SSL-Zertifikat installieren
Sie können das SSL-Zertifikat installieren, das Sie in der vorherigen Schritt-für-Schritt-Anleitung IBM © Hardware Security Module(HSM)mit Citrix Netscaler VPX für Ihr Citrix Netscaler VPX erstellt haben.
Gehen Sie dazu folgendermaßen vor:
-
Vergewissern Sie sich, dass das Zertifikat im Verzeichnis
/nsconfig/ssl
in Ihrer Citrix Netscaler VPX-Instanz vorhanden ist.root@IBMADC690867-s6dr# cd /nsconfig/ssl root@IBMADC690867-s6dr# ls certbundle ns-root.srl ns- sftrust-root.key ns-sftrust.key hsmclient7.cer ns-server.cert ns- sftrust-root.req ns-sftrust.req ns-root.cert ns-server.key ns- sftrust-root.srl ns-sftrust.sig ns-root.key ns-server.req ns- sftrust.cert ns-root.req ns-sftrust-root.cert ns- sftrust.der
-
Auch wenn sich der Zertifikatsschlüssel im richtigen Verzeichnis befindet, muss er als gültiges Citrix Netscaler VPX-Objekt erkannt werden, damit er eine Verbindung zu anderen VPX-Komponenten herstellen und mit diesen interagieren kann. Um dies zu tun:
> add ssl hsmKey NSkey_s6dr -hsmType SAFENET - SerialNum 534071053 -password P@rtition6 ERROR: Internal error while adding HSM key.
Die Syntax des vorangegangenen Befehls lautet wie folgt:
add ssl hsmkey <KeyName> -hsmType SAFENET -serialNum <serial #> -password <password>
Dabei ist
keyName
der Name des Schlüssels, der auf dem IBM © Hardware Security Module (HSM) mit dem CMU-Dienstprogramm erstellt wird. Der ParameterserialNum
gibt die Seriennummer der betreffenden Partition an. Der Parameterpassword
gibt wieder das Kennwort der Partition an, in der sich die Schlüssel befinden.Die Meldung
Internal error
ist zu erwarten, da dieser Schritt mehr Zeit in Anspruch nimmt. Der Schlüssel sollte trotzdem ordnungsgemäß hinzugefügt werden. Auf alle anderen Fehlernachrichten, die Sie erhalten, müssen Sie jedoch reagieren. -
Bestätigen Sie, dass der Schlüssel hinzugefügt wurde:
> show ssl hsmkey 1) HSM Key Name: NSkey_s6dr Done
-
Wie der HSM-Schlüssel muss auch das SSL-Zertifikat mit dem entsprechenden Citrix-Befehl VPX hinzugefügt werden, damit es erkannt wird:
> add ssl certkey hsmclient7ns -cert /nsconfig/ssl/ hsmclient7.cer -hsmkey NSkey_s6dr Done
Für den vorherigen Befehl wird die folgende Syntax verwendet:
add ssl certkey <CertkeyName> -cert <cert path/name> -hsmkey <KeyName>
Dabei gibt
certkey
den Namen des Zertifikatsobjekts an, das in der VPX-Einheit hinzugefügt werden soll. Der Parametercert
enthält den Namen und den Pfad zu der Datei, wenn sie sich in einem anderen Verzeichnis als dem aktuellen befindet. Schließlich gibthsmkey
den Namen des Schlüssels an, der im vorherigen Schritt hinzugefügt wurde. -
Bestätigen Sie, dass das Zertifikat installiert wurde:
> show ssl certKey [OUTPUT OMITTED] 2) Name: hsmclient7ns Cert Path: /nsconfig/ssl/hsmclient7.cer HSM Key ID: NSkey_s6dr Format: PEM Status: Valid, Days to expiration:350 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: "Client Certificate" "Server Certificate" Version: 3 Serial Number: 01785B2B61C8D7F1C06AC7CA8EDD573D Signature Algorithm: sha256WithRSAEncryption Issuer: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=RapidSSL RSA CA 2018 Validity Not Before: Jul 26 00:00:00 2018 GMT Not After : Jul 26 12:00:00 2019 GMT Subject: CN=hsmclient7.projectgoldfinch.net Public Key Algorithm: rsaEncryption Public Key size: 2048 Ocsp Response Status: NONE [OUTPUT OMITTED] Done >