VPN con Citrix NetScaler IIRequiriendo certificados para acceder

Print Friendly, PDF & Email

En el post anterior vimos cómo configurar el acceso de manera segura mediante VPN a nuestros usuarios a través de nuestro Citrix NetScaler Gateway; en el post de hoy continuaremos apretando alguna tuerca. Haremos que si los equipos remotos no tienen un certificado instalado, ni siquiera podrán ver la web de NetScaler Gateway!

 

Así que le dotaremos de mayor seguridad, la web de acceso a la organización será inexistente si no se dispone de un certificado previamente instalado en los equipos, no se mostrará nada. Evitando curiosos y cotillas, podremos requerir que lo dicho, si no tienes un certificado instalado en tu equipo (o en tu smart card reader), no accedes, ni si quiera puedes abrir la página web de acceso.

Este documento se estructura de la siguiente manera:

 

Importando la raíz de la CA en el NetScaler

 

Usaremos la entidad emisora de Certificados de nuestro Directorio Activo para crear y emitir el certificado a los usuarios, también haremos que NetScaler valide contra nuestra CA el estado del certificado.

 

Comenzamos pues haciendo un backup de nuestra CA, nuestra entidad de certificados del Directorio Activo, sobre ella, hacer una copia de seguridad, indicar que lleve la clave privada y el certificado de CA, elegimos una carpeta y listo,

 

Importaremos el certificado de la CA desdeTraffic Management” > “SSL” > “Import PKCS#12”, le indicamos un nombre, y elegimos el fichero p12 que nos habrá generado el backup anterior, así como la contraseña que le hemos establecido, “OK”,

 

Para instalar el certificado, vamos aTraffic Management” > “SSL > “SSL Certificate” > “SSL Certificates” > “Install”. Indicamos un nombre, y escogemos el certificado y su clave privada, ambas del fichero que acabamos de importar.

Vamos a dar de alta la CRL (Certificate Revocation List) para que pueda checkear NetScaler si el certificado es válido en la entidad emisora de certificados (o CA) si es bueno o no. DesdeTraffic Management” > “SSL” > “CRL” > “Add”.

Le daremos un nombre, y la URL de conexión a la CRL (algo como esto: http://DIRECCION_IP_CA/certenroll/Nombre%20de%20tu%20CA.crl) además enIntervalmarcaremos a NOW, cuando verifiquemos sincronice correctamente lo pondremos a diario.

 

 

Vamos a vincular ahora el certificado de la CA y la CRL en el Virtual Server del Gateway, desdeCertificate” > “CA Certificatee indicamos el CRL a mandatorio. “Bind”,

 

Quedando algo así, 1 CA Certificate,

 

Y en los SSL Parameters del Virtual Server del Gateway habilitamosClient Authenticatione indicamos que el certificado sea mandatorio. OK yDone”.

 

 

Generando un certificado de cliente

 

Continuamos ya generando un certificado para poder acceder, estos serían los pasos que debemos seguir para generar el certificado e instalarlo en el puesto que queramos que pueda acceder al sitio de NetScaler Gateway, sin él, no se accede.

 

Vamos aTraffic Management” > “SSL” > “Client Certificate Wizard

 

Comenzará un asistente para crear primero la clave privada, a la que indicaremos un nombre de fichero, una longitud de clave, formato y contraseña, “Create”,

 

En el paso siguiente deberemos cumplimentar los datos que se requieren para generar el CSR (Certificate Signing Request) o solicitud de certificado, una vez los cumplimentemos le damos aCreate”,

 

Le decimos queYespara que nos genere el fichero con el CSR,

Dejamos el asistente un momentito y vamos a generar el certificado en nuestro AD.

 

Al acceder al sitio web de Servicios de Certificados de Active Directory, podremos realizar una solicitud de certificado avanzada, donde pegaremos el texto del CSR que nos habrá generado en el fichero, así como indicamos que la plantilla de certificado es deUsuario”, pulsamos enEnviar”,

 

Descargamos codificado en Base 64 el certificado.

 

Volvemos al asistente, omitimos el paso 3 pinchando directamente en el 4 y cumplimentamos además de adjuntar el certificado que nos ha emitido nuestra CA. Pulsamos enCreate”,

 

Done

 

Exportamos en PFX desdeTraffic Management” > SSL” > “Export PKCS#12y con WinSCP nos lo descargamos a nuestro PC desde /flash/nsconfig/ssl/ el PFX.

Ese PFX será el que tengamos que instalar en el puesto para poder acceder.

 

Probando

Y llegó la hora de validarlo, si no tiene el certificado no podrá abrir la web de Citrix NetScaler Gateway.

Y si tenemos el certificado instalado o tenemos varios, nos lo pedirá para usarlo al abrir la web,

Y nos mostrará correctamente la web de acceso a nuestro portal de aplicaciones y escritorios corporativos, o mediante VPN, ya podremos validarnos y acceder!

Documento no muy denso donde hemos visto cómo podemos proteger nuestro sitio público de cualquier acceso no deseado, de visitantes o curiosos, o marujos, lo que sean, sin certificado no podrán llegar hasta aquí! Espero que os haya parecido interesante, seguimos en un tercer post con más cositas, nos leemos pronto!

Posts recomendados

VPN con Citrix NetScaler IV - AlwaysON
Leer
VPN con Citrix NetScaler I - Despliegue & preautenticación
Leer
VPN con Citrix NetScaler III - Autenticación con certificados
Leer
Permitiendo a usuarios específicos escapar del filtrado web de Fortigate
Leer

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir ;) . Disfrutar de los documentos!!!

Monitorizando Tareas programadas con Centreon

12 de November de 2024

Paneles solares con Home Assistant y Huawei

19 de November de 2024