[English]Kleiner Hinweis für Administratoren eines NetScaler ADC. Es gibt in diversen NetScaler-Firmware-Versionen einen Bug, der verhindert, dass ein PFX-Zertifikat importiert und installiert werden kann. Der Bug wurde wohl inzwischen bestätigt – wer in diese Problematik läuft, muss einen Workaround anwenden und das Zertifikat splitten. Hier einige Informationen zum Sachverhalt, die mir die Tage untergekommen sind.
Anzeige
NetScaler Zertifikatsimport
Administratoren können ein vorhandenes Zertifikat aus einer PFX-Datei im NetScaler importieren. Zum Upload einer solchen PFX-Datei hat Citrix dieses Dokument erstellt. Die betreffenden Schritte zum Import und zur Installation eines PFX-Zertifikats werden in diesem Dokument beschrieben.
Ein PFX-Datei enthält ein Zertifikat im PKCS#12-Format. In diesem sind das Zertifikat, das Intermediate Zertifikat der Zertifizierungsstelle, das die Vertrauenswürdigkeit des Zertifikats sicherstellt, und der private Schlüssel zu dem Zertifikat gespeichert. Das Erstellen einer PFX-Datei ist z.B. hier beschrieben.
Bug verhindert PFX-Import
In den NetScaler Builds 14.1 21.57 und 14.1 25.53 gibt es aber wohl einen Bug, der diesen Import einer PFX-Zertifikatsdatei verhindert. Ich bin über nachfolgenden Tweet auf das Thema gestoßen. Julian Jakob weist darauf hin, dass in NetScaler 14.1 21.57 und 14.1 25.53 ein PFX-Import nicht möglich sei.
Jakob weist darauf hin, dass der Bug bestätigt sei und erst in der kommenden 29.x-Release behoben werde. Bis dahin müssen das Zertifikat und der Key auf zwei Dateien aufgeteilt werden. Vielleicht kann jemand was damit anfangen.
Anzeige
Anzeige
Beim Import von meinem Client kam auch ein Fehler. Aber ein Upload und das Update des Zertifikates über die PFX, die dann auf der Appliance lag, funktionierte problemlos.
PFX ist halt proprietärer MS Kram… aber ich weiß nicht, ob ggf. alle Containerformate betroffen sind (PEM, PKCS #12)
Kann diesen Bug bestätigen, ein Update des alten Zertifikates lief aber problemlos.
Kamm und kommt immer wieder vor, mal ein bug der gui mal der Cli. Sind wir als Netscaler Admins gewohnt gab es immer wieder in Versionen (12.5 aufwärts).