VPN com Citrix NetScaler II – Exigir certificados para acessar

Impressão amigável, PDF & E-mail

No post anterior, vimos como configurar com segurança o acesso VPN aos nossos usuários por meio do nosso Citrix NetScaler Gateway; No post de hoje vamos continuar a apertar algumas porcas. Garantiremos que, se os computadores remotos não tiverem um certificado instalado, eles nem poderão ver o site do NetScaler Gateway!

 

Assim, vamos dotar de maior segurança, o website de acesso à organização será inexistente se não se dispuser de um certificado previamente instalado nos equipamentos, não será mostrado nada. Evitando curiosos e intrometidos, podemos exigir que o que foi dito, se não tiver um certificado instalado no seu equipamento (ou no seu leitor de cartões inteligentes), não acede, nem sequer pode abrir a página web de acesso.

Este documento está estruturado da seguinte forma:

 

Importando a raiz da CA no NetScaler

 

Usaremos a entidade emissora de Certificados do nosso Diretório Ativo para criar e emitir o certificado aos utilizadores, também faremos com que o NetScaler valide contra a nossa CA o estado do certificado.

 

Começamos então por fazer um backup da nossa CA, nuestra entidad de certificados del Directorio Activo, sobre ela, hacer una copia de seguridad, indicar que lleve la clave privada y el certificado de CA, elegimos una carpeta y listo,

 

Importaremos el certificado de la CA desde “Traffic Management” > “SSL” > “Import PKCS#12”, Nós damos-lhe um nome, e elegimos o ficheiro p12 que nos habrá generado el backup anterior, assim como a senha que le hemos estabelecidocido, “OKEY”,

 

Para instalar el certificado, Nós vamos “Traffic Management” > “SSL > “SSL Certificate” > “SSL Certificates” > “Instalar”. Indicamos um nome, e escomos o certificado e sua clave privada, ambas do fichero que acabamos de importar.

Vamos a dar de alta la CRL (Lista de Revogação de Certificados) para que pueda checkear NetScaler si el certificado es válido en la entidad emisora de certificados (o CA) si es bueno o no. Desde “Traffic Management” > “SSL” > “CRL” > “Adicionar”.

Le daremos un nombre, y la URL de conexión a la CRL (algo como esto: Referências HTTP://DIRECCION_IP_CA/certrell/Nombre de tu CA.crl) além disso em “Intervalo” marcaremos para AGORA, quando verificarmos sincronize corretamente colocaremos diariamente.

 

 

Vamos agora vincular o certificado da CA e a CRL no Servidor Virtual do Gateway, desde “Certificado” > “Certificado CA” e indicamos a CRL como obrigatória. “Bind”,

 

Ficando algo assim, 1 Certificado CA,

 

E nos Parâmetros SSL do Servidor Virtual do Gateway habilitamos “Autenticação de Cliente” e indicamos que o certificado seja obrigatório. OK e “Concluído”.

 

 

Gerando um certificado de cliente

 

Continuamos agora a gerar um certificado para poder aceder, estes seriam os passos que devemos seguir para gerar o certificado e instalá-lo no posto que quisermos que possa aceder ao site do NetScaler Gateway, sem ele, não se acede.

 

Nós vamos “Traffic Management” > “SSL” > “Assistente de Certificado de Cliente”

 

Começará um assistente para criar primeiro a chave privada, à qual indicaremos um nome de ficheiro, um comprimento de chave, formato e palavra-passe, “Criar”,

 

No passo seguinte, deveremos preencher os dados que são exigidos para gerar o CSR (Pedido de Assinatura de Certificado) ou pedido de certificado, uma vez preenchidos, clicamos em “Criar”,

 

Dizemo-lhe que “Sim” para que nos gere o ficheiro com o CSR,

Deixamos o assistente um momentinho e vamos gerar o certificado no nosso AD.

 

Ao aceder ao site de Serviços de Certificados do Active Directory, poderemos efetuar um pedido de certificado avançado, onde colaremos o texto do CSR que nos terá sido gerado no ficheiro, assim como indicar que o modelo de certificado é de “Utilizador”, Clique em “Enviar”,

 

Descarregamos codificado em Base 64 o certificado.

 

Voltamos ao assistente, omitimos o passo 3 clicando diretamente em 4 e preenchemos além de anexar o certificado que nos foi emitido pela nossa CA. Clique em “Criar”,

 

“Concluído”

 

Exportamos em PFX a partir de “Traffic Management” > SSL” > “Exportar PKCS#12” e com o WinSCP nós transferimos para o nosso PC a partir de /flash/nsconfig/ssl/ o PFX.

Esse PFX será aquele que teremos de instalar no posto para poder aceder.

 

Teste

E chegou a hora de o validar, se não tiver o certificado não conseguirá abrir o site do Citrix NetScaler Gateway.

E se tivermos o certificado instalado ou tivermos vários, será solicitado para o usar ao abrir o site,

E mostrará corretamente o site de acesso ao nosso portal de aplicações e escritórios corporativos, ou através de VPN, já poderemos autenticar-nos e aceder!

Documento não muito denso onde vimos como podemos proteger o nosso site público de qualquer acesso indesejado, de visitantes ou curiosos, ou espiões, ou o que quer que sejam, sem certificado não conseguirão chegar até aqui! Espero que vos tenha parecido interessante, continuamos num terceiro post com mais coisinhas, lemos-nos em breve!

Postagens recomendadas

VPN com Citrix NetScaler III - Autenticação com certificados
Ler
VPN com Citrix NetScaler IV - Sempre ligado
Ler
Permitindo que usuários específicos escapem da filtragem da web do Fortigate
Ler
VPN com Citrix NetScaler I - Implantação & Pré-autenticação
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Monitorizando Tareas programadas con Centreon

12 Novembro 2024

Painéis solares com Home Assistant e Huawei

19 Novembro 2024