IBM Cloud Docs
SSL-Zertifikat installieren

SSL-Zertifikat installieren

Sie können das SSL-Zertifikat installieren, das Sie in der vorherigen Schritt-für-Schritt-Anleitung IBM © Hardware Security Module(HSM)mit Citrix Netscaler VPX für Ihr Citrix Netscaler VPX erstellt haben.

Gehen Sie dazu folgendermaßen vor:

  1. Vergewissern Sie sich, dass das Zertifikat im Verzeichnis /nsconfig/ssl in Ihrer Citrix Netscaler VPX-Instanz vorhanden ist.

    root@IBMADC690867-s6dr# cd /nsconfig/ssl
    root@IBMADC690867-s6dr# ls
    certbundle              ns-root.srl             ns-	sftrust-root.key     ns-sftrust.key
    hsmclient7.cer          ns-server.cert          ns-	sftrust-root.req     ns-sftrust.req
    ns-root.cert            ns-server.key           ns-	sftrust-root.srl     ns-sftrust.sig
    ns-root.key             ns-server.req           ns-	sftrust.cert
    ns-root.req             ns-sftrust-root.cert    ns-	sftrust.der
    
  2. Auch wenn sich der Zertifikatsschlüssel im richtigen Verzeichnis befindet, muss er als gültiges Citrix Netscaler VPX-Objekt erkannt werden, damit er eine Verbindung zu anderen VPX-Komponenten herstellen und mit diesen interagieren kann. Um dies zu tun:

    > add ssl hsmKey NSkey_s6dr -hsmType SAFENET -	SerialNum 534071053 -password P@rtition6
    ERROR:  Internal error while adding HSM key.
    

    Die Syntax des vorangegangenen Befehls lautet wie folgt:

    add ssl hsmkey <KeyName> -hsmType SAFENET -serialNum 	<serial #> -password <password>
    

    Dabei ist keyName der Name des Schlüssels, der auf dem IBM © Hardware Security Module (HSM) mit dem CMU-Dienstprogramm erstellt wird. Der Parameter serialNum gibt die Seriennummer der betreffenden Partition an. Der Parameter password gibt wieder das Kennwort der Partition an, in der sich die Schlüssel befinden.

    Die Meldung Internal error ist zu erwarten, da dieser Schritt mehr Zeit in Anspruch nimmt. Der Schlüssel sollte trotzdem ordnungsgemäß hinzugefügt werden. Auf alle anderen Fehlernachrichten, die Sie erhalten, müssen Sie jedoch reagieren.

  3. Bestätigen Sie, dass der Schlüssel hinzugefügt wurde:

    > show ssl hsmkey
    1) HSM Key Name: NSkey_s6dr
    Done
    
  4. Wie der HSM-Schlüssel muss auch das SSL-Zertifikat mit dem entsprechenden Citrix-Befehl VPX hinzugefügt werden, damit es erkannt wird:

    > add ssl certkey hsmclient7ns -cert /nsconfig/ssl/	hsmclient7.cer -hsmkey NSkey_s6dr
    Done
    

    Für den vorherigen Befehl wird die folgende Syntax verwendet:

    add ssl certkey <CertkeyName> -cert <cert path/name>
    -hsmkey <KeyName>
    

    Dabei gibt certkey den Namen des Zertifikatsobjekts an, das in der VPX-Einheit hinzugefügt werden soll. Der Parameter cert enthält den Namen und den Pfad zu der Datei, wenn sie sich in einem anderen Verzeichnis als dem aktuellen befindet. Schließlich gibt hsmkey den Namen des Schlüssels an, der im vorherigen Schritt hinzugefügt wurde.

  5. Bestätigen Sie, dass das Zertifikat installiert wurde:

    > show ssl certKey
    [OUTPUT OMITTED]
    	2) Name: hsmclient7ns
    	Cert Path: /nsconfig/ssl/hsmclient7.cer
    	HSM Key ID: NSkey_s6dr
    	Format: PEM
    	Status: Valid,   Days to expiration:350
    	Certificate Expiry Monitor: ENABLED
    	Expiry Notification period: 30 days
    	Certificate Type: "Client Certificate" "Server Certificate"
    	Version: 3
    	Serial Number: 01785B2B61C8D7F1C06AC7CA8EDD573D
    	Signature Algorithm: sha256WithRSAEncryption
    	Issuer:  C=US,O=DigiCert
    Inc,OU=www.digicert.com,CN=RapidSSL RSA CA 2018
    	Validity
    		Not Before: Jul 26 00:00:00 2018 GMT
    		Not After : Jul 26 12:00:00 2019 GMT
    	Subject:  CN=hsmclient7.projectgoldfinch.net
    	Public Key Algorithm: rsaEncryption
    	Public Key size: 2048
    	Ocsp Response Status: NONE
    [OUTPUT OMITTED]
    Done
    >