Dette er trinene til at installere kædede certifikater på en SonicWall SSL Offloader eller Uploader. Udtrykket 'offloader' og 'uploader' refererer til den samme proces.
Alle SonicWall SSL Offloaders understøtter kædede certifikater. Kædede certifikater giver mulighed for et rodcertifikat til at delegere certifikatsignering til flere betroede certifikater, der skaber en tillidskæde.
Yderligere oplysninger om kædede certifikater kan findes her.
SSL.com tilbyder en bred vifte af SSL /TLS servercertifikater til HTTPS-websteder, herunder:
Hvad du skal bruge
1. Certifikatfiler fra SSL.com
2. En teksteditor
3. OpenSSL.exe
4. SonicWall Configuration Manager
Vi vil også anbefale at læse op på SSL /TLS sikkerhedscertifikater at få en grundlæggende forståelse, og at sætte dig ind i SonicWall Configuration Manager.
Udsigt på højt niveau
1. Pak certifikaterne ud.
en. Der vises flere certifikater: rod-, mellem- og servercertifikaterne
b. Disse vil blive indtastet senere i SonicWall SSL Offloader.
2. Start OpenSSL.
3. Åbn en teksteditor.
4. Kopiér og indsæt teksten i certifikatoplysningerne.
5. Fortsæt med instruktionssættet fra SonicWall.
6. Valider og test.
Processpecifikationer
OpenSSL: Den seneste version af OpenSSL er 3.0. Yderligere oplysninger kan findes ved at gå til https://www.openssl.org/source/
1. Start OpenSSL.exe
2. OpenSSL-applikationen blev installeret på samme tid og sted som SonicWall Configuration Manager.
3. En anden mulighed for at få adgang til OpenSSL er ved at vælge Custom Installation.
Når OpenSSL er lanceret:
1. Åbn følgende
en. Domain.ca-bundle.crt
b. Domain.crt
2. Kopiér og indsæt:
en. Kopier og indsæt hele teksten inklusive
—–BEGIN CERTIFIKAT—–
,
—–END CERTIFIKAT—–
Domain.crt-certifikatet er servercertifikatet.
Domænet.ca-bundle.crt er formidlercertifikatet.
3. Gem disse filer (C:server.pem og C:inter.pem)
en. Yderligere information om pem-filer er tilgængelig her: https://www.ssl.com/faqs/how-can-i-getmy-certificates-in-pem-format/
4. Bekræft certifikatoplysningerne med OpenSSL:
en. x509 -i C:server.pem -tekst
jeg. (og)
b. x509 -in C:inter.pem -tekst
Eksempel på procedureflow
1. Med de rigtige certifikater, start med at indlæse certifikaterne i certifikatobjekter.
2. De separate certifikatobjekter indlæses derefter i en certifikatgruppe.
3. Dette eksempel viser, hvordan man indlæser to certifikater i individuelle certifikatobjekter, opretter en certifikatgruppe og aktiverer brugen af gruppen som en certifikatkæde.
en. Navnet på transaktionssikkerhedsenheden er myDevice.
b. Navnet på den sikre logiske server er server1.
c. Navnet på det PEM-kodede, CA-genererede certifikat er server.pem; navnet på det PEM-kodede certifikat er inter.pem.
d. Navnene på de genkendte og lokale certifikatobjekter er henholdsvis trustedCert og myCert.
e. Navnet på certifikatgruppen er CACertGroup.
f. Start konfigurationshåndteringen som beskrevet i manualen.
4. Tilslut konfigurationsstyringen, og gå ind i konfigurationstilstand. (Hvis der er tildelt en adgangskode på vedhæftnings- eller konfigurationsniveau til enheden, bliver du bedt om at indtaste adgangskoder.)
en. inxcfg> attach myDevice
b. inxcfg> konfigurer minDevice
c. (config[minenhed])>
5. Gå ind i SSL-konfigurationstilstand og opret et mellemliggende certifikat ved navn CACert, og gå ind i certifikatkonfigurationstilstand.
6. Indlæs den PEM-kodede fil i certifikatobjektet og vend tilbage til SSL-konfigurationstilstand.
en. (config[minenhed])> ssl
b. (config-ssl[myDevice])> cert myCert create
c. (config-ssl-cert[CACert])> pem inter.pem
d. (config-ssl-cert[CACert])> slut
e. (config-ssl[minenhed])>
7. Gå ind i Key Association Configuration mode, indlæs det PEM-kodede CA-certifikat og private nøglefiler, og vend tilbage til SSL Configuration mode.
en. (config-ssl[minDevice])> keyassoc localKeyAssoc oprette
b. (config-ssl-keyassoc[localKeyAssoc])> pem server.pem key.pem
c. (config-ssl-keyassoc[localKeyAssoc])> ende
d. (config-ssl[minenhed])>
8. Gå ind i certifikatgruppekonfigurationstilstand, opret certifikatgruppen CACertGroup, indlæs certifikatobjektet CACert, og vend tilbage til SSL-konfigurationstilstand.
en. (config-ssl[myDevice])> certgroup CACertGroup oprette
b. (config-ssl-certgroup[CACertGroup])> cert myCert
c. (config-ssl-certgroup[CACertGroup])> slut
d. (config-ssl[minenhed])>
9. Gå ind i serverkonfigurationstilstand, opret den logiske sikre serverserver1, tildel en IP-adresse, SSL og klare tekstporte, en sikkerhedspolitik myPol, certifikatgruppen CACertGroup, nøgletilknytning localKeyAssoc, og afslut til topniveautilstand. (config-ssl[minenhed])> server server1 opret
en. (config-ssl-server[server1])> ip-adresse 10.1.2.4 netmaske 255.255.0.0
b. (config-ssl-server[server1])> sslport 443
c. (config-ssl-server[server1])> fjernport 81
d. (config-ssl-server[server1])> secpolicy myPol
e. (config-ssl-server[server1])> certgroup kæde CACertGroup
f. (config-ssl-server[server1])> keyassoc localKeyAssoc
g. (config-ssl-server[server1])> slut
h. (config-ssl[minenhed])> ende
jeg. (config[myDevice])> end
j. inxcfg>
10. Gem konfigurationen i flash-hukommelsen. Hvis den ikke gemmes, går konfigurationen tabt under en strømcyklus, eller hvis genindlæsningskommandoen bruges.
en. inxcfg> skriv flash myDevice
b. inxcfg>
