Voici les étapes pour installer des certificats chaînés sur un déchargeur ou un téléchargeur SSL SonicWall. Les termes 'offloader' et 'uploader' font référence au même processus.
Tous les déchargeurs SSL SonicWall prennent en charge les certificats chaînés. Les certificats chaînés permettent à un certificat racine de déléguer la signature de certificats à plusieurs certificats de confiance créant une chaîne de confiance.
Informations supplémentaires concernant les certificats chaînés peuvent être trouvés ici.
SSL.com fournit une grande variété de SSL /TLS certificats de serveur pour les sites Web HTTPS, y compris:
Ce dont tu auras besoin
1. Fichiers de certificat de SSL.com
2. Un éditeur de texte
3. OpenSSL.exe
4. Gestionnaire de configuration SonicWall
Nous vous recommandons également de lire sur SSL /TLS certificats de sécurité d'acquérir une compréhension de base et de vous familiariser avec les Gestionnaire de configuration SonicWall.
Vue de haut niveau
1. Décompressez les certificats.
un. Plusieurs certificats apparaîtront : la racine, l'intermédiaire et les certificats de serveur
b. Ceux-ci seront saisis ultérieurement dans le SonicWall SSL Offloader.
2. Lancez OpenSSL.
3. Ouvrez un éditeur de texte.
4. Copiez et collez le texte des informations du certificat.
5. Continuez avec le jeu d'instructions de SonicWall.
6. Validez et testez.
Spécificités du processus
OpenSSL : La dernière version d'OpenSSL est la 3.0. Des informations supplémentaires peuvent être trouvées en accédant à https://www.openssl.org/source/
1. Lancez OpenSSL.exe
2. L'application OpenSSL a été installée au même moment et au même endroit que SonicWall Configuration Manager.
3. Une autre option pour accéder à OpenSSL consiste à choisir une installation personnalisée.
Une fois OpenSSL lancé :
1. Ouvrez le
un. Domaine.ca-bundle.crt
b. Domaine.crt
2. Copiez et collez :
un. Copiez et collez tout le texte, y compris
—–BEGIN CERTIFICAT—–
et
—–END CERTIFICAT—–
Le certificat domain.crt est le certificat du serveur.
Le domaine.ca-bundle.crt est le certificat intermédiaire.
3. Enregistrez ces fichiers (C:server.pem et C:inter.pem)
un. Des informations supplémentaires concernant les fichiers pem sont disponibles ici : https://www.ssl.com/faqs/how-can-i-getmy-certificates-in-pem-format/
4. Vérifiez les informations du certificat avec OpenSSL :
un. x509 -in C:server.pem -text
je. (et)
b. x509 -in C:inter.pem -texte
Exemple de flux de procédure
1. Avec les certificats appropriés, commencez par charger les certificats dans des objets de certificat.
2. Les objets de certificat séparés sont ensuite chargés dans un groupe de certificats.
3. Cet exemple montre comment charger deux certificats dans des objets de certificat individuels, créer un groupe de certificats et activer l'utilisation du groupe en tant que chaîne de certificats.
un. Le nom du périphérique de sécurité des transactions est myDevice.
b. Le nom du serveur logique sécurisé est server1.
c. Le nom du certificat généré par l'autorité de certification encodé PEM est server.pem ; le nom du certificat codé PEM est inter.pem.
ré. Les noms des objets de certificat reconnus et locaux sont respectivement trustedCert et myCert.
e. Le nom du groupe de certificats est CACertGroup.
F. Démarrez le gestionnaire de configuration comme décrit dans le manuel.
4. Attachez le gestionnaire de configuration et passez en mode Configuration. (Si un mot de passe de niveau connexion ou configuration est attribué au périphérique, vous êtes invité à saisir les mots de passe.)
un. inxcfg> attacher mon appareil
b. inxcfg> configurer mon appareil
c. (config[monAppareil])>
5. Entrez en mode de configuration SSL et créez un certificat intermédiaire nommé CACert, en entrant en mode de configuration de certificat.
6. Chargez le fichier codé PEM dans l'objet de certificat et revenez au mode de configuration SSL.
un. (config[monAppareil])> ssl
b. (config-ssl[myDevice])> cert myCert créer
c. (config-ssl-cert[CACert])> pem inter.pem
ré. (config-ssl-cert[CACert])> fin
e. (config-ssl[monAppareil])>
7. Passez en mode de configuration d'association de clé, chargez le certificat CA codé PEM et les fichiers de clé privée, puis revenez au mode de configuration SSL.
un. (config-ssl[myDevice])> keyassoc localKeyAssoc créer
b. (config-ssl-keyassoc[localKeyAssoc])> pem serveur.pem clé.pem
c. (config-ssl-keyassoc[localKeyAssoc])> fin
ré. (config-ssl[monAppareil])>
8. Passez en mode de configuration du groupe de certificats, créez le groupe de certificats CACertGroup, chargez l'objet de certificat CACert et revenez au mode de configuration SSL.
un. (config-ssl[myDevice])> certgroup CACertGroup créer
b. (config-ssl-certgroup[CACertGroup])> cert myCert
c. (config-ssl-certgroup[CACertGroup])> fin
ré. (config-ssl[monAppareil])>
9. Entrez en mode de configuration du serveur, créez le serveur logique sécurisé server1, attribuez une adresse IP, des ports SSL et en texte clair, une politique de sécurité myPol, le groupe de certificats CACertGroup, l'association de clés localKeyAssoc et quittez le mode Top Level. (config-ssl[myDevice])> serveur serveur1 créer
un. (config-ssl-server[server1])> adresse IP 10.1.2.4 masque de réseau 255.255.0.0
b. (config-ssl-server[serveur1])> sslport 443
c. (config-ssl-server[serveur1])> port distant 81
ré. (config-ssl-server[server1])> secpolicy myPol
e. (config-ssl-server[server1])> chaîne certgroup CACertGroup
F. (config-ssl-server[server1])> keyassoc localKeyAssoc
g. (config-ssl-server[serveur1])> fin
h. (config-ssl[myDevice])> fin
je. (config[myDevice])> fin
J. inxcfg>
10. Enregistrez la configuration dans la mémoire flash. Si elle n'est pas enregistrée, la configuration est perdue lors d'un cycle d'alimentation ou si la commande de rechargement est utilisée.
un. inxcfg> écrire flash myDevice
b. inxcfg>
