VPN amb Citrix NetScaler II – Requerint certificats per accedir

Print Friendly, PDF & Email

En el post anterior vam veure com configurar l'accés de manera segura mitjançant VPN als nostres usuaris a través del nostre Citrix NetScaler Gateway; en el post d'avui continuarem apretant alguna. Farem que si els equips remots no tenen un certificat instal·lat, ni tan sols podran veure la web de NetScaler Gateway!

 

Així que el dotarem de major seguretat, la web d'accés a l'organització serà inexistent si no es disposa d'un certificat prèviament instal·lat als equips, no es mostrarà res. Evitant curiosos i cotilles, podrem requerir que el que s' ha dit, si no tens un certificat instal·lat al teu equip (o en el teu smart card reader), no accedeixes, ni si vulgui pots obrir la pàgina web d'accés.

Aquest document s' estructura de la manera següent::

 

Important l'arrel de la CA al NetScaler

 

Usarem l'entitat emissora de Certificats del nostre Directori Actiu per crear i emetre el certificat als usuaris, també farem que NetScaler validi contra la nostra CA l'estat del certificat.

 

Comencem doncs fent un backup de la nostra CA, la nostra entitat de certificats del Directori Actiu, sobre ella, fer una còpia de seguretat, indicar que porti la clau privada i el certificat de CA, elegim una carpeta i llest,

 

Importarem el certificat de la CA des de “Traffic Management” > “SSL” > “Import PKCS# 12”, li indiquem un nom, i elegim el fitxer p12 que ens haurà generat el backup anterior, així com la contrasenya que li hem establert, “OK”,

 

Per instal·lar el certificat, anem a “Traffic Management” > “SSL > “SSL Certificate” > “SSL Certificates” > “Install”. Indiquem un nom, i triem el certificat i la seva clau privada, ambdues del fitxer que acabem d'importar.

Vam donar d'alta la CRL (Certificate Revocation List) perquè pugui checkejar NetScaler si el certificat és vàlid a l'entitat emissora de certificats (o CA) si és bo o no. Des de “Traffic Management” > “SSL” > “CRL” > “Add”.

Li donarem un nom, i la URL de connexió a la CRL (alguna cosa com això: http://DIRECCION_IP_CA/certenroll/Nombre de tu CA.crl) a més en “Interval” marcarem a NOW, quan verifiquem sincronitzi correctament ho posarem a diari.

 

 

Vam vincular ara el certificat de la CA i la CRL al Virtual Server del Gateway, des de “Certifica't” > “CA Certificate” i indiquem el CRL a mandatri. “Bind”,

 

Quedant una cosa així, 1 CA Certificate,

 

I als SSL Parameters del Virtual Server del Gateway habiliten “Client Authentication” i indiquem que el certificat sigui. OK i “Done”.

 

 

Generant un certificat de client

 

Continuem ja generant un certificat per poder accedir, aquests serien els passos que hem de seguir per generar el certificat i instal·lar-lo al lloc que vulguem que pugui accedir al lloc de NetScaler Gateway, sense ell, no s' hi accedeix.

 

Anem a “Traffic Management” > “SSL” > “Client Certificate Wizard”

 

Començarà un assistent per crear primer la clau privada, a la qual indicarem un nom de fitxer, una longitud de clau, format i contrasenya, “Create”,

 

En el pas següent haurem d'emplenar les dades que es requereixen per generar el CSR (Certificate Signing Request) o sol·licitud de certificat, una vegada els complim li donem a “Create”,

 

Li diem que “Yes” perquè ens generi el fitxer amb el CSR,

Deixem l'assistent un momentet i anem a generar el certificat en el nostre AD.

 

En accedir al lloc web de Serveis de Certificats d'Active Directory, podrem realitzar una sol·licitud de certificat avançada, on enganxarem el text del CSR que ens haurà generat al fitxer, així com indiquem que la plantilla de certificat és de “Usuari”, posem en “Enviar”,

 

Descarreguem codificat a Base 64 certificat.

 

Tornem a l'assistent, ometem el pas 3 punxant directament al 4 i complimentem a més d'adjuntar el certificat que ens ha emès la nostra CA. Posem en “Create”,

 

“Done”

 

Exportem en PFX des de “Traffic Management” > SSL” > “Export PKCS# 12” i amb WinSCP ens ho descarreguem al nostre PC des de /flash/nsconfig/ssl/ el PFX.

Aquest PFX serà el que haguem d'instal·lar al lloc per poder accedir.

 

Provant

I va arribar l'hora de validar-lo, si no té el certificat no podrà obrir la web de Citrix NetScaler Gateway.

I si tenim el certificat instal·lat o tenim diversos, ens ho demanarà per usar-lo en obrir la web,

I ens mostrarà correctament la web d'accés al nostre portal d'aplicacions i escriptoris corporatius, o mitjançant VPN, ja podrem validar-nos i accedir!

Document no gaire dens on hem vist com podem protegir el nostre lloc públic de qualsevol accés no desitjat, de visitants o curiosos, o marujos, el que siguin, sense certificat no podran arribar fins aquí! Espero que us hagi semblat interessant, seguim en un tercer post amb més cosetes, ens llegim aviat!

Posts recomanats

VPN amb Citrix NetScaler I - Desplegament & preautenticació
Llegir
VPN amb Citrix NetScaler IV - AlwaysON
Llegir
Permetent a usuaris específics escapar del filtratge web de Fortigate
Llegir
VPN amb Citrix NetScaler III - Autenticació amb certificats
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Monitoritzant Tasques programades amb Centreon

12 de November de 2024

Panells solars amb Home Assistant i Huawei

19 de November de 2024