How Do I Enable SSL Client Certificate Authentication on NetScaler

This article describes how to configure a NetScaler SSL Virtual Server to request SSL Clients to submit a Client Certificate.

Note: Client Certificates are sometimes called User Certificates or Smart Card Certificates.

With Client Authentication enabled on an SSL virtual server, the NetScaler appliance asks for the Client Certificate during the SSL handshake. The appliance checks the certificate presented by the client for normal constraints, such as the issuer signature and expiration date. Here are some use cases:

  • Require a valid Client Certificate before website content is displayed. This restricts website content to only authorized machines and users.
  • Request a valid Client Certificate. If a valid Client Certificate is not provided, then prompt the user for Multi-Factor Authentication.

Client Authentication can be set to Mandatory, or Optional.

  • If Mandatory, if the SSL Client does not transmit a valid Client Certificate, then the connection is dropped. Valid means: signed/issued by a specific Certificate Authority, and not expired or revoked.
  • If Optional, then NetScaler requests the client certificate, but proceeds with the SSL transaction even if the client presents an invalid certificate or no certificate. This is useful for authentication scenarios (e.g. require two-factor authentication if a valid Client Certificate is not provided)

User-added image

Note: Only user-based client certificates are supported. For device certificates (machine certificates), see Using Device Certificates for Authentication at Citrix Docs.SSL Client Authentication can be enabled on any NetScaler SSL Virtual Server.

  • If SSL traffic goes through a Content Switching Virtual Server, then enable Client Authentication on the Content Switching Virtual Server. This includes Unified Gateway.
  • Otherwise, enable it on a AAA Virtual Server, Load Balancing Virtual Server, or NetScaler Gateway Virtual Server.

SSL Client Authentication can be enabled directly at the SSL Virtual Server, or by binding an SSL Profile. If Default SSL Profiles are enabled, then you must use an SSL Profile to enable Client Authentication, which means you create an SSL Profile with Client Authentication enabled, and then bind the SSL Profile to the SSL Virtual Server.

Related:

  • No Related Posts

Filr 3.4 Update

Abstract: This update provides new features and a number of general bug fixes for Micro Focus Filr, Search and MySQL appliances including an updated Filr 3.4 Desktop client, Outlook and MS-Office plugin.

Document ID: 5383710
Security Alert: Yes
Distribution Type: Public
Entitlement Required: Yes
Files:

  • readme_filr_34.txt (7.92 kB)

Products:

  • Filr 3 Advanced Edition
  • Filr 3 Standard Edition

Superceded Patches: None

Related:

  • No Related Posts

SecureWeb 10.x: HTTP 1.1 Gateway timeout error while accessing external/internal websites from Secure Web.

This error is mostly seen when Netscaler is unable to resolve the DNS query received from Secure web client.

Check the following on Netscaler

1.If the Split tunnel is OFF on Netscaler ensure that the SNIP has inbound and outbound internet access

2. Check if you are able to resolve the address of internal/external websites from the Netscaler- take putty access for NS and ping the destination address – this will confirm weather the DNS resoluton is happening or not.

3. You can create a service on Netscaler for the website that you are trying to reach and verify if the service is up or down

4. Check if the DNS server is configured correctly on UDP protocol

5. If you have configured DNS LB Vserver on Netscaler, check if the services bound to the LB are up.

6. Collect a Netscaler trace and verify if Netscaler is able to successfully do a DNS resolution for those external/internal sites.

7. You can validate if its a Secure web issue by setting the Network Mode to Unrestricted and access the site.

8. the secure web doesnt have proxy configured there is no need for no proxy policy – unbind it

9. If Split Tunnel is ON on Netscaler, make sure we add an Intranet app range:

In the configuration utility, on the Configuration tab, in the navigation pane, expand NetScaler Gateway > Resources and then click Intranet Applications.

In the details pane, click Add.

In Name, type a name for the profile.

In the Create Intranet Application dialog box, select Transparent.

In Destination Type, select IP Address and Netmask.

In Protocol, select the protocol that applies to the network resource.

In IP Address, type the IP address.

In Netmask, type subnet mask, click Create and then click Close.

Related:

  • No Related Posts

After Installing VDA 7.15 CU1 on Windows 2016, Unable to Reconnect to Existing Session or Start a New Session

If the regkey HKLMSoftwareCitrixCitrix Virtual Desktop Agent “DisableLogonUISuppression is set to “1” the issue does not occur.

DisableLogonUISuppression Key was introduced as the remedy for the black logon screen when starting published applications.

Refer to CTX235681 – XenApp/XenDesktop : Black Screen Is Displayed While Launching A Published Applications From Windows Server 2016 VDA

However, it has a side effect on LogonUI.exe and locked sessions.

Related:

  • No Related Posts

WFICA32.exe Shows 100% CPU usage in Task Manager

Tradução automática

Эта статья была переведена автоматической системой перевода и не был рассмотрен людьми. Citrix обеспечивает автоматический перевод с целью расширения доступа для поддержки контента; Однако, автоматически переведенные статьи могут может содержать ошибки. Citrix не несет ответственности за несоответствия, ошибки, или повреждения, возникшие в результате использования автоматически переведенных статей.

Related:

  • No Related Posts

HDX Media Engine Crashes when Disconnecting or Logging off From a Session

Tradução automática

Эта статья была переведена автоматической системой перевода и не был рассмотрен людьми. Citrix обеспечивает автоматический перевод с целью расширения доступа для поддержки контента; Однако, автоматически переведенные статьи могут может содержать ошибки. Citrix не несет ответственности за несоответствия, ошибки, или повреждения, возникшие в результате использования автоматически переведенных статей.

Related:

  • No Related Posts

Netscaler crashes due to content type header missing

Tradução automática

Эта статья была переведена автоматической системой перевода и не был рассмотрен людьми. Citrix обеспечивает автоматический перевод с целью расширения доступа для поддержки контента; Однако, автоматически переведенные статьи могут может содержать ошибки. Citrix не несет ответственности за несоответствия, ошибки, или повреждения, возникшие в результате использования автоматически переведенных статей.

Related:

  • No Related Posts

How to customize the storefront website title

Tradução automática

Эта статья была переведена автоматической системой перевода и не был рассмотрен людьми. Citrix обеспечивает автоматический перевод с целью расширения доступа для поддержки контента; Однако, автоматически переведенные статьи могут может содержать ошибки. Citrix не несет ответственности за несоответствия, ошибки, или повреждения, возникшие в результате использования автоматически переведенных статей.

Related:

  • No Related Posts

After Upgrade to WEM 4.6 agents not getting configurations with error: Agent (Agent name) is not bouf to any configuration set

Tradução automática

Эта статья была переведена автоматической системой перевода и не был рассмотрен людьми. Citrix обеспечивает автоматический перевод с целью расширения доступа для поддержки контента; Однако, автоматически переведенные статьи могут может содержать ошибки. Citrix не несет ответственности за несоответствия, ошибки, или повреждения, возникшие в результате использования автоматически переведенных статей.

Related:

  • No Related Posts

Desktop viewer disappear at logon Restart Citrix ICA service solve the issue

Tradução automática

Эта статья была переведена автоматической системой перевода и не был рассмотрен людьми. Citrix обеспечивает автоматический перевод с целью расширения доступа для поддержки контента; Однако, автоматически переведенные статьи могут может содержать ошибки. Citrix не несет ответственности за несоответствия, ошибки, или повреждения, возникшие в результате использования автоматически переведенных статей.

Related:

  • No Related Posts