Viele meiner Kunden kommen ins Straucheln, wenn es um Zertifikate geht und ich meine nur die Grundlagen und nicht das gesamte PKI. Zudem basiert Citrix Netscaler auf Linux und macht scheinbar die Angelegenheit noch schwieriger. Auch tendieren Leute dazu Dinge zu verkomplizieren was es dann als fast unmöglich erscheinen lässt. Es sollte normal sein, dass verstanden wird was man macht (zumindest zu einem gewissen Grad) aber viele wollen einfach eine Schritt-für-Schritt Anleitung der sie folgen können.

Das vorherige ist meine Erklärung warum viele Problem haben, wenn es zu Netscaler und Zertifikaten kommt. Eine detaillierte Erklärung des "Einfachen Weg" wird es nicht mehr so einfach aussehen lassen im Vergleich zur Schritt-für-Schritt Anleitung aber einmal verstanden wird es das Ganze noch einfacher machen.

Ich muss von einigen Dingen ausgehen und bedarf ein gewisses Basiswissen: 

  1. Sie sind primär ein Windows Administrator (Linux ist nicht so ihr Ding)
  2. Sie wissen wie eine Zertifikatsanfrage in Windows erstellt wird z.B: IIS
    Request a Server certificate using IIS (2048 Bit länge verwenden)
  3. Sie wissen wie mit MMC/IIS Zertifikate exportiert werden
    Export a Server certificate using IIS (Min 5 Zeichen für das Kennwort verwenden)
  4. Basis Netscaler Wissen

 

Generelle Zertifikat Anforderungen

Für mich gibt es zwei kritische Punkte, wenn es um Zertifikate geht:

A: Immer den Full Qualified Domain Names (FQDN) verwenden! wie ctx.dom.com Den Hostnamen oder schlimmer die IP-Adresse zu nutzen ist ein NO GO!
B: Verwendung des aktuellen Standards für den öffentlichen Schlüssel mit einer Bit länge von 2048-Bit.

Sie sollten wissen, dass eine höhere Bitlänge eine höhere Sicherheit darstellt aber auf der anderen Seite reduziert es drastisch die Kompatibilität mit anderen Clients, Geräten etc. Vor einigen Jahren war der Standard noch 512-Bit aber nachdem keiner mehr Windows 95 etc. nutzt wurde es auf 2048 erhöht.
Als Beispiel: Citrix Netscaler VPX unterstützt 4096-Bit für die eigenen vServer aber nur 2048-Bit zu Back-End Systemen. 

 

Erklärung zum Einfachen Weg

Sie können die Erklärung überspringen, wenn sie nichts lernen möchten und gleich zur Schritt-für-Schritt Anleitung weiterscrollen.

Im folgendem werde ich den Prozess erklären und mag auf dem ersten Blick schwierig erscheinen aber nehmen sie sich eine Minute Zeit die Bilder zu betrachten und die Schritte zu verstehen. Ich starte an dem Punkt nachdem das Zertifikat als PFX per IIS oder MMC exportiert wurde. Sie wissen nicht wie das geht, dann gehen sie zurück zu den Anforderungen Punkt 2 und 3.

Der Ablauf ist in zwei Teile unterteilt, wobei der zweite oft übersehen wird aber unbedingt gemacht werden muss! 

 

Erster Teil - Das Zertifikat

Zwei Schritte sind notwendig. Zuerst eine Zertifikat Format Konvertierung. Die exportierte PFX Datei ist ein Microsoft basiertes Format und das Linux Gegenstück ist PKCS#12 Format gespeichert in eine PEM Datei. Stellen sie sich vor ein JPG Bild in ein PNG Bild zu konvertieren. Da diese Dateien den privaten Schlüssel enthalten müssen die Daten mit einem Kennwort geschützt werden (min 5 Zeichen verwenden). Liegt das Zertifikat im richtigen Format vor, dann kann es Installiert werden und ist ein aufteilen in Zertifikat und privaten Schlüssel.


Hier der Ablauf grafisch dargestellt:

 

Zweiter Teil - Die Zertifikatskette

Hurray! Wir haben ein Zertifikat im Netscaler aber funktioniert das vollständig? Einige Clients (hauptsächlich Windows Clients) wird es funktionieren aber andere bekommen eine Zertifikatswarnung oder können sich nicht verbinden. Warum das? Ein Zertifikat kommt mit einer Kette und bedeutet von wo es gekommen ist; wie ein Familienbaum. Typischerweise wurde ihr Zertifikat erstell von einer Stammzertifikatsstelle (Certificate Authority, eine Art Behörde) und wird kurz Root CA genannt. Es kann auch sein, das einen "Zwischenhändler" gibt der von der Behörde Autorisiert wurde und das Zertifikat wurde von dem "Zwischenhändler" bezogen und wird Zwischenzertifizierungsstelle (intermediate Certificate Authority) genannt.

Die Kette (Chain) für so ein Zertifikat würde wie folgt aussehen:

- Root CA (Autorisiert)

- Intermediate CA (Erstellt)

- Server Certificate (Angefragt durch Sie)

 


Beim Importieren (Konvertieren) des Zertifikats ist die Kette nicht enthalten und muss per LINK der Zertifikate wiederhergestellt werden. Wieder Windows verwenden um Root- und Intermediate Zertifikat im DER Format zu exportieren. Die exportierten Zertifikate dann einfach im Netscaler Installieren. Der wichtige Teil ist dann das "Linken" der Zertifikate um die Kette neu zu bilden.

Fertig! Das Zertifikat kann nun an jeden Netscaler vServer gebunden werden.
  

Schritt-für-Schritt Anleitung

Nach der Erklärung hier nun die Schritt-für-Schritt Anleitung:

Teil I (Zertifikat Import)

  1. Export des Zertifikate als PFX (Min 5 Zeichen als Kennwort)
  2. Export Root- und Intermediate Zertifikat im DER Format
  3. Netscaler: Traffic Management / SSL / Import PKCS#12
    PKCS#12 file: my.cert_2016.pfx
    Output file name: my.cert_2016.pem
    Encoding Format: DES3
    Password = Passphrase <- kann gleich sein
  4. Klick OK (Konvertierung fertig!!)



  5. Netscaler: Traffic Management / SSL / SSL Certificates / Server Certificates
    Certificate File Name: my.cert_2016.pem
    Certificate-Key Pair Name:my.cert_2016
    Password = Passphrase
  6. Klick INSTALL (Fertig!)

 

Teil II (Zertifikate Verbinden)

  1. Netscaler: Traffic Management / SSL / SSL Certificates / CA Certificates
    Certificate File Name: root.ca.cer (intermidiate.ca.cer)
    Certificate-Key Pair Name: root.ca (intermidiate.ca)
  2. Klick INSTALL



  3. Netscaler: Traffic Management / SSL / SSL Certificates / CA Certificates
    Select intermidiate.ca
    Klick Action dann Auswahl Link
  4. Wenn das passende Root CA Zertifikat vorhanden ist (installiert) wird es ausgewählt sein! Klick OK!
  5. Netscaler: Traffic Management / SSL / SSL Certificates / Server Certificates
    Select my.cert_2016
    Klick Action dann Auswahl Link
  6. Wenn das passende Intermidiate oder Root CA Zertifikat vorhanden ist (installiert) wird es ausgewählt sein! Klick OK!


Das ist alles! Jetzt kann das Zertifikat an vServer wie Gateway, Loadbalancer etc. gebunden werden.

 

Hilfreiche Tipps auf dem Weg

  • Min 5 Zeichen für das Kennwort von PFX/PEM Dateien verwenden die den privaten Schlüssel enthalten.
  • 2048-Bitlänge für den öffentlichen Schlüssel verwenden; nicht mehr nicht weniger
  • Name des Zertifikats sollte sinnvoll sein mit Datum wie ctx.dom.com_11.2018
    wobei 11.2018 das Ablaufdatum des Zertifikates ist
  • Backup der Zertifikate vom Netscaler mit WinCP oder Netscaler eigenem voll Backup
  • Wildcard Zertifikate *.dom.com machen das Leben langfristig leichter
  • Jedes Unternehmen sollte eine eigene Zertifizierungsstelle haben und SSL überall verwenden wo es geht!

Kommentar schreiben