Installation de votre certificat SSL
Vous pouvez installer le certificat SSL que vous avez créé dans l'étape précédente, Déploiement et configuration du module de sécurité matériel(HSM)IBM © avec Citrix Netscaler VPX pour votre site Citrix Netscaler VPX.
Procédure :
-
Vérifiez que le certificat existe dans le répertoire
/nsconfig/ssl
sur Citrix Netscaler VPX.root@IBMADC690867-s6dr# cd /nsconfig/ssl root@IBMADC690867-s6dr# ls certbundle ns-root.srl ns- sftrust-root.key ns-sftrust.key hsmclient7.cer ns-server.cert ns- sftrust-root.req ns-sftrust.req ns-root.cert ns-server.key ns- sftrust-root.srl ns-sftrust.sig ns-root.key ns-server.req ns- sftrust.cert ns-root.req ns-sftrust-root.cert ns- sftrust.der
-
Même si la clé de certificat se trouve dans le répertoire approprié, elle doit être reconnue en tant qu'objet Citrix Netscaler VPX valide pour pouvoir se connecter et interagir avec d'autres composants VPX. Pour ce faire, procédez comme suit :
> add ssl hsmKey NSkey_s6dr -hsmType SAFENET - SerialNum 534071053 -password P@rtition6 ERROR: Internal error while adding HSM key.
La commande ci-dessus utilise la syntaxe suivante :
add ssl hsmkey <KeyName> -hsmType SAFENET -serialNum <serial #> -password <password>
Où
keyName
est le nom de la clé qui est créée sur le module de sécurité matériel (HSM) IBM © avec l'utilitaire CMU. Le paramètreserialNum
désigne le numéro de série de la partition concernée et le paramètrepassword
est le mot de passe de la partition sur laquelle sont installées les clés.Le message
Internal error
est attendu en raison de l'augmentation du temps nécessaire à la réalisation de cette étape. La clé doit être correctement ajoutée. Toutefois, tous les autres messages que vous recevez doivent être traités. -
Confirmez que la clé a été ajoutée :
> show ssl hsmkey 1) HSM Key Name: NSkey_s6dr Done
-
Comme pour la clé HSM, le certificat SSL doit être ajouté en utilisant la commande Citrix VPX appropriée pour qu'il soit reconnu :
> add ssl certkey hsmclient7ns -cert /nsconfig/ssl/ hsmclient7.cer -hsmkey NSkey_s6dr Done
La commande précédente possède la syntaxe suivante :
add ssl certkey <CertkeyName> -cert <cert path/name> -hsmkey <KeyName>
Où
certkey
est le nom de l'objet de certificat à ajouter au dispositif VPX. Le paramètrecert
contient le nom et le chemin du fichier, si ce dernier se trouve dans un répertoire autre que celui en cours. Enfin,hsmkey
indique le nom de la clé ajoutée à l'étape précédente. -
Confirmez que le certificat a été installé :
> show ssl certKey [OUTPUT OMITTED] 2) Name: hsmclient7ns Cert Path: /nsconfig/ssl/hsmclient7.cer HSM Key ID: NSkey_s6dr Format: PEM Status: Valid, Days to expiration:350 Certificate Expiry Monitor: ENABLED Expiry Notification period: 30 days Certificate Type: "Client Certificate" "Server Certificate" Version: 3 Serial Number: 01785B2B61C8D7F1C06AC7CA8EDD573D Signature Algorithm: sha256WithRSAEncryption Issuer: C=US,O=DigiCert Inc,OU=www.digicert.com,CN=RapidSSL RSA CA 2018 Validity Not Before: Jul 26 00:00:00 2018 GMT Not After : Jul 26 12:00:00 2019 GMT Subject: CN=hsmclient7.projectgoldfinch.net Public Key Algorithm: rsaEncryption Public Key size: 2048 Ocsp Response Status: NONE [OUTPUT OMITTED] Done >