Това са стъпките за инсталиране на верижни сертификати на SonicWall SSL Offloader или Uploader. Терминът „изпълнител“ и „изпълнител“ се отнасят за един и същ процес.
Всички SonicWall SSL разтоварващи устройства поддържат верижни сертификати. Верижните сертификати позволяват на основен сертификат да делегира подписването на сертификати на множество доверени сертификати, създавайки верига на доверие.
Допълнителна информация относно верижните сертификати могат да бъдат намерени тук.
SSL.com предоставя голямо разнообразие от SSL /TLS сървърни сертификати за уебсайтове на HTTPS, включително:
Какво ще ви трябва
1. Файлове със сертификати от SSL.com
2. Текстов редактор
3. OpenSSL.exe
4. SonicWall Configuration Manager
Също така препоръчваме да прочетете SSL /TLS сертификати за сигурност за да получите основно разбиране и да се запознаете с SonicWall Configuration Manager.
Изглед от високо ниво
1. Разархивирайте сертификатите.
а. Ще се появят множество сертификати: основния, междинния и сървърния сертификат
б. Те ще бъдат въведени по-късно в SonicWall SSL Offloader.
2. Стартирайте OpenSSL.
3. Отворете текстов редактор.
4. Копирайте и поставете текста на информацията за сертификата.
5. Продължете с набора от инструкции от SonicWall.
6. Потвърдете и тествайте.
Специфика на процеса
OpenSSL: Най-новата версия на OpenSSL е 3.0. Допълнителна информация може да бъде намерена чрез достъп до https://www.openssl.org/source/
1. Стартирайте OpenSSL.exe
2. Приложението OpenSSL е инсталирано по същото време и място като SonicWall Configuration Manager.
3. Друга възможност за достъп до OpenSSL е като изберете Инсталация по избор.
След стартиране на OpenSSL:
1. Отворете следното
а. Domain.ca-bundle.crt
б. Domain.crt
2. Копирайте и поставете:
а. Копирайте и поставете целия текст, включително
—– НАЧАЛО СЕРТИФИКАТ—–
намлява
—– ИЗПРАТИ СЕРТИФИКАТ—–
Сертификатът domain.crt е сертификатът на сървъра.
Domain.ca-bundle.crt е сертификатът за посредник.
3. Запазете тези файлове (C:server.pem и C:inter.pem)
а. Допълнителна информация относно pem файловете е достъпна тук: https://www.ssl.com/faqs/how-can-i-getmy-certificates-in-pem-format/
4. Проверете информацията за сертификата с OpenSSL:
а. x509 -в C:server.pem -текст
и (и)
б. x509 -в C:inter.pem -текст
Пример за поток на процедурата
1. С правилните сертификати започнете със зареждане на сертификатите в обекти на сертификати.
2. След това отделните обекти на сертификати се зареждат в група сертификати.
3. Този пример демонстрира как да заредите два сертификата в отделни обекти на сертификати, да създадете група сертификати и да разрешите използването на групата като верига от сертификати.
а. Името на устройството за сигурност на транзакциите е myDevice.
б. Името на защитения логически сървър е server1.
° С. Името на PEM-кодирания, генериран от CA сертификат е server.pem; името на PEM-кодирания сертификат е inter.pem.
д. Имената на признатите и локалните обекти на сертификати са съответно trustedCert и myCert.
д. Името на групата сертификати е CACertGroup.
е. Стартирайте конфигурационния мениджър, както е описано в ръководството.
4. Свържете конфигурационния мениджър и влезте в режим на конфигуриране. (Ако на устройството е присвоена парола за ниво на прикачване или конфигурация, ще бъдете подканени да въведете пароли.)
а. inxcfg> прикачете myDevice
б. inxcfg> конфигурирайте myDevice
° С. (config[myDevice])>
5. Влезте в режим на конфигуриране на SSL и създайте междинен сертификат с име CACert, влизайки в режим на конфигурация на сертификат.
6. Заредете PEM-кодирания файл в обекта на сертификата и се върнете в режим на SSL конфигурация.
а. (config[myDevice])> ssl
б. (config-ssl[myDevice])> cert myCert create
° С. (config-ssl-cert[CACert])> pem inter.pem
д. (config-ssl-cert[CACert])> край
д. (config-ssl[myDevice])>
7. Влезте в режим на конфигуриране на свързване на ключове, заредете PEM-кодирания CA сертификат и файловете с частен ключ и се върнете в режим на конфигуриране на SSL.
а. (config-ssl[myDevice])> keyassoc localKeyAssoc създаване
б. (config-ssl-keyassoc[localKeyAssoc])> pem server.pem key.pem
° С. (config-ssl-keyassoc[localKeyAssoc])> край
д. (config-ssl[myDevice])>
8. Влезте в режим на конфигурация на група сертификати, създайте групата сертификати CACertGroup, заредете обекта на сертификата CACert и се върнете в режим на конфигуриране на SSL.
а. (config-ssl[myDevice])> certgroup CACertGroup създаване
б. (config-ssl-certgroup[CACertGroup])> cert myCert
° С. (config-ssl-certgroup[CACertGroup])> край
д. (config-ssl[myDevice])>
9. Влезте в режим на конфигурация на сървъра, създайте логически защитен сървър сървър1, задайте IP адрес, SSL и портове за изчистен текст, политика за сигурност myPol, групата сертификати CACertGroup, свързване на ключ localKeyAssoc и излезте в режим на най-високо ниво. (config-ssl[myDevice])> създаване на сървър server1
а. (config-ssl-server[server1])> ip адрес 10.1.2.4 мрежова маска 255.255.0.0
б. (config-ssl-server[server1])> sslport 443
° С. (config-ssl-server[server1])> отдалечен порт 81
д. (config-ssl-server[server1])> secpolicy myPol
д. (config-ssl-server[server1])> верига на certgroup CACertGroup
е. (config-ssl-server[server1])> keyassoc localKeyAssoc
ж. (config-ssl-server[server1])> край
з. (config-ssl[myDevice])> край
и (config[myDevice])> край
j. inxcfg>
10. Запазете конфигурацията във флаш памет. Ако не бъде запазена, конфигурацията се губи по време на цикъл на захранване или ако се използва командата за презареждане.
а. inxcfg> напишете flash myDevice
б. inxcfg>
