Dans l’article précédent, nous avons vu comment configurer en toute sécurité l’accès VPN pour nos utilisateurs via notre passerelle Citrix NetScaler; Dans l’article d’aujourd’hui, nous allons continuer à resserrer certaines noix. Nous nous assurerons que si les ordinateurs distants n’ont pas de certificat installé, ils ne pourront même pas voir le site Web de NetScaler Gateway!

Ainsi, nous vous fournirons une plus grande sécurité, Le site web pour accéder à l’organisation sera inexistant si vous n’avez pas de certificat préalablement installé sur les ordinateurs, rien ne sera affiché. Éviter les curieux et les commérages, Nous pouvons exiger que ce qui a été dit, Si aucun certificat n’est installé sur votre ordinateur (ou sur votre lecteur de carte à puce), Vous n’avez pas accès, Vous ne pouvez même pas ouvrir le site Web d’accès.

Ce document est structuré comme suit:

• Importation de la racine de l’AC dans le NetScaler
• Génération d’un certificat client
• Test

Importation de la racine de l’AC dans le NetScaler

Nous utiliserons l’autorité de certification de notre Active Directory pour créer et émettre le certificat aux utilisateurs, nous demanderons également à NetScaler de valider le statut du certificat par rapport à notre autorité de certification.

On commence donc par faire une sauvegarde de notre clim, notre autorité de certification Active Directory, À propos d’elle, Sauvegarder, vous indiquer de porter la clé privée et le certificat de l’autorité de certification, On choisit un dossier et c’est tout,

Nous importerons le certificat de l’autorité de certification à partir de “Gestion du trafic” > “S.A.” > “Importer PKCS#12”, Nous vous donnons un nom, et choisissez le fichier P12 qui aura généré la sauvegarde précédente, ainsi que le mot de passe que nous avons défini pour celui-ci, “D’ACCORD”,

Pour installer le certificat, Nous allons “Gestion du trafic” > “S.A. > “Certificat SSL” > “Certificats SSL” > “Installer”. Nous indiquons un nom, et nous choisissons le certificat et sa clé privée, à la fois à partir du fichier que nous venons d’importer.

“

Nous allons enregistrer la CRL (Liste de révocation de certificats) afin que vous puissiez vérifier à NetScaler si le certificat est valide sur l’autorité de certification (o CA) que ce soit bon ou pas. Depuis “Gestion du trafic” > “S.A.” > “LCR” > “Ajouter”.

Nous lui donnerons un nom, et l’URL de connexion CRL (Quelque chose comme ça: HTTP://DIRECCION_IP_CA/certenroll/Nom of tu CA.crl) De plus, dans “Intervalle” nous composerons MAINTENANT, Lorsque nous vérifions correctement la synchronisation, nous la mettons quotidiennement.

Allons maintenant lier le certificat de l’autorité de certification et la liste de révocation de certificats sur le serveur virtuel de passerelle, depuis “Certificat” > “Certificat CA” et nous indiquons la CRL à obligatoire. “LIER”,

Quelque chose comme ça, 1 Certificat CA,

Et dans les paramètres SSL du serveur virtuel de passerelle, nous activons “Authentification du client” et nous indiquons que le certificat est obligatoire. D’accord et “Donner”.

Génération d’un certificat client

Nous continuons à générer un certificat pour pouvoir accéder à, ce sont les étapes que nous devons suivre pour générer le certificat et l’installer à la position où nous voulons pouvoir accéder au site NetScaler Gateway, sans lui, non accédé.

Nous allons “Gestion du trafic” > “S.A.” > “Assistant Certificat client”

Un assistant commencera à créer la clé privée, auquel nous indiquerons un nom de fichier, une longueur de clé, Format et mot de passe, “Créer”,

À l’étape suivante, nous devons remplir les données nécessaires à la génération du CSR (Demande de signature de certificat) ou demande de certificat, Une fois que nous les avons terminés, nous cliquons sur “Créer”,

Nous vous le disons “Oui” afin qu’il génère le fichier avec le CSR,

Nous laissons l’assistant pendant un moment et nous allons générer le certificat dans notre AD.

Lorsque vous accédez au site Web des services de certificats Active Directory, Nous serons en mesure de faire une demande de certificat avancée, où nous collerons le texte du CSR qui nous aura généré dans le fichier, ainsi que nous indiquons que le modèle de certificat est de “Utilisateur”, Cliquez sur “Envoyer”,

Nous téléchargeons codé en Base 64 Le certificat.

Retour à l’assistant, Nous sautons l’étape 3 en cliquant directement sur le bouton 4 et nous complétons également le certificat délivré par notre CA. Cliquez sur “Créer”,

“Donner”

Nous exportons en PFX à partir de “Gestion du trafic” > S.A.” > “Exporter PKCS#12” et avec WinSCP, nous le téléchargeons sur notre PC à partir de /flash/nsconfig/ssl/ le PFX.

Ce PFX sera celui que nous devrons installer au poteau pour pouvoir accéder.

Test

Et le moment est venu de le valider, si vous n’avez pas le certificat, vous ne pourrez pas ouvrir le site Web Citrix NetScaler Gateway.

Et si nous avons le certificat installé ou si nous en avons plusieurs, Il nous demandera de l’utiliser lorsque vous ouvrirez le site Web,

Et il nous montrera correctement le site Web pour accéder à nos applications d’entreprise et à notre portail de bureau, ou via VPN, Nous pourrons nous valider et accéder!

Document peu dense où nous avons vu comment nous pouvons protéger notre site public de tout accès indésirable, de visiteurs ou de curieux, Ou marujos, quels qu’ils soient, Sans certificat, ils ne pourront pas venir ici! J’espère que vous l’avez trouvé intéressant, Nous continuons dans un troisième article avec plus de choses, A bientôt!