VPN con Citrix NetScaler II – Richiesta di certificati per l'accesso

Compatibile con la stampa, PDF & Email

Nel post precedente abbiamo visto come configurare in modo sicuro l'accesso VPN ai nostri utenti tramite il nostro Citrix NetScaler Gateway; Nel post di oggi continueremo a stringere alcuni dadi. Faremo in modo che se i computer remoti non hanno un certificato installato, non saranno nemmeno in grado di vedere il sito web di NetScaler Gateway!

 

Así que le dotaremos de mayor seguridad, la web de acceso a la organización será inexistente si no se dispone de un certificado previamente instalado en los equipos, no se mostrará nada. Evitando curiosos y cotillas, podremos requerir que lo dicho, si no tienes un certificado instalado en tu equipo (o en tu smart card reader), no accedes, ni si quiera puedes abrir la página web de acceso.

Este documento se estructura de la siguiente manera:

 

Importando la raíz de la CA en el NetScaler

 

Usaremos la entidad emisora de Certificados de nuestro Directorio Activo para crear y emitir el certificado a los usuarios, también haremos que NetScaler valide contra nuestra CA el estado del certificado.

 

Comenzamos pues haciendo un backup de nuestra CA, nuestra entidad de certificados del Directorio Activo, Chi è, hacer una copia de seguridad, indicar que lleve la clave privada y el certificado de CA, elegimos una carpeta y listo,

 

Importaremos el certificado de la CA desde “Gestione del traffico” > “Certificato SSL” > “Import PKCS#12”, Ti diamo un nome, y elegimos el fichero p12 que nos habrá generado el backup anterior, así como la contraseña que le hemos establecido, “OK”,

 

Para instalar el certificado, Stiamo per “Gestione del traffico” > “Certificato SSL > “SSL Certificate” > “SSL Certificates” > “Installare”. Indichiamo un nome, y escogemos el certificado y su clave privada, ambas del fichero que acabamos de importar.

Vamos a dar de alta la CRL (Certificate Revocation List) para que pueda checkear NetScaler si el certificado es válido en la entidad emisora de certificados (o CA) si es bueno o no. Poiché “Gestione del traffico” > “Certificato SSL” > “CRL” > “Aggiungere”.

Le daremos un nombre, y la URL de conexión a la CRL (algo como esto: Protocollo HTTP://DIRECCION_IP_CA/certenroll/Nombre%20de%20tu%20CA.crl) además enIntervalmarcaremos a NOW, cuando verifiquemos sincronice correctamente lo pondremos a diario.

 

 

Vamos a vincular ahora el certificado de la CA y la CRL en el Virtual Server del Gateway, poiché “Certificato” > “CA Certificatee indicamos el CRL a mandatorio. “LEGARE”,

 

Quedando algo así, 1 CA Certificate,

 

Y en los SSL Parameters del Virtual Server del Gateway habilitamosClient Authenticatione indicamos que el certificado sea mandatorio. OK y “Donare”.

 

 

Generando un certificado de cliente

 

Continuamos ya generando un certificado para poder acceder, estos serían los pasos que debemos seguir para generar el certificado e instalarlo en el puesto que queramos que pueda acceder al sitio de NetScaler Gateway, sin él, no se accede.

 

Stiamo per “Gestione del traffico” > “Certificato SSL” > “Client Certificate Wizard

 

Comenzará un asistente para crear primero la clave privada, a la que indicaremos un nombre de fichero, una longitud de clave, formato y contraseña, “Creare”,

 

En el paso siguiente deberemos cumplimentar los datos que se requieren para generar el CSR (Richiesta di firma del certificato) o solicitud de certificado, una vez los cumplimentemos le damos a “Creare”,

 

Le decimos que “Sì” para que nos genere el fichero con el CSR,

Dejamos el asistente un momentito y vamos a generar el certificado en nuestro AD.

 

Al acceder al sitio web de Servicios de Certificados de Active Directory, podremos realizar una solicitud de certificado avanzada, donde pegaremos el texto del CSR que nos habrá generado en el fichero, así como indicamos que la plantilla de certificado es de “Utente”, Clicca su “Invia”,

 

Descargamos codificado en Base 64 el certificado.

 

Volvemos al asistente, omitimos el paso 3 pinchando directamente en el 4 y cumplimentamos además de adjuntar el certificado que nos ha emitido nuestra CA. Clicca su “Creare”,

 

“Donare”

 

Exportamos en PFX desde “Gestione del traffico” > Certificato SSL” > “Export PKCS#12y con WinSCP nos lo descargamos a nuestro PC desde /flash/nsconfig/ssl/ el PFX.

Ese PFX será el que tengamos que instalar en el puesto para poder acceder.

 

Collaudo

Y llegó la hora de validarlo, si no tiene el certificado no podrá abrir la web de Citrix NetScaler Gateway.

Y si tenemos el certificado instalado o tenemos varios, nos lo pedirá para usarlo al abrir la web,

Y nos mostrará correctamente la web de acceso a nuestro portal de aplicaciones y escritorios corporativos, o mediante VPN, ya podremos validarnos y acceder!

Documento no muy denso donde hemos visto cómo podemos proteger nuestro sitio público de cualquier acceso no deseado, de visitantes o curiosos, o marujos, lo que sean, sin certificado no podrán llegar hasta aquí! Espero que os haya parecido interesante, seguimos en un tercer post con más cositas, nos leemos pronto!

Post consigliati

Consentire a utenti specifici di sfuggire al filtro web di Fortigate
Leggere
VPN con Citrix NetScaler I - Spiegamento & Pre-autenticazione
Leggere
VPN con Citrix NetScaler IV - Sempre attivo
Leggere
VPN con Citrix NetScaler III - Autenticazione con certificati
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Monitoraggio delle attività pianificate con Centreon

12 Novembre 2024

Pannelli solari con Home Assistant e Huawei

19 Novembre 2024