VPN con Citrix NetScaler II – Richiesta di certificati per l'accesso

Compatibile con la stampa, PDF ed e-mail

Nel post precedente abbiamo visto come configurare in modo sicuro l'accesso VPN ai nostri utenti tramite il nostro Citrix NetScaler Gateway; Nel post di oggi continueremo a stringere alcuni dadi. Faremo in modo che se i computer remoti non hanno un certificato installato, non saranno nemmeno in grado di vedere il sito web di NetScaler Gateway!

 

Così lo forniremo di maggiore sicurezza, il sito web di accesso all'organizzazione sarà inesistente se non si dispone di un certificato precedentemente installato sui computer, non verrà mostrato nulla. Evitando curiosi e ficcanaso, potremo richiedere che quanto detto, se non hai un certificato installato sul tuo computer (o sul tuo lettore di smart card), non accedi, neanche puoi aprire la pagina web di accesso.

Questo documento è strutturato nel seguente modo:

 

Importando la radice della CA nel NetScaler

 

Useremo l'ente emittente di certificati del nostro Active Directory per creare ed emettere il certificato agli utenti, faremo anche in modo che NetScaler convalidi lo stato del certificato con la nostra CA.

 

Cominciamo dunque facendo un backup della nostra CA, la nostra entità di certificati di Active Directory, Chi è, fare un backup, indicare che includa la chiave privata e il certificato della CA, scegliamo una cartella e fatto,

 

Importiamo il certificato della CA da “Gestione del traffico” > “Certificato SSL” > “Import PKCS#12”, Ti diamo un nome, e scegliamo il file p12 che ci sarà stato generato dal backup precedente, così come la password che abbiamo impostato, “OK”,

 

Per installare il certificato, Stiamo per “Gestione del traffico” > “Certificato SSL > “Certificato SSL” > “SSL Certificates” > “Installare”. Indichiamo un nome, e scegliamo il certificato e la sua chiave privata, entrambi dal file che abbiamo appena importato.

Andremo a registrare la CRL (Certificate Revocation List) affinché NetScaler possa verificare se il certificato è valido presso l'entità certificante (o CA) se è valido o no. Poiché “Gestione del traffico” > “Certificato SSL” > “CRL” > “Aggiungere”.

Gli daremo un nome, e l'URL di connessione alla CRL (qualcosa come questo: Protocollo HTTP://INDIRIZZO_IP_CA/certenroll/Nome della tua CA.crl) inoltre in “Intervallo” segnaleremo NOW, quando verificheremo che si sincronizzi correttamente lo metteremo giornalmente.

 

 

Colleghiamo ora il certificato della CA e la CRL nel Virtual Server del Gateway, poiché “Certificato” > “Certificato CA” e indichiamo la CRL come obbligatoria. “LEGARE”,

 

Rimanendo qualcosa di simile, 1 Certificato CA,

 

E nei Parametri SSL del Virtual Server del Gateway abilitiamo “Client Authentication” e indichiamo che il certificato sia obbligatorio. OK e “Donare”.

 

 

Generando un certificato client

 

Continuiamo a generare un certificato per poter accedere, questi sarebbero i passaggi che dobbiamo seguire per generare il certificato e installarlo sul computer che vogliamo possa accedere al sito di NetScaler Gateway, senza di esso, non si accede.

 

Stiamo per “Gestione del traffico” > “Certificato SSL” > “Assistente Certificato Client”

 

Inizierà un assistente per creare prima la chiave privata, a cui indicheremo un nome file, una lunghezza della chiave, formato e password, “Creare”,

 

Nel passaggio successivo dovremo compilare i dati richiesti per generare il CSR (Richiesta di firma del certificato) o richiesta di certificato, una volta compilati clicchiamo su “Creare”,

 

Gli diciamo di “Sì” per generare il file con il CSR,

Lasciamo l'assistente un attimo e andiamo a generare il certificato nel nostro AD.

 

Accedendo al sito web dei Servizi di Certificati di Active Directory, potremo effettuare una richiesta di certificato avanzata, dove incolleremo il testo del CSR che ci sarà stato generato nel file, così come indichiamo che il modello di certificato è di “Utente”, Clicca su “Invia”,

 

Scarichiamo codificato in Base 64 il certificato.

 

Torniamo all'assistente, omettendo il passaggio 3 cliccando direttamente su 4 e compiliamo oltre ad allegare il certificato che ci ha emesso la nostra CA. Clicca su “Creare”,

 

“Donare”

 

Esportiamo in PFX da “Gestione del traffico” > Certificato SSL” > “Esporta PKCS#12” e con WinSCP ce lo scarichiamo sul nostro PC da /flash/nsconfig/ssl/ il PFX.

Quel PFX sarà quello che dovremo installare sulla postazione per poter accedere.

 

Collaudo

E arrivato il momento di validarlo, se non ha il certificato non potrà aprire il sito web di Citrix NetScaler Gateway.

E se abbiamo il certificato installato o ne abbiamo diversi, ce lo chiederà per usarlo all'apertura del sito web,

E ci mostrerà correttamente il sito di accesso al nostro portale di applicazioni e desktop aziendali, o tramite VPN, potremo già autenticarsi e accedere!

Documento non molto denso dove abbiamo visto come possiamo proteggere il nostro sito pubblico da qualsiasi accesso indesiderato, di visitatori o curiosi, o ficcanaso, qualsiasi siano, senza certificato non potranno arrivare fino qui! Spero che tu l'abbia trovato interessante, seguimos en un tercer post con más cositas, nos leemos pronto!

Post consigliati

Consentire a utenti specifici di sfuggire al filtro web di Fortigate
Leggere
VPN con Citrix NetScaler IV - Sempre attivo
Leggere
VPN con Citrix NetScaler I - Spiegamento & Pre-autenticazione
Leggere
VPN con Citrix NetScaler III - Autenticazione con certificati
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Monitoraggio delle attività pianificate con Centreon

12 Novembre 2024

Pannelli solari con Home Assistant e Huawei

19 Novembre 2024