証明書の作成
証明機関(CA)は,公開キー暗号化で使用するデジタル証明書を発行するエンティティです。CA によって発行または署名された証明書は、SSL トランザクションを実行するアプリケーション (Web ブラウザなど) によって自動的に信頼されます。これらのアプリケーションは、信頼する CA の一覧を保持します。セキュリティで保護されたトランザクションに使用されている証明書が、信頼できる CA のいずれかによって署名されている場合、アプリケーションはトランザクションを続行します。
注意:すべてのSSLトランザクションには,Verisignなどの認証されたCAから取得した証明書を使用することをお勧めします。Citrix ADCアプライアンスで生成された証明書は,テスト目的でのみ使用し,ライブ展開では使用しないでください。
既存の証明書とキーをインポートするには,証明書のインポートを参照してください。
証明書を作成し、SSL仮想サーバーにバインドするには、次の手順を実行します。ファイル名に使用できる特殊文字は、アンダースコアとドットだけです。
- プライベートキーを作成します。
- 証明書署名要求(CSR)を作成します。
- 认证局へのcsrの提出
- 証明書とキーのペアを作成します。
- 说明书とキーのペアをssl仮想サーバーにバインドする
次の図は、ワークフローを示しています。
「新闻说明书を作物成してインストールににどうすれですか“へのビデオリンク。
秘密キーの作成
メモ:
12.1リリースビルド49。xから,PEMキー形式のAES256アルゴリズムを使用して,アプライアンス上の秘密キーを暗号化できます。256年ビットキーのAESは,DES(数据加密标准)の56ビットキーに比べて、数学的に効率的で安全です。
リリース12.1ビルド50.xから,pkcs#8形式でrsaキーを作用成できます。
秘密キーは,デジタル証明書の最も重要な部分です。定義上,このキーは誰にも共有されないため,Citrix ADCアプライアンスに安全に保管する必要があります。公開キーで暗号化されたデータは,秘密キーを使用してのみ復号化できます。
CAから受け取った証明書は,CSRの作成に使用された秘密キーでのみ有効です。このキーは,証明書をCitrix ADCアプライアンスに追加するために必要です。
アプライアンスは、秘密鍵を作成するための RSA暗号化アルゴリズムをサポートしています。どちらのタイプの秘密キーも認証局(CA)に送信できます。加利福尼亚州から受け取った証明書は、企业社会责任の作成に使用された秘密キーでのみ有効です。このキーは、証明書をCitrix ADCアプライアンスに追加するために必要です。
重要:
- 秘密键へのアクセスをしててて持つ持つユーザーユーザーユーザーははははできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできできでき
- パスがキー名に含まれている場合,許可されるSSLキー名の長さには,絶対パス名の長さが含まれます。
すべてのssl说明书とキーは,アプライアンスの/ nsconfig / ssl
フォルダに保存されます。セキュリティセキュリティを强するため,desまたはトリプルdes(3des)アルゴリズムアルゴリズム使使て,アプライアンスアプライアンスに保存されている秘密キーをできでき秘密キーをでき
CLIを使用したrsa秘密キーの作物
コマンドプロンプトで入力します。
创建ssl rsakey[-exponent(3 | F4)][-keyform(DER | PEM)][-des |-des3 |-aes256]{-password}[-pkcs8]<--需要复制-->
例:
创建rsakey testkey 2048 -aes256 -password 123456 -pkcs8
GUIを使用したrsa秘密キーの作作作作作者
[トラフィック致理性]> [SSL]> [SSLファイル] に移動します。
[キー]タブタブ,[RSAキーの作成]を選択します。
次のパラメータの値を入力し、[作成] をクリックします。
- [密钥文件名]:RSAキーファイルの名前、およびオプションで、RSAキーファイルへのパス。 /nsconfig/ssl/がデフォルトのパスです。
- キーサイズ:RSAキーのサイズ(ビット単位).512ビットから4096ビットの范囲が可です。
- 公開指数-RSAキーの公開指数。指数は暗号アルゴリズムの一部であり、RSA鍵を作成するために必要です。
- 重点格式: RSAキー・ファイルがアプライアンスに保存される形式。
- 保密邮件エンコーディングアルゴリズム-AES 256,DES,またはトリプルDES(dES3)アルゴリズムアルゴリズムをたて,生成さたrsaキーをををを化ます。
- PEMパスフレーズ- 秘密键が暗号化されている场は,键键のパスフレーズをを入しし
GUIを使用して,RSAキーでaes256エンコーディングアルゴリズムを选択します
交通管理> SSL> SSL文件>创建RSA键にに动词し。
[キー形式]で,[PEM.]を选択します。
[保密邮件エンコーディングアルゴリズム]で,[AES256]を选択します。
[PKCS8]を选択します。
Cliを使用しし证明书籍名称作物成
コマンドプロンプトで入力します。
创建ssl certreq-keyFile-fipsKeyName)[-keyForm(DER|PEM){-PEMPassPhrase}]-countryName-stateName-organizationName-organizationUnitName-LocationName-commonName-emailAddress{-challengePassword}-companyName-digestMethod(SHA1 | SHA256)<!--NeedCopy-->
例:
create ssl certreq priv_csr_sha256 -keyfile priv_2048_2 -keyform PEM -countryName IN -stateName Karnataka -localityName Bangalore -organizationName Citrix -organizationUnitName NS -digestMethod SHA256
GUIを使用して証明書署名要求を作成する
- 流量管理>SSLにに动词し。
[SSL証明書]で,[証明書署名要求(CSR)の作成] をクリックします。
- 「ダイジェスト方式“で”SHA256“を選択します。
详细については,CSRの作物成を参照してください。
说明书姓名要求でのサブジェクト代替ののサポート
証明書のサブジェクト代替名(SAN)フィールドを使用すると,ドメイン名やIPアドレスなどの複数の値を1つの証明書に関連付けることができまつす。まり,www.example.com, www.example1.com, www.example2.comなどの複数のドメインを1つの証明書で保護できます。
谷歌浏览器などの一部のブラウザでは、証明書署名リクエスト (企业社会责任)で共通名がサポートされなくなりました。パブリックに信頼されるすべての証明書に 存储区域网络を適用します。
Citrix ADCアプライアンスは,CSRの作成時に圣値の追加をサポートしています。圣エントリを含むCSRを認証局に送信して,その圣エントリを含む署名付き証明書を取得できます。アプライアンスは,要求を受信すると,サーバ証明書の圣エントリに一致するドメイン名があるかどうかをチェックします。一致するものが見つかると,証明書がクライアントに送信され,SSLハンドシェイクが完了します。CLIまたはGUIを使用して,圣値を持つCSRを作成できます。
注:Citrix ADCアプライアンスアプライアンス,DNSベースのSAN値値のみのみしし。
CLIを使用して、サブジェクトの別名で 企业社会责任を作成します
创建ssl certReq(-keyFile)[-subjectAltName][-keyform(DER | PEM){-PEMPassPhrase}]-countryName-stateName-organizationName[-organizationUnitName][-LocationName][-commonName][-emailAddress]{-challengePassword}[-companyName][-digestMethod(SHA1 | SHA256)]<!--NeedCopy-->
パラメーター:
理论管理:サブジェクトの代替名(SAN)はxの拡張機能で,subjectAltNameフィールドを使用してさまざまな値をセキュリティ証明書に関連付けることができます。これらの値は,“サブジェクトの別名”(SAN)と呼ばれます。名前には次のものがあります。
知识产权アドレス (プレフィックスに「知识产权」の例:IP:198.51.10.5(IP:192.0.2.100)
DNS名(“DNS:“で始まるプレフィックス例:DNS: www.example.com DNS: www.example.org DNS: www.example.net)
コマンドライン,引用符で囲んでををしますます.2つの値はスペース区切りますgu guでは引符は必要ありありんませんん。
例:
创建Certreq test1.csr -keyfile test1.ky -countryname在-statename kar -organizationname citrix -commonname ctx.com -subjectaltname“DNS:*。example.com DNS:www.example.org DNS:www.example.net”<! - 需要 - >
注:
FIPSアプライアンスで,アプライアンス上で直接fipsキーを作用成する合成は,キーファイル名をfipsキー名に置き换えるがあります。
创建certReq
-fipsKeyName fipskey。ky -countryName IN -stateName Kar -organizationName citrix -commonName ctx.com -subject taltname "DNS:www.example.com DNS:www.example.org DNS:www.example.net"
GUIを使用したCSRの作成
- 交通管理>SSL>SSL文件にに动词し。
- [企业社会责任]タブで,(証明書署名要求(CSR)の作成] をクリックします。
- 値を入力し,(作成] をクリックします。
制限事項
SSL証明書の作成時に圣を使用するには,圣値を明示的に指定する必要があります。値はCSRファイルから自動的に読み込まれません。
认证局へのcsrの提出
ほとんどの証明機関(CA)は電子メールによる証明書の提出を受け付けています。CAは,CSRの送信元の電子メールアドレスに有効な証明書を返します。
CSRは/ nsconfig / ssl
フォルダに保存されます。
テスト说明书の生成
注:
サーバーテスト証明書を生成するには,サーバーテスト说明书の生成を参照して。
Citrix ADCアプライアンスには,テスト用に自己署名証明書を作成するために使用できるCAツールスイートが組み込まれています。
注意:Citrix ADCアプライアンスは実際のCAではなくこれらの証明書に署名するため,実稼働環境で使用しないでください。実稼働環境で自己署名証明書を使用しようとすると,仮想サーバーにアクセスするたびに”証明書が無効です”という警告が表示されます。
アプライアンスは,次のタイプのの明书籍作作作者
- ルートCA証明書
- 中央明书籍
- エンドユーザー証明書
- サーバー说明书
- クライアント証明書
说明书を生成するに,秘密キーを作用成し,それ秘密を作物しアプライアンス明书籍名称リクエスト(csr)を作物リクエストます次,csrをcaににするに,citrix adc caツールを使用しし明书を生成します。
ウィザードを使用して証明書を作成する
- 流量管理>SSLにに动词し。
- 詳細ペインの[はじめにで,作成する証明書の種類に応じたウィザードを選択します。
- 画面の指示に従います。
CLIを使用したルートCA証明書の作成
コマンドプロンプトで,次のコマンドをを力します。
创建SSL Cert [-keyfile ] [-keyform(der | pem)] [-days ] <! - caltcopy - >
次の例では,csreq1がcsrで,rsa1が以前に作用成さた秘密キーです。
例:
CREATE SSL CERT CERT1 CSREQ1 root_CERT -KEYFILE RSA1 -KEYFORM PEM -Days 365 DONE <! - 需要 - >
CLIを使用しし中间CA CA展示书作作作作者
创建ssl证书--需要复制-->
次の例では,csr1は前に作成したCSRです。Cert1 と rsakey1 は、自己署名(ルート CA)証明書の証明書と対応するキーで、pvtkey1 は中間 CA 証明書の秘密キーです。
例:
创建ssl证书csr1国际证书-CAcert证书1-CAkey rsakey1-案例23完成创建ssl rsakey pvtkey1 2048-指数F4-keyform PEM完成--需要复制-->
桂を使用したルート 加利福尼亚州証明書の作成
流量管理>SSLに移動して开始グループで根ca证书向导ををしてルートca说明书をを成します。
GUIを使用しし中间CA CA说明书の作作
流量管理>SSLに移動して开始グループで中间CA证书向导を選択して中間加利福尼亚州証明書を構成します。
エンドユーザー说明书を作物成する
エンドユーザー明明书には,クライアント闻明书またはサーバー明书ををををますできでき。テストエンドユーザ证明书籍ますするは,中间CA证明书籍ルートルートルートルート证明书を指定しししししししし
注:実稼働で使用するエンドユーザー証明書を作成するには,信頼できるCA証明書を指定し,CSRを認証局(CA)に送信します。
コマンドラインインターフェイスを使用してテストエンドユーザー証明書を作成する
创建ssl证书--需要复制-->
中間証明書がない場合は、卡塞特
と凝固了的
のルートca说明书の说明书(Cert1)とと键(rsakey1)の値を使用します。
例:
CREATE SSL CERT CERT12 CSR1 SRVR_CERT -CACERT CERT1 -CAKEY RSAKEY1 -CASIALIAL 23 DONE <! - 需要 - >
中間証明書がある場合は,卡塞特
および凝固了的
の跃间证明书の说明书(Certsy.
) と秘密キー (pvtkey1)の値を使用します。
例:
CREATE SSL CERT CERT12 CSR1 SRVR_CERT -CACERT CERTSY -CAKEY PVTKEY1 -CASIALIAL 23 DONE <! - 需要 - >
Opensslを使用しし自然名录圣明书籍を作物
複数のサブジェクト代替名を使用して自己署名存储区域网络証明書を作成するには、次の手順を実行します。
会社の要件に従って関連するフィールドを編集して、ローカルコンピューターにOpenSSL構成ファイルを作成します。
注:次の例では,構成ファイルは“req.confです。
[req] delceSiving_name = req_distinguenting_name x509_extensions = v3_req提示符=否[req_distinguenting_name] c = US ST = VA L = SOMECITY o = mycompany ou = mydivision cn = www.com pany.com [v3_req] keyusage = key enigarment,dataencialiment扩展key = serverauth odernaltname =@Alt_names [alt_names] dns.1 = www.company.net dns.2 = company.com DNS.3 = Company.Net <! - CaltCopy - >
ファイルをcitrix adcアプライアンスの/ nsconfig / sslディレクトリにアップロードします。
nsroot
ユーザーとしてCitrix ADC CLIにログオンし,シェルプロンプトに切り替えます。次のコマンドを実行し,证明书を作物成し。
CD /nsconfig/ssl openssl req -x509 -nodes -days 730 -newkey rsa:2048 -keyout cert.pem -config req.conf -extensions 'v3_req'
次のコマンドを実行して、証明書を確認します。
openssl x509 -in cert.pem -noout -text证书:数据:版本:3(0x2)序列号:ed:90:c5:f0:61:78:25:ab签名算法:md5withrsencryption发行者:c =美国,st= va,l = somecity,o = mycompany,ou = mydivision,cn = www.com pany.com有效性不是之前:11月6日22:21:38 2012 GMT不是以下:11月6日22:21:38 2014 GMT主题:C= US,ST = VA,L = SOMECITY,O = MyCompany,OU = MyDivision,CN = www.Company.com主题公钥信息:公钥算法:RSAencryption RSA公钥:(2048位)模数(2048位):...代表:65537(0x10001)x509v3扩展:x509v3键使用:X509V3键使用:密钥加密,数据密码X509V3扩展键使用:TLS Web服务器身份验证X509V3主题备用名称:DNS:www.company.net,dns:company.com,DNS:公司.NET签名算法:MD5Withrsaencryption ... <! - CentCopy - >