导入和转换SSL文件
您现在可以从远程主机导入SSL资源,例如证书,私钥,CRL和DH密钥,即使对这些主机的FTP访问不可用。在外壳访问远程主机受到限制的环境中,此功能尤其有用。默认文件夹在/nsconfig/ssl中创建,如下所示:
- 对于证书文件:/nsconfig/ssl/certfile
- 对于私钥:/nsconfig/ssl/keyfile
- 对于CRL:/var/netscaler/ssl/crlfile .使用实例
- 对于DH键:/nsconfig/ssl/dhfile
支持从HTTP和HTTPS服务器导入。但是,如果文件位于需要客户端证书身份验证才能访问的HTTPS服务器上,则导入失败。
注意:导入命令不存储在配置(ns.conf)文件中,因为重新启动后重新导入文件可能会导致错误。
导入证书文件
您可以使用cli和GUI从远程主机导入文件(资源)。
使用cli从远程主机导入证书文件
在命令提示符下,键入:
import ssl certFile [] []
示例:
导入SSL certfile my-certfile http://www.example.com/file_1
show ssl certfile Name: my-certfile URL: http://www.example.com/file_1
要删除证书文件,请使用rm ssl certFile
命令,该命令仅接受' name '参数。
使用cli从远程主机导入密钥文件
在命令提示符下,键入:
import ssl keyFile [] []
示例:
导入SSL密钥文件my-keyfile http://www.example.com/key_file
show ssl keyfile Name: my-keyfile URL: http://www.example.com/key_file
要删除密钥文件,请使用rm ssl keyFile
命令,该命令仅接受' name '参数。
使用cli从远程主机导入CRL文件
在命令提示符下,键入:
import ssl crlFile [] []
要删除CRL文件,请使用仅接受rm ssl crlFile
命令。
示例:
import ssl crlfile my-crlfile http://www.example.com/crl_file show ssl crlfile Name: my-crlfile URL: http://www.example.com/crl_file
使用cli从远程主机导入dh文件
在命令提示符下,键入:
import ssl dhFile [] []
示例:
import ssl dhfile my-dhfile http://www.example.com/dh_file show ssl dhfile Name: my-dhfile URL: http://www.example.com/dh_file
要删除DH文件,请使用仅接受rm ssl dhFile
命令。
使用GUI导入SSL资源
导航到”流量管理" > " ssl " > "导入,然后选择相应的选项卡。
导入PKCS #8和PKCS #12证书
如果要使用网络中其他安全服务器或应用程序上已经拥有的证书和密钥,可以导出这些证书和密钥,然后将其导入Citrix ADC设备。您可能需要先转换导出的证书和密钥,然后才能将其导入Citrix ADC设备。
有关如何从网络中的安全服务器或应用程序导出证书的详细信息,请参阅要从中导出的服务器或应用程序的文档。
注意:对于在Citrix ADC设备上进行安装,密钥和证书名称不能包含空格或特殊字符,而不能包含UNIX文件系统支持的字符以外的其他字符。保存导出的密钥和证书时,请遵循相应的命名约定。
证书和私钥对通常以PKCS #12格式发送。该设备支持用于证书和密钥的pem和der格式。要将pkcs# 12转换为PEM或火线,或将PEM或DER转换为PKCS # 12,请参阅本页后面的“将SSL证书转换为导入或导出“部分。
Citrix ADC设备不支持PKCS #8格式的PEM密钥。但是,您可以使用OpenSSL接口将这些密钥转换为受支持的格式,您可以从CLI或配置实用程序访问该接口。转换密钥之前,您需要验证私钥是否为PKCS #8格式。PKCS #8格式的密钥通常以以以下文本开头:
-----BEGIN加密私钥----- leuSSZQZKgrgUQ== -----END加密私钥-----
从CLI打开OpenSSL接口
- 通过使用SSH客户端(如PuTTY)打开与设备的SSH连接。
- 使用管理员凭据登录到该设备。
- 在命令提示符下,键入shell。
- 在shell提示符处键入
openssl
。
从GUI中打开OpenSSL接口
导航到”流量管理" > " ssl ",然后在"工具"组中选择"OpenSSL接口”。
使用OpenSSL接口将不受支持的PKCS #8密钥格式转换为加密支持的密钥格式
在OpenSSL提示符处,键入以下命令之一,具体取决于不支持的密钥格式是RSA还是ECDSA类型:
OpenSSL>rsa- in -des3 -out OpenSSL>ec -in -des3 -out
用于将不受支持的密钥格式转换为受支持的密钥格式的参数
- PKCS #8密钥文件名:不兼容的PKCS #8私钥的输入文件名。
- 加密密钥文件名:Pem格式的兼容加密私钥的输出文件名。
- 未加密密钥文件名:Pem格式的兼容未加密私钥的输出文件名。
将SSL证书转换为导入或导出
Citrix ADC设备支持SSL证书的PEM和DER格式。其他应用程序(如客户端浏览器和某些外部安全服务器)需要各种公钥加密标准(PKCS)格式。设备可以将pkcs# 12格式转换为PEM或DER格式以将证书导入设备,还可以将PEM或DER转换为pkcs# 12以导出证书。为了提高安全性,转换要导入的文件可以包括使用des或des3算法对私钥进行加密。
注意:如果您使用GUI导入pkcs# 12证书,并且密码包含美元符号(美元),后引号(')或逃脱()字符,则导入可能会失败。如果是这样,将显示错误:无效的密码消息。如果您必须在密码中使用特殊字符,请务必使用转义字符()前缀,除非所有导入都是通过CLI执行的。
使用cli转换证书格式
在命令提示符下,键入以下命令:
convert ssl pkcs12 [-import [-pkcs12File ] [-des | -des3] [-export [-certFile ] [-keyFile ]]
在操作过程中,系统会提示您输入导入密码或导出密码。对于加密文件,系统还会提示您输入密码。
示例:
转换ssl pkcs12 Cert-Import-1。pem -import -pkcs12File Cert-Import-1. pempfx -des转换ssl pkcs12 Cert-Client-1。pfx -export -certFile Cert-Client-1 -keyFile Key-Client-1
通过使用GUI转换证书的格式
导航到”流量管理" > " ssl ",然后在”工具“组中选择”导入PKCS #12”。
在“输出文件名”字段中指定pem证书名称。
浏览至本地计算机或设备上PFX证书的位置。
单击好吧(确定)。
单击管理证书/密钥/ csr .查看转换后的pem文件。
您可以查看上传的PFX文件和转换后的pem文件。
导航到SSL>证书>服务器证书,然后单击安装。
指定证书密钥对名称。
浏览到pem文件的位置。
出现提示时指定密码。
单击安装。
将证书密钥对绑定到SSL虚拟服务器。