客户端证书身份验证
包含敏感内容的网站(例如网上银行网站或包含员工个人信息的网站)有时需要客户证书进行身份验证。若要配置身份验证、授权和审核以根据客户端证书属性对用户进行身份验证,请首先在流量管理虚拟服务器上启用客户端身份验证,然后将根证书绑定到身份验证虚拟服务器。然后,您实现两个选项之一。您可以将身份验证虚拟服务器上的默认身份验证类型配置为证书,也可以创建证书操作,该操作定义Citrix ADC必须执行哪些操作来根据客户端证书对用户进行身份验证。【中文译文】“”“”“”“”“”“”“”
当用户尝试登录到未配置身份验证策略的身份验证虚拟服务器,并且未配置全局级联时,将从证书的指定字段中提取用户名信息。如果提取所需字段,则身份验证成功。“SSL”、“陆基”、“陆基”、“陆基”、“陆基”。a / c / c / c / c / c / c / c / c / c
以下过程假定您已经创建了正常运行的身份验证、授权和审核配置,因此它们仅解释了如何使用客户端证书启用身份验证。这些过程还假定您已获得根证书和客户端证书,并将它们放置在nsconfig / ssl目录中的ADC上。
配置客户端证书身份验证
使用命令行界面配置身份验证、授权和审核客户端证书参数
在命令提示符处,按所示顺序键入以下命令以配置证书并验证配置:
add ssl certKey -cert -key -password -inform -expiryMonitor -notificationPeriod bind ssl certKey -vServer -CA -crlCheck必选show ssl certKey [] set aaa parameter -defaultAuthType CERT show aaa parameter set aaa certParams -userNameField "Subject:CN" show aaa certParams
使用配置实用程序配置身份验证、授权和审核客户端证书参数
- 导航到>;
- 在详细信息窗格中,选择要配置为处理客户端证书身份验证的虚拟服务器,然后单击编辑。
- 在“配置“哎呀!”证书“。”
- 在【中文】话框中,单击插入。
- 在-ssl对话框中,单击安装。
- 在安装证书(安装证书)对话框中,设置以下参数,其名称对应于CLI参数名称,如下所示:
- * - certkeyName
- “证书文件名”-certFile
- 密钥文件名()-keyFile
- 证书格式-inform
- 密码-密码
- 证书包()
- 到期时通知(到期后通知)-expiryMonitor
- 通知周期(英文)-notificationPeriod
- "安装", ", "关闭”。
- 在“可以“? ?”证书【翻译】
- 单击保存。
- 单击回来(返回)返回主配置屏幕。
- 导航到>证书。
- “”“”“”“”“”“”“”编辑”。
- 在“中国日报网2016-10-29“,”,“,”,“,”,“,”,“,”
- 单击好吧(确定)。状态栏中将显示一条消息,指出配置已成功完成。
使用高级策略进行客户端证
Citrix ADC (Citrix ADC)骤。
- 导航到安全(英文)> AAA -应用流量(英文)>虚拟服务器(英文)。
在详细信息窗格中,选择要配置以处理客户端证书身份验证的虚拟服务器,然后单击编辑(编辑)。
注意1 .中文:英文:中文步骤 3 到步骤 10。
- 在配置(配置)页面上的证书(证书)下,单击>打开CA证书密钥(2)中文:
- 在CA证书密钥【中文翻译】插入(插入)。
- 在CA证书密钥- SSL证书(ca:安装(安装)。
在安装证书(安装证书)对话框中,设置以下参数,其名称对应于CLI参数名称,如下所示:
- 证书-密钥对名称(密语)-certkeyName
- “证书文件名”-certFile
- 密钥文件名()-keyFile
- 证书格式-inform
- 密码-密码
- 证书包()
- 到期时通知(到期后通知)-expiryMonitor
- 通知周期(英文)-notificationPeriod
- 单击安装“Close”(接近)。
- 在CA证书密钥(CA)“证书列表”(),。
- 单击保存。
- 单击回来(返回)返回主配置屏幕。
- 导航到安全(英文)> AAA -应用流量(英文)>策略(英文)>认证(英文)>高级策略(英文),然后选择政策(策略)。
在详细信息窗格中,执行以下操作之一:
- 要创建新策略,请单击添加(添加)。
- 要修改某个现有策略,请选择该策略,然后单击编辑(编辑)。
在创建认证策略(创建身份验证策略)或配置认证策略(配置身份验证策略)对话框中,键入或选择参数的值。
- 名称(英文)-无法对以前配置的策略进行更改。
- 动作类型()-
- 操作(操作)要与策略关联的身份验证操作(配置文件)。可以选择现有的身份验证操作,也可以单击加号并创建正确类型的新操作。
- 日志动作()-。可以选择现有审核操作,也可以单击加号并创建新操作。
- 表达式(表达式)-选择要应用指定操作的连接的规则。规则可以简单(“true”将选择所有流量),也可以复杂。可以通过以下方式输入表达式:先在“表达”(表达式)窗口下方最左侧的下拉列表中选择表达式类型,然后直接在表达式文本区域中键入表达式,或者单击“添加”(添加)以打开“添加表达式”(添加表达式)对话框并使用其中的下拉列表来构造表达式。
- 注释(英文)-可选。
- 单击创建(创建)或好吧(确定),然后单击关闭(关闭)。如果您创建了策略,该策略将显示在“认证政策”(身份验证策略)和“服务器”(服务器)页面中。
客户端证书直通
现在可以将Citrix ADC配置为将客户端证书传递到需要客户端证书进行用户身份验证的受保护应用程序。/ / / / / / / /SSL。
“VPN”、“VPN”、“VPN”。
- 如果VPN虚拟服务器配置为接受客户端证书但不需要这些证书,ADC会将证书插入请求中,然后将请求转发给受保护的应用程序。
- 如果VPN虚拟服务器禁用了客户端证书身份验证,则ADC会重新协商身份验证协议并重新对用户进行身份验证,然后再将客户端证书插入标头并将请求转发给受保护的应用程序。
- 如果VPN虚拟服务器配置为要求客户端证书身份验证,ADC将使用客户端证书对用户进行身份验证,然后在标头中插入证书并将请求转发给受保护的应用程序。
在所有这些情况下,您可以按如下方式配置客户端证书直通。
使用命令行界面创建和配置客户端证书直通
在命令提示符下,键入以下命令:
添加vpn vserver SSL 443
对于名称,请替换虚拟服务器的名称。名称必须包含一到 127 个 ASCII 字符,以字母或下划线 (_) 开头,并且只包含字母、数字和下划线、井号 (#)、句点 (.)、空格、冒号 (:)、at (@)、equals (=) 和连字符 (-)。对于< IP >
、IP解析:
设置ssl vserver -clientAuth ENABLED -clientCert
对于<名称>
,替换刚创建的虚拟服务器的名称。对于< clientCert >
,请替换以下值之一:
- 中国-中国VPN。
- “”“”“”“”“”“”
- “”“”“”“”“”“”
绑定VPN vserver -policy local
对于<名称>
、、、、、、、、
绑定VPN vserver -policy cert
对于<名称>
、、、、、、、、
绑定ssl vserver -certkeyName >
对于<名称>
,替换您创建的虚拟服务器的名称。对于< certkeyName >
,替换客户端证书密钥。
bind ssl vserver -certkeyName -CA -ocspCheck可选
对于<名称>
,替换您创建的虚拟服务器的名称。对于< cacertkeyName >
;;;;
添加ssl动作 -clientCert ENABLED -certHeader CLIENT-CERT
对于< actname >
/ / / / /
添加SSL策略 -rule true -action
对于< polname >
, SSL。对于< actname >
(1)、http://www.qqqq.com
bind ssl vserver -policyName -priority 10
对于<名称>
、、、、、、、
示例
add vpn vserver vs-certpassthru SSL 10.121.250.75 443 set SSL vserver vs-certpassthru -clientAuth ENABLED -clientCert可选绑定vpn vserver vs-certpassthru -certpassthru -policy local绑定vpn vserver vs-certpassthru -certkeyName mycertKey bind SSL vserver vs-certpassthru -certkeyName mycertKey -CA -ocspCheck可选添加SSL动作act-certpassthru -clientCert ENABLED -certHeader CLIENT-CERT添加SSL策略polol -certpassthru -rule true -action act-certpassthrubind ssl vserver vs-certpassthru -policyName pol-certpassthru -priority 10