Erfordern Client-Zertifikate für den Zugriff auf Citrix NetScaler

Dieses Dokument, wir werden sehen, wie von Citrix NetScaler Appliance, die obligatorischen Ausrüstung Kunden mit einem Zertifikat konfigurieren lokal installiert (es könnte auch in einen USB-Stick aufgenommen werden) so können sie das Citrix-Portal zugreifen, ihre Anwendungen; ohne das Zertifikat noch würde das Unternehmensportal.

Dies ist eine zusätzliche Ergänzung zur Sicherung unserer Umgebungen, wir werden Zertifikate für unsere Kunden von unserer CA geben ihnen zu erzeugen und wir können sie widerrufen, wenn nötig, zu diesem Zeitpunkt ohne gültiges Zertifikat könnte das Citrix Web-Portal nicht betreten, Es ist ein Access Gateway, die gegen ein Schaufenster oder Webinterface geht.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-01-Bujar

gut, auf unserer CA haben wir bereits installiert, wir machen ein Backup, für sie “Zertifizierung Authotity” > “Alle Aufgaben” > “Sichern Sie CA…”

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-02-Bujar

Ich Erzielen mindestens exportieren wir die privaten Schlüssel “Private Schlüssel und CA-Zertifikat” und speichern Sie es in einem Verzeichnis, das wir zu diesem Zweck glauben.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-03-Bujar

gut, und in NS, lassen Sie uns “SSL” > “Import PKCS # 12”,

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-04-Bujar

En ‚PKCS12 Dateiname’ wählen wir die p12-Datei, die wir das Backup von CA erzeugt; Auge mit Leerzeichen, unnötig in NS zu sagen, Nein? 😉

Wir Form eines Namens in ‚Ausgabedateiname’ und wir weisen Sie das Passwort, das Sie beim Backup bekam die CA & “OK”,

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-05-Bujar

Kommt zurück zu “SSL” > “Zertifikate verwalten / Keys / CSRs” und wir bestätigen, dass wir zwei neue Dateien, sowohl die p12, wie das importierte CA-Zertifikat, “Schließen”.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-06-Bujar

in “SSL” > “SSL-Zertifikate” > “Installieren…”

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-07-Bujar

Wir geben einen Namen für das Zertifikat, das wir installieren, etwas, das wir in unserem CA beziehen macht. En ‚Zertifikat Dateiname’ y en ‚Private Key File Name’ den Pfad der erzeugten Datei, wenn die Datei-Import PKCS12 zeigen. “Installieren” und wir bestätigen, dass es nicht nur erstellt gut ist.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-08-Bujar

Im Folgenden wird holen Sie sich die CRL (Certificate Revocation List) anschließend, dass checkte zu erzwingen, wenn die Zertifikate gültig sind oder nicht. von “SSL” > “CRL” > “Hinzufügen…”

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-09-Bujar

Geben Sie einen „CRL-Name’ und eine Datei, Wählen Sie DER-Format, Wählen Sie das CA-Zertifikat, wir Aufschrift ‚Auto Refresh CRL aktivieren’ und konfigurieren Sie die Zugriffsmethode CRL gegen unsere CA., wir können es tun, einfach über HTTP und URL gegen .crl Datei wird einfach in die Web-Umgebung Management CA erhalten (Räume können die URL mit ‚% 20‘ eingeben, wenn wir) & 'Hafen’ al 80 die in der Regel als normal (Auch Auge mit Firewall-Regeln, die wir brauchen, wenn der NS ist in der DMZ und CA Network-Servern). Wir markieren ‚Interval’ ein “JETZT” zu checkeo Kraft und sehen, ob Sie korrekt eingegeben oder nicht. “Erstellen”,

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-10-bujarra

und bereit! bestätigen, dass der Status Gültigkeit’ wir ‚Gültig‘!

Wenn ‚Days abzulaufen’ wir haben etwas anderes als ‚1‘, wir müssen das CRL Veröffentlichung Intervall innerhalb unserer CA ändern. Wir gehen auf die Zertifizierungsstelle, Right ‚Gesperrte Zertifikate’ > Eigenschaften > in den ‚Parameter für die Veröffentlichung von Sperrlisten‘ Tab, Verändern des Intervalls 1 Tag / Stunde & Wir differenzielle nicht. Wir werden rechte Taste in ‚Gesperrte Zertifikate aktualisieren’ > ‚Alle Aufgaben’ > 'Post'.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-11-bujarra

wenn richtig, die CRL ändern und die checkeo gegen crl es sei denn, es täglich und vor dem Eintritt der Mitarbeiter planen, für alle gesperrten Zertifikate zum Vortag wird ungültig, und ihnen den Zugriff verweigern.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-12-bujarra

Tal, CAG zuvor den Client benötigt ein gültiges Client-Zertifikat haben muss, wählen Sie in “Access Gateway” > “Virtuelle Server” > “Öffnen…” unsere AG.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-13-bujarra

Wir werden unsere CA-Zertifikat auswählen, klicken Sie auf “Hinzufügen” > “I CA” zum Portal hinzufügen.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-14-bujarra

Geben Sie in Schach “CRL Pflicht” und konfiguriert ist, in “SSL Paramet…” es ist zwingend erforderlich.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-15-bujarra

wir markieren “Client-Authentifizierung” und Ihnen sagen, wenn das Client-Zertifikat ist Mandatory’ u ‚Optional‘, Normal wird es verlangen. “OK”. Grundsätzlich mit dem NetScaler werden wir fertig. Auge! Wenn beim Ausfüllen der folgenden Schritte, Zertifikate zum Einsatz gut und nicht in das Portal CAG bekommen, wir sind leere Web-URL links und sehen ‚agesso.jsp’ Es zeigt an, dass entweder das Webinterface oder Storefront gegen die CAG nicht anschließen und die Client-Authentifizierung zurückkehren, da die CAG-Zertifikate und WI oder SF erfordern nicht über, Es könnte schnell gelöst werden, eine Verdoppelung der CAG NS Anforderung aber ohne dieses Zertifikat und die WI oder SF verbinden (Modifizieren der Host-Datei).

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-16-bujarra

Wenn unsere CA ist in Windows 2003 Standard kann nicht die geänderten Zertifikatvorlagen verwenden, wie sie für die Enterprise-Version erzeugt werden. Wir müssten Zertifikate generieren die Seite Lizenz Anwendung zugreifen (http://CA_SERVER / certsrv), eine erweiterte Zertifikatsanforderung in unserem CA zu erzeugen, wo in der Art der Vorlage wählen Sie ‚Benutzer’ und das Format der Anwendung wird im PKCS10-Format, einmal erzeugt, exportieren den privaten Schlüssel und das Zertifikat werden wir es mit dem Namen benennen, die uns interessiert es an den entsprechenden Benutzer zu installieren.

Wenn unsere CA ist in Windows 2003 Unternehmen o Windows- 2008 höher, in diesen Versionen den CA akzeptieren würden selbst die Vorlagen ändern, so können wir unsere Zertifikatvorlagen erzeugen Geschmack. so, Wir öffnen die Konsole Certificate Authority > “Zertifikatvorlagen” > “Verwalten”.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-17-bujarra

Duplizieren Sie die Vorlage “Benutzer”,

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-18-bujarra

wählen “Windows Server 2003 Unternehmen” & “OK”

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-19-bujarra

Der erste Schritt ist die Vorlage für Citrix Administratoren zu nennen, wenn von Zertifikaten für Benutzer richtig zu interagieren. Neben einer Geltungsdauer.

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-20-bujarra

Hier sind einige Vorlagen, die später manuell füllen, ohne Integration mit DA, so dass die Lasche “Subjekt Name” zeigen “Versorgung in der Anfrage” und wir werden mit jedem Zertifikat werden abgeschlossen. Tab “Ausstellungsvoraussetzungen” oder Emissionsanforderungen, Wir konnten mit einem Häkchen versehen, dass jedes angeforderte Zertifikat wird vom Administrator genehmigt werden, und wird ungültig, bis das passiert (von mmc AC sollten akzeptieren,).

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-21-bujarra

Sobald wir die Vorlage in CA erstellt integrieren, für sie, von “Zertifikatvorlagen” > “neu” > “Zertifikatsvorlage zur Ausgabe”.

NetScaler-CAG-Citrix-Access-Gateway-Certificado-22-bujarra

Wählen Sie die neu erstellte Vorlage & “OK”,

 

Anfordern von Zertifikaten für Benutzer,

NetScaler-CAG-Citrix-Access-Gateway-Certificado-23-bujarra

 

Dies würde den Abschnitt sein, so oft wie Benutzer mit Zugriff von außerhalb der Organisation wiederholt werden soll, Wir erzeugen ein Benutzerzertifikat, was es ist ideal, aber nicht zwingend, da der Benutzerschlüssel hat, kann das Zertifikat nicht exportieren oder zumindest ohne zu wissen, das Passwort auf anderen Computern nicht importárselo; und wenn wir wirken sich nur umkehren wir diesen Benutzer und nicht alle.

offen http://CA_SERVER / certsrv, Wir validieren als Administrator, klicken Sie auf “Fordern Sie ein Zertifikat”,

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-24-bujarra

“Erweiterte Zertifikatsanforderung”

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-25-bujarra

“Erstellen Sie eine Anforderung an diese Zertifizierungsstelle senden”,

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-26-bujarra

in “Zertifikatvorlage” wählen Sie die neu generierten Vorlage, und nachdem gewählt, dass die Daten einführen würde manuell, Jetzt werden wir spielen sie vervollständigen, Wir zeigen die Daten für jeden Benutzer; Speichern als PKCS10 Format ausgewählt, mindestens 2048bits Schlüssel & “einreichen”,

 

 

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-27-bujarra

Da vertrauen wir die Seite, wir werden die ActiveX-Plugin ausführen, die es uns ermöglichen, dieses Zertifikat zu erstellen und installieren, klicken Sie auf “Installieren Sie dieses Zertifikat”!

 

NetScaler-CAG-Citrix-Access-Gateway-Certificado-28-bujarra

Wir haben das Zertifikat auf dem Computer installiert, von wo aus Sie gerade erzeugt, normal, wird exportieren (mit einem privaten Schlüssel & Passwort geschützt!) und ich es auf Ihrem Computer-Benutzer installieren. Damit haben wir bereits ohne ein gültiges Zertifikat von unserer CA gezwungen, Sie können nicht das Citrix-Portal unserer Organisation zugreifen, Ob für Zugriffsanwendungen (XenApp) oder Schreibtische (XenDesktop).

Letzte Artikel von Hector Herrero (Alle anzeigen)