Damit ein SSL vServer auf dem NetScaler "UP" ist muss ein Zertifikat gebunden werden. Häufig werden hier passende SSL-Zertifikate von einer internen PKI oder öffentliche Zertifizierungsstelle genutzt. Hierbei muss die Gültigkeit überwacht werden für die jährliche Erneuerung - je nach Installation einiges an Aufwand selbst mit Unterstützung der ADM.
Aber was ist mit den internen NetScaler vServer? Zum Beispiel vServer mit IP 0.0.0.0, 169.254.0.1, und so weiter? Zusätzlich wird hier von manchen noch "ARP" auf der IP deaktiviert.
Kurzum: die IP ist nicht von anderen Systemen erreichbar, sondern wird ausschließlich intern im NetScaler verwendet. Warum hier den Aufwand betreiben für den Zertifikatsaustausch?
Hier kann es sinnvoll sein ein selbstsigniertes Zertifikat zu verwenden mit langer Laufzeit. Dies ist schnell erledigt via CLI.
Hierzu im folgenden Script die Platzhalter austauschen mit "suchen&ersetzten":
- <Dateiname> ohne Endung z.B. 20230728-Internal
- <Passwort> für Schlüsseldatei
- <localityName> z.B. Frankfurt
- <stateName> z.B. Hesse
- <countryName> z.B. DE
- <organizationName> z.B. ITCMA
- <organizationUnitName> z.B. IT-Service
- <Gültigkeit> z.B. 3650 für 10 Jahre
Das Script inkl. der Platzhalter sieht so aus:
- create rsakey <Dateiname>.key 4096 -aes256 -password "<Passwort>" -pkcs8
- create ssl certreq <Dateiname>.req -keyFile "<Dateiname>.key" -keyform PEM -PEMPassPhrase "<Passwort>" -countryName "<countryName>" -stateName "<stateName>" -localityName "<localityName>" -organizationName "<organizationName>" -organizationUnitName "<organizationUnitName>" -digestMethod SHA256
- create ssl cert <Dateiname>.cert <Dateiname>.req ROOT_CERT -keyFile <Dateiname>.key -PEMPassPhrase "<Passwort>" -keyForm PEM -days <Gültigkeit>
- add ssl certKey <Dateiname>-Cert -cert <Dateiname>.cert -key <Dateiname>.key -password "<Passwort>" -expiryMonitor ENABLED
Anschließend die Zeilen via SSH-Sitzung oder Batch auf dem NetScaler ausführen. Danach kann das erzeugte Zertifikat an den gewünschten vServern gefunden werden.