver
-certkeyName
NetScalerソフトウェアリリース9.0がインストールされているCitrix ADCアプライアンスを受け取りました。アプライアンスに追加のライセンスファイルがあることに気付きました。NetScalerソフトウェアリリース9.0以降のライセンスポリシーに変更はありますか
はい。Citrix NetScaler ソフトウェアリリース9.0以降、アプライアンスに単一のライセンスファイルがない可能性があります。ライセンスファイルの数は、Citrix ADCソフトウェアリリースエディションによって異なります。たとえば、Advanced Edition をインストールしている場合、さまざまな機能の完全な機能のために追加のライセンスファイルが必要になる場合があります。ただし、Premium エディションをインストールした場合、アプライアンスにはライセンスファイルが 1 つしかありません。
インターネットインフォメーションサービス(IIS)から証明書をエクスポートするにはどうすればよいですか
さまざまな方法がありますが,次の方法を使用して,Webサイトの適切な証明書と秘密キーがエクスポートされます。この手順は,実際のIISサーバーで実行する必要があります。
インターネットインフォメーションサービス(IIS)マネージャー管理ツールを开きます。
网页サイトノードを展开し,citrix adcアプライアンスを介してするssl対応の网页サイトを见つけます。
この网サイトを右クリック,[プロパティ]ををします。
[ディレクトリセキュリティ]タブをクリックし,ウィンドウの[セキュリティで保护され通信]セクションセクション,[说明书の表示]ボックスを选択し。
[詳細]タブをクリックし,[ファイルにコピー]をクリックします。
[证明书のエクスポートウィザードウィザードこそこそこそようこそ,[次へ]ををします。
[はい,秘密キーをエクスポートする]を選択し,[次へ]をクリックします。
注:SSLオフロードがCitrix ADCで动作するは,秘密秘密キーをエクスポートする必要があり
[個人情報交換pkcs # 12]ラジオボタンが選択されていることを確認し,(可能な場合はすべての証明書を証明パスに含める]チェックボックスをオンにします。(次へ]をクリックします。
パスワードを入力し,[次へ]をクリックします。
ファイル名と場所を入力し,[次へ]をクリックします。ファイルの拡張子を。可以にします。
(完了]をクリックします。
PKCS # 12証明書を変換してCitrix ADCにインストールするにはどうすればよいですか
エクスポートされた。可以証明書ファイルを,Citrix ADCアプライアンスにコピーできる場所に移動します。つまり,Citrix ADCアプライアンスの管理インターフェイスへのSSHアクセスを許可するマシンです。SCPなどのセキュアコピーユーティリティを使用して,証明書をアプライアンスにコピーします。
BSDシェルにアクセスし,証明書(Cert。可以なをど)。PEM形式に変換します。
root @ ns#openssl pkcs12 -in cert.pfx -out cert.pem <! - caltcopy - >
変換された証明書が正しいx509形式であることを確認するには,次のコマンドでエラーが生成されないことを確認します。
root@ns# openssl x509 -in cert.PEM -text
証明書ファイルに秘密キーが含まれていることを確認します。次のコマンドを発行することから始めます。
root@ns# cat cert.PEM验证输出文件是否包含RSA PRIVATE KEY部分。-----BEGIN RSA PRIVATE KEY----- Mkm^s9KMs9023pz/s…-----结束rsa私钥-----
次に,RSA秘密キーセクションの別の例を示します。
包属性1.3.6.1.4.1.311.17.2:<没有值> localKeyID: 01 00 00 00微软CSP名称:微软RSA SChannel加密提供者friendlyName: 4 b9cef4cc8c9b849ff5c662fd3e0ef7e_76267e3e - 6183 4 - d45 - 886 - e - 6 - e067297b38f关键属性X509v3关键用法:10——开始RSA私钥Proc-Type: 4,加密DEK-Info:43岁的DES-EDE3-CBC e7aca5f4423968 pZJ2SfsSVqMbRRf6ug37Clua5gY0Wld4frPIxFXyJquUHr31dilW5ta3hbIaQ + Rg…(更多随机字符)v8dMugeRplkaH2Uwt/mWBk4t71Yv7GeHmcmjafK8H8iW80ooPO3D/ENV8X4U/tlh 5eU6ky3WYZ1BTy6thxxLlwAullynVXZEflNLxq1oX+ZYl6djgjE3qg== -----END RSA PRIVATE KEY-----
以下は,サーバー証明書のセクションです。
包属性localKeyID: 01 00 00 00 friendlyName: AG证书主题=/C=AU/ST=NSW/L=Wanniassa/O=Dave Mother asiapasia /OU=Support/CN= davemomother .food。lan issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIFiTCCBHGgAwIBAgIKCGryDgAAAAAAHzANBgkqhkiG9w0BAQUFADA8MRMwEQYK…(更多随机字符)5pLDWYVHhLkA1pSxvFjNJHRSIydWHc5ltGyKqIUcBezVaXyel94pNSUYx07NpPV/ MY2ovQyQZM8gGe3+lGFum0VHbv/y/gB9HhFesog= -----END CERTIFICATE-----
以下は,中莲CA说明书のセクションです。
subject=/DC=lan/DC=food/CN=hotdog issuer=/DC=lan/DC=food/CN=hotdog -----BEGIN CERTIFICATE----- MIIESDCCAzCgAwIBAgIQah20fCRYTY9LRXYMIRaKGjANBgkqhkiG9w0BAQUFADA8…(更多随机字符)Nt0nksawDnbKo86rQcNnY5xUs7c7pj2zxj/ iosgnhup5w6ddi9pqqffadk = -----END CERTIFICATE----- エクスポートされた証明書の証明書パスによっては,さらに中間CA証明書が続く場合があります。
テキストエディタで.pemファイルを开放ます
.PEMファイルの最初の行と次の行の最初のインスタンスを見つけ,それらの2行とその間のすべての行をコピーします。
-----END CERTIFICATE-----注意:请确保复制的最后一行是. pem文件中的第一行-----END CERTIFICATE-----。<!——NeedCopy >
コピーした行を新しいファイルに貼り付けます.cert-key。pemなど,新しいファイルを直観的に呼び出します。この証明書とキーのペアは,HTTPSサービスをホストするサーバー用です。このファイルには,RSA私钥というラベルの付いたセクションと,前述の例の服务器证书というラベルの付いたセクションの両方が含まれている必要があります。
注:証明書とキーのペアファイルには,秘密キーが含まれているため,安全に保つ必要があります。
开始证书——で始まり端证书——で終わる後続のセクションを探し,そのようなセクションをそれぞれ別の新しいファイルにコピーします。
これらのセクションは,証明書パスに含まれている信頼できるCAの証明書に対応しています。これらのセクションは,これらの証明書の新しい個別のファイルにコピーして貼り付ける必要があります。たとえば,前の例の中間CA証明書セクションをコピーして新しいファイルに貼り付ける必要があります)。
元のファイルに複数の中間CA証明書がある場合は,各中間CA証明書のファイルを,ファイル内の順番に作成します。後の手順で正しい順序で証明書をリンクする必要があるため,証明書が表示される順序を(適切なファイル名を使用して)追跡します。
証明書キーファイル(cert-key.pem)および追加のCA証明書ファイルをCitrix ADCアプライアンス上のnsconfig / sslディレクトリにコピーします。
BSDシェルを终了,Citrix ADCプロンプトにアクセスします。
“アプライアンスに証明書キーファイルをインストールする”の手順に従って,デバイスにアップロードされたキー/証明書をインストールします。
PKCS # 7証明書を変換してCitrix ADCアプライアンスにインストールするにはどうすればよいですか
OpenSSLを使用してPKCS # 7証明書をCitrix ADCアプライアンスで認識できる形式に変換できます。この手順はpkcs# 12証明書の手順と同じです。ただし,異なるパラメータでOpenSSLを呼び出す点が異なります。PKCS # 7証明書を変換する手順は次のとおりです。
SCPなどのセキュアコピーユーティリティを使用して,証明書をアプライアンスにコピーします。
証明書(Cert。p7bなど)をPEM形式に変換します。
openssl pkcs7 -inform DER -in cert.p7b -print_certs -text -out cert.pem
PKCS#12说明书の回答说明されて手顺手顺3〜7に従います。注:変换されたpkcs#7说明书をアプライアンスにする前に,pkcs#12手顺のステップ3で说明したおりににキーが含まれていることを确认します.PKCS#7证明书,特にIISからエクスポートされた证明书には,通常,秘密キーは含まれません。
Bind Cipherコマンドを使使して暗を仮想サーバーまたはにバインドすると,「命令已弃用?“
暗号を仮想サーバーまたはサービスにバインドするコマンドが変更されました。
SSL暗号をSSL仮想サーバにバインドするには,绑定SSL vserver
コマンドを使用します。
SSL暗号をSSLサービスにバインドするには,绑定ssl服务
コマンドを使用します。
注:新闻编号およびおよび号グループは既存のリストに追れ,置き换えられません。
添加密码コマンドを使用して暗号グループを作成し,それに暗号をバインドできないのはなぜですか
添加密码コマンドの機能がリリース10で変更されました。このコマンドは,暗号グループのみを作成します。グループに暗号を追加するには,绑定密码コマンドを使用します。
openssl.
OpenSSLを使用してPEMとDERの間で証明書を変換するにはどうすればよいですか吗?
OpenSSLを使用するには,OpenSSLソフトウェアを正常にインストールし,コマンドラインからOpenSSLを実行できる必要があります。
x509証明書とRSAキーは,いくつかの異なる形式で保存できます。
一般的な形式は次のですです。
- der(主にjavaおよびmacintoshプラットフォームプラットフォーム使使用されるバイナリ形式)
- PEM(ヘッダーとフッター情報を持つDERのbase64表現。主にUNIXおよびLinuxプラットフォームで使用されます)。
ルート証明書および中間証明書に加えて,キーと対応する証明書は,単一のpkcs# 12 (.P12 .PFX)ファイルに格納することもできます。
手順
OpenSSLコマンドを使用して,次の形式を変換します。
証明書をPEMからDERに変換するには,次の手順を実行します。
x509-in input.crt -inform pem -out output.crt -outform der <! - caltcopy - >
証明書をDERからPEMに変換するには,次の手順を実行します。
x509 -in input.crt -inform der -out output.crt -outform pem <! - caltcopy - >
キーをpemからderに変换するにには:
rsa——输入。key -inform PEM输出。key -outform DER
キーをDERからPEMに変換するには,次の手順を実行します。
RSA -IN INPUT.KEY -INFORM DEROUT OUTPUT.KEY -OUTFOOF PEM <! - CEURTCOPY - >
注:インポートするキーがサポートされている対称暗号で暗号化されている場合は,パスフレーズの入力を求められます。
注:キーを旧式の净(网景サーバ)形式に変換するには,必要に応じてPEMまたはDERを净に置き換えます。保存された鍵は弱い無塩RC4対称暗号で暗号化されるため,パスフレーズが要求されます。空白のパスフレーズは許容されます。
システム制限
覚えておくべき重要な数字は何ですか
証明書リクエストの作成:
- リクエストファイル名:最大文63字
- キーファイル名:最大63文字
- PEMパスフレーズ(暗号化辅助用品):最大31文章
- 一般名:最大 63 文字
- 市区町村:最大 127 文字
- 組織名:最大 63 文字
- 州/州名:最大 63 文字
- メールアドレス:最大39文字
- 組織単位:最大 63 文字
- チャレンジパスワード:最大20文字
- 会社名:最大 127 文字
証明書の作成:
- 証明書ファイル名:最大文63字
- 说明书要求名:最大63文字
- キーファイル名:最大63文字
- PEMパスフレーズ:最大31文字
- 有効期間:最大 3650 日
- CA说明书ファイル名:最大63文字
- CAキーファイル名:最大文63字
- PEMパスフレーズ:最大31文字
- CAシリアル番号ファイル:最大文63字
サーバーテスト证明书を作成してインストールします。
- 証明書ファイル名:最大31文字
- 完全修饰ドメイン名:最大63文章
- diffie - hellman (DH)キーを作成します。
- DHファイル名(パスあり):最大文63字
- DHパラメータサイズ:最大2048ビット
PKCS12キーをインポート:
- 出力ファイル名:最大文63字
- PKCS12ファイル名:最大文63字
- パスワードのインポート:最大31文字
- PEMパスフレーズ:最大31文字
- PEMパスフレーズの确认:最大31文章
- PKCS12をエクスポート
- PKCS12ファイル名:最大文63字
- 証明書ファイル名:最大文63字
- キーファイル名:最大63文字
- エクスポートパスワード:最大31文章
- PEMパスフレーズ:最大31文字
- CRL管理:
- CA说明书ファイル名:最大63文字
- CAキーファイル名:最大文63字
- CAキーファイルパスワード:最大31文字
- インデックスファイル名:最大文63字
- 証明書ファイル名:最大文63字
- RSAキーの作成:
- キーファイル名:最大63文字
- キーサイズ:最大4096ビット
- PEMパスフレーズ:最大31文字
- パスフレーズの确认:最大31文章
- SSLの詳細設定を変更します。
- 最大CRLメモリサイズ:最大1024バイト
- 尺号化トリガタイム(10 msティック):最大200
- 暗号化トリガーパケット数:最大50岁
- OCSPキャッシュサイズ:最大512 MB
- 说明书のインストール:
- 証明書とキーのペア名:最大31文字
- 証明書ファイル名:最大文63字
- 秘密キーファイル名:最大文63字
- パスワード:最大31文章
- 通知期間:最大 100
- 暗号グループの作成:
- 暗号グループ名:最大39文字
- CRLの作成:
- CRL名称:最大31文章
- CRLファイル:最大文63字
- URL:最大文127字
- ベースDN:最大文127字
- バインドDN:最大文127字
- パスワード:最大31文章
- 日数:最大 31
- SSLポリシーの作物:
- 名前:最大 127 文字
- SSLアクションの作成:
- 名前:最大 127 文字
- OCSPレスポンダーの作物:
- 名前:最大 32 文字
- URL:最大文128字
- バッチの深さ:最大8
- バッチ処理遅延:最大10000
- タイムスキューで生産:最大86400
- リクエストタイムアウト:最大120000
- 仮想サーバーの作成:
- 名前:最大 127 文字
- リダイレクトURL:最大文127字
- クライアントのタイムアウト:最大31536000秒
- サービスの作成:
- 名前:最大 127 文字
- アイドルタイムアウト(秒):クライアント:最大31536000サーバー:最大31536000
- サービスグループの作成:
- サービスグループ名:最大文127字
- サーバーID:最大4294967295
- アイドルアイドルタイム(秒):クライアント:最大値31536000サーバー:最大31536000
- モニターの作成:
- 名前:最大 31 文字
- サーバーを作成:
- サーバー名:最大文127字
- ドメイン名:最大文255字
- 解決再試行:最大 20939 秒