Toto jsou kroky k instalaci zřetězených certifikátů na SonicWall SSL Offloader nebo Uploader. Termíny 'offloader' a 'uploader' označují stejný proces.
Všechny SonicWall SSL Offloadery podporují zřetězené certifikáty. Zřetězené certifikáty umožňují kořenovému certifikátu delegovat podepisování certifikátů na více důvěryhodných certifikátů, čímž se vytvoří řetězec důvěry.
Další informace týkající se zřetězených certifikátů lze nalézt zde.
SSL.com poskytuje širokou škálu SSL /TLS certifikáty serveru pro weby HTTPS, včetně:
Co budete potřebovat
1. Soubory certifikátů z SSL.com
2. Textový editor
3. OpenSSL.exe
4. Správce konfigurace SonicWall
Také doporučujeme číst dále SSL /TLS bezpečnostní certifikáty získat základní porozumění a seznámit se s Správce konfigurace SonicWall.
Pohled na vysoké úrovni
1. Rozbalte certifikáty.
A. Zobrazí se více certifikátů: kořenový, střední a serverový certifikát
b. Ty budou později vloženy do SonicWall SSL Offloader.
2. Spusťte OpenSSL.
3. Otevřete textový editor.
4. Zkopírujte a vložte text informací o certifikátu.
5. Pokračujte instrukční sadou od SonicWall.
6. Ověřte a otestujte.
Specifika procesu
OpenSSL: Nejnovější verze OpenSSL je 3.0. Další informace lze nalézt na https://www.openssl.org/source/
1. Spusťte OpenSSL.exe
2. Aplikace OpenSSL byla nainstalována ve stejnou dobu a na stejném místě jako SonicWall Configuration Manager.
3. Další možností přístupu k OpenSSL je volba Custom Installation.
Po spuštění OpenSSL:
1. Otevřete následující
A. Domain.ca-bundle.crt
b. Domena.crt
2. Zkopírujte a vložte:
A. Zkopírujte a vložte celý text včetně
—– ZAČÁTEK CERTIFIKÁT—–
a
—– ODESLAT CERTIFIKÁT —–
Certifikát domain.crt je certifikát serveru.
Domain.ca-bundle.crt je zprostředkující certifikát.
3. Uložte tyto soubory (C:server.pem a C:inter.pem)
A. Další informace týkající se souborů pem jsou k dispozici zde: https://www.ssl.com/faqs/how-can-i-getmy-certificates-in-pem-format/
4. Ověřte informace o certifikátu pomocí OpenSSL:
A. x509 -v C:server.pem -text
i. (a)
b. x509 -in C:inter.pem -text
Příklad průběhu postupu
1. Se správnými certifikáty začněte načtením certifikátů do objektů certifikátů.
2. Samostatné objekty certifikátů jsou poté načteny do skupiny certifikátů.
3. Tento příklad ukazuje, jak načíst dva certifikáty do jednotlivých objektů certifikátů, vytvořit skupinu certifikátů a povolit použití skupiny jako řetězu certifikátů.
A. Název zařízení pro zabezpečení transakcí je myDevice.
b. Název zabezpečeného logického serveru je server1.
C. Název certifikátu vygenerovaného CA v kódování PEM je server.pem; název certifikátu kódovaného PEM je inter.pem.
d. Názvy objektů rozpoznaných a místních certifikátů jsou trustedCert a myCert.
E. Název skupiny certifikátů je CACertGroup.
F. Spusťte správce konfigurace, jak je popsáno v návodu.
4. Připojte konfigurační manažer a přejděte do konfiguračního režimu. (Pokud je zařízení přiřazeno heslo na úrovni připojení nebo konfigurace, budete vyzváni k zadání všech hesel.)
A. inxcfg> připojte moje zařízení
b. inxcfg> nakonfigurujte myDevice
C. (config[myDevice])>
5. Vstupte do režimu konfigurace SSL a vytvořte zprostředkující certifikát s názvem CACert, který přejde do režimu konfigurace certifikátu.
6. Načtěte soubor s kódováním PEM do objektu certifikátu a vraťte se do režimu konfigurace SSL.
A. (config[myDevice])> ssl
b. (config-ssl[myDevice])> cert myCert vytvořit
C. (config-ssl-cert[CACert])> pem inter.pem
d. (config-ssl-cert[CACert])> konec
E. (config-ssl[myDevice])>
7. Vstupte do režimu konfigurace přidružení klíčů, načtěte certifikát CA zakódovaný PEM a soubory soukromého klíče a vraťte se do režimu konfigurace SSL.
A. (config-ssl[myDevice])> keyassoc localKeyAssoc vytvořit
b. (config-ssl-keyassoc[localKeyAssoc])> pem server.pem key.pem
C. (config-ssl-keyassoc[localKeyAssoc])> konec
d. (config-ssl[myDevice])>
8. Vstupte do režimu konfigurace skupiny certifikátů, vytvořte skupinu certifikátů CACertGroup, načtěte objekt certifikátu CACert a vraťte se do režimu konfigurace SSL.
A. (config-ssl[myDevice])> certgroup CACertGroup vytvořit
b. (config-ssl-certgroup[CACertGroup])> cert myCert
C. (config-ssl-certgroup[CACertGroup])> konec
d. (config-ssl[myDevice])>
9. Vstupte do režimu Konfigurace serveru, vytvořte logický zabezpečený server server1, přiřaďte IP adresu, porty SSL a prostý text, bezpečnostní politiku myPol, skupinu certifikátů CACertGroup, přidružení klíčů localKeyAssoc a ukončete režim nejvyšší úrovně. (config-ssl[myDevice])> server server1 vytvořit
A. (config-ssl-server[server1])> IP adresa 10.1.2.4 maska sítě 255.255.0.0
b. (config-ssl-server[server1])> sslport 443
C. (config-ssl-server[server1])> vzdálený port 81
d. (config-ssl-server[server1])> secpolicy myPol
E. (config-ssl-server[server1])> řetězec certgroup CACertGroup
F. (config-ssl-server[server1])> keyassoc localKeyAssoc
G. (config-ssl-server[server1])> konec
h. (config-ssl[myDevice])> end
i. (config[myDevice])> end
j. inxcfg>
10. Uložte konfiguraci do paměti flash. Pokud se neuloží, konfigurace se během cyklu napájení nebo při použití příkazu pro opětovné načtení ztratí.
A. inxcfg> napište flash myDevice
b. inxcfg>
