Αυτά είναι τα βήματα για την εγκατάσταση Αλυσιδωμένων Πιστοποιητικών σε SonicWall SSL Offloader ή Uploader. Οι όροι "offloader" και "uploader" αναφέρονται στην ίδια διαδικασία.
Όλα τα SonicWall SSL Offloaders υποστηρίζουν Chained Certificates. Τα αλυσιδωτά πιστοποιητικά επιτρέπουν σε ένα πιστοποιητικό ρίζας να εκχωρεί την υπογραφή πιστοποιητικού σε πολλά αξιόπιστα πιστοποιητικά δημιουργώντας μια αλυσίδα αξιοπιστίας.
Πρόσθετες πληροφορίες σχετικά με τα Αλυσιδωτά Πιστοποιητικά μπορεί να βρεθεί εδώ.
Το SSL.com παρέχει μια μεγάλη ποικιλία SSL /TLS πιστοποιητικά διακομιστή για ιστότοπους HTTPS, όπως:
Τι θα χρειαστείτε
1. Αρχεία πιστοποιητικών από το SSL.com
2. Ένας επεξεργαστής κειμένου
3. OpenSSL.exe
4. SonicWall Configuration Manager
Θα συνιστούσαμε επίσης να διαβάσετε παρακάτω SSL /TLS πιστοποιητικά ασφαλείας για να αποκτήσετε μια βασική κατανόηση και να εξοικειωθείτε με το SonicWall Configuration Manager.
Προβολή υψηλού επιπέδου
1. Αποσυμπιέστε τα πιστοποιητικά.
ένα. Θα εμφανιστούν πολλαπλά πιστοποιητικά: τα πιστοποιητικά Root, τα Intermediate και τα Certificate διακομιστή
σι. Αυτά θα εισαχθούν αργότερα στο SonicWall SSL Offloader.
2. Εκκινήστε το OpenSSL.
3. Ανοίξτε ένα πρόγραμμα επεξεργασίας κειμένου.
4. Αντιγράψτε και επικολλήστε το κείμενο των πληροφοριών του πιστοποιητικού.
5. Συνεχίστε με το σετ οδηγιών από το SonicWall.
6. Επικύρωση και δοκιμή.
Προδιαγραφές διαδικασίας
OpenSSL: Η πιο πρόσφατη έκδοση του OpenSSL είναι η 3.0. Μπορείτε να βρείτε πρόσθετες πληροφορίες μεταβαίνοντας στη διεύθυνση https://www.openssl.org/source/
1. Εκκινήστε το OpenSSL.exe
2. Η εφαρμογή OpenSSL εγκαταστάθηκε την ίδια στιγμή και τοποθεσία με το SonicWall Configuration Manager.
3. Μια άλλη επιλογή για πρόσβαση στο OpenSSL είναι επιλέγοντας Προσαρμοσμένη εγκατάσταση.
Μόλις ξεκινήσει το OpenSSL:
1. Ανοίξτε τα παρακάτω
ένα. Domain.ca-bundle.crt
σι. Domain.crt
2. Αντιγραφή και επικόλληση:
ένα. Αντιγράψτε και επικολλήστε ολόκληρο το κείμενο συμπεριλαμβανομένων
—–BEGIN ΠΙΣΤΟΠΟΙΗΤΙΚΟ—–
και
—–END ΠΙΣΤΟΠΟΙΗΤΙΚΟ—–
Το πιστοποιητικό domain.crt είναι το πιστοποιητικό διακομιστή.
Το domain.ca-bundle.crt είναι το ενδιάμεσο πιστοποιητικό.
3. Αποθηκεύστε αυτά τα αρχεία (C:server.pem και C:inter.pem)
ένα. Πρόσθετες πληροφορίες σχετικά με τα αρχεία pem είναι διαθέσιμες εδώ: https://www.ssl.com/faqs/how-can-i-getmy-certificates-in-pem-format/
4. Επαληθεύστε τις πληροφορίες πιστοποιητικού με το OpenSSL:
ένα. x509 -σε C:server.pem -κείμενο
Εγώ. (και)
σι. x509 -σε C:inter.pem -κείμενο
Παράδειγμα ροής διαδικασίας
1. Με τα κατάλληλα πιστοποιητικά, ξεκινήστε φορτώνοντας τα πιστοποιητικά σε αντικείμενα πιστοποιητικού.
2. Στη συνέχεια, τα ξεχωριστά αντικείμενα πιστοποιητικού φορτώνονται σε μια ομάδα πιστοποιητικών.
3. Αυτό το παράδειγμα δείχνει πώς μπορείτε να φορτώσετε δύο πιστοποιητικά σε μεμονωμένα αντικείμενα πιστοποιητικών, να δημιουργήσετε μια ομάδα πιστοποιητικών και να ενεργοποιήσετε τη χρήση της ομάδας ως αλυσίδα πιστοποιητικών.
ένα. Το όνομα της συσκευής ασφάλειας συναλλαγών είναι myDevice.
σι. Το όνομα του ασφαλούς λογικού διακομιστή είναι server1.
ντο. Το όνομα του πιστοποιητικού που έχει δημιουργηθεί με κωδικοποίηση PEM είναι server.pem. το όνομα του πιστοποιητικού με κωδικοποίηση PEM είναι inter.pem.
ρε. Τα ονόματα των αναγνωρισμένων και τοπικών αντικειμένων πιστοποιητικού είναι trustedCert και myCert, αντίστοιχα.
μι. Το όνομα της ομάδας πιστοποιητικών είναι CACertGroup.
φά. Εκκινήστε το πρόγραμμα διαχείρισης παραμέτρων όπως περιγράφεται στο εγχειρίδιο.
4. Συνδέστε το configuration manager και μεταβείτε στη λειτουργία Configuration. (Εάν έχει εκχωρηθεί κωδικός πρόσβασης σε επίπεδο επισύναψης ή διαμόρφωσης στη συσκευή, θα σας ζητηθεί να εισαγάγετε τυχόν κωδικούς πρόσβασης.)
ένα. inxcfg> επισυνάψτε το myDevice
σι. inxcfg> configure myDevice
ντο. (config[myDevice])>
5. Εισαγάγετε τη λειτουργία διαμόρφωσης SSL και δημιουργήστε ένα ενδιάμεσο πιστοποιητικό με το όνομα CACert, μπαίνοντας στη λειτουργία διαμόρφωσης πιστοποιητικού.
6. Φορτώστε το αρχείο με κωδικοποίηση PEM στο αντικείμενο πιστοποιητικού και επιστρέψτε στη λειτουργία διαμόρφωσης SSL.
ένα. (config[myDevice])> ssl
σι. (config-ssl[myDevice])> πιστοποιητικό myCert δημιουργία
ντο. (config-ssl-cert[CACert])> pem inter.pem
ρε. (config-ssl-cert[CACert])> τέλος
μι. (config-ssl[myDevice])>
7. Εισαγάγετε τη λειτουργία ρύθμισης παραμέτρων συσχέτισης κλειδιών, φορτώστε το πιστοποιητικό CA με κωδικοποίηση PEM και τα αρχεία ιδιωτικού κλειδιού και επιστρέψτε στη λειτουργία διαμόρφωσης SSL.
ένα. (config-ssl[myDevice])> keyassoc localKeyAssoc δημιουργία
σι. (config-ssl-keyassoc[localKeyAssoc])> pem server.pem key.pem
ντο. (config-ssl-keyassoc[localKeyAssoc])> τέλος
ρε. (config-ssl[myDevice])>
8. Μπείτε στη λειτουργία διαμόρφωσης ομάδας πιστοποιητικών, δημιουργήστε την ομάδα πιστοποιητικών CACertGroup, φορτώστε το αντικείμενο πιστοποιητικού CACert και επιστρέψτε στη λειτουργία διαμόρφωσης SSL.
ένα. (config-ssl[myDevice])> certgroup CACertGroup δημιουργία
σι. (config-ssl-certgroup[CACertGroup])> cert myCert
ντο. (config-ssl-certgroup[CACertGroup])> τέλος
ρε. (config-ssl[myDevice])>
9. Μπείτε στη λειτουργία διαμόρφωσης διακομιστή, δημιουργήστε τον λογικό ασφαλή διακομιστή διακομιστή1, εκχωρήστε μια διεύθυνση IP, SSL και θύρες διαγραφής κειμένου, μια πολιτική ασφαλείας myPol, την ομάδα πιστοποιητικών CACertGroup, τη συσχέτιση κλειδιών localKeyAssoc και πραγματοποιήστε έξοδο στη λειτουργία ανώτατου επιπέδου. (config-ssl[myDevice])> διακομιστής διακομιστή1 δημιουργία
ένα. (config-ssl-server[server1])> διεύθυνση IP 10.1.2.4 μάσκα δικτύου 255.255.0.0
σι. (config-ssl-server[server1])> sslport 443
ντο. (config-ssl-server[server1])> remoteport 81
ρε. (config-ssl-server[server1])> secpolicy myPol
μι. (config-ssl-server[server1])> certgroup αλυσίδα CACertGroup
φά. (config-ssl-server[server1])> keyassoc localKeyAssoc
σολ. (config-ssl-server[server1])> τέλος
η. (config-ssl[myDevice])> τέλος
Εγώ. (config[myDevice])> τέλος
ι. inxcfg>
10. Αποθηκεύστε τη διαμόρφωση στη μνήμη flash. Εάν δεν αποθηκευτεί, η διαμόρφωση χάνεται κατά τη διάρκεια ενός κύκλου ισχύος ή εάν χρησιμοποιηθεί η εντολή επαναφόρτωσης.
ένα. inxcfg> γράψτε το flash myDevice
σι. inxcfg>
