Dit zijn de stappen om Chained Certificates te installeren op een SonicWall SSL Offloader of Uploader. De term 'offloader' en 'uploader' verwijzen naar hetzelfde proces.
Alle SonicWall SSL-offloaders ondersteunen Chained Certificates. Met geketende certificaten kan een basiscertificaat het ondertekenen van certificaten delegeren aan meerdere vertrouwde certificaten, waardoor een vertrouwensketen ontstaat.
Aanvullende informatie over gekoppelde certificaten kan hier worden gevonden.
SSL.com biedt een breed scala aan SSL /TLS server certificaten voor HTTPS-websites, waaronder:
Wat je nodig zult hebben
1. Certificaatbestanden van SSL.com
2. Een teksteditor
3. OpenSSL.exe
4. SonicWall-configuratiemanager
We raden u ook aan om verder te lezen op SSL /TLS beveiligingscertificaten om een basisbegrip te krijgen en om vertrouwd te raken met de SonicWall-configuratiemanager.
Weergave op hoog niveau
1. Pak de certificaten uit.
a. Er verschijnen meerdere certificaten: de root, de tussenliggende en de servercertificaten
b. Deze worden later in de SonicWall SSL Offloader ingevoerd.
2. Start OpenSSL.
3. Open een teksteditor.
4. Kopieer en plak de tekst van de certificaatinformatie.
5. Ga verder met de instructieset van SonicWall.
6. Valideren en testen.
Processpecificaties:
OpenSSL: De nieuwste versie van OpenSSL is 3.0. Aanvullende informatie is te vinden op https://www.openssl.org/source/
1. Start OpenSSL.exe
2. De OpenSSL-applicatie is op hetzelfde tijdstip en op dezelfde locatie geïnstalleerd als de SonicWall Configuration Manager.
3. Een andere optie om toegang te krijgen tot OpenSSL is door Aangepaste installatie te kiezen.
Zodra OpenSSL is gestart:
1. Open het volgende:
a. Domein.ca-bundel.crt
b. Domein.crt
2. Kopieer en plak:
a. Kopieer en plak de volledige tekst inclusief
—– BEGIN CERTIFICAAT—–
en
—– EIND CERTIFICAAT—–
Het domein.crt-certificaat is het servercertificaat.
Het domein.ca-bundle.crt is het tussenliggende certificaat.
3. Sla deze bestanden op (C:server.pem en C:inter.pem)
a. Aanvullende informatie over pem-bestanden is hier beschikbaar: https://www.ssl.com/faqs/how-can-i-getmy-certificates-in-pem-format/
4. Controleer de certificaatinformatie met OpenSSL:
a. x509 -in C:server.pem -tekst
i. (en)
b. x509 -in C:inter.pem -tekst
Voorbeeld van procedurestroom
1. Met de juiste certificaten begint u met het laden van de certificaten in certificaatobjecten.
2. De afzonderlijke certificaatobjecten worden vervolgens in een certificaatgroep geladen.
3. Dit voorbeeld laat zien hoe u twee certificaten in afzonderlijke certificaatobjecten laadt, een certificaatgroep maakt en het gebruik van de groep als certificaatketen inschakelt.
a. De naam van het apparaat voor transactiebeveiliging is myDevice.
b. De naam van de beveiligde logische server is server1.
c. De naam van het PEM-gecodeerde, door CA gegenereerde certificaat is server.pem; de naam van het PEM-gecodeerde certificaat is inter.pem.
d. De namen van de herkende en lokale certificaatobjecten zijn respectievelijk trustCert en myCert.
e. De naam van de certificaatgroep is CACertGroup.
f. Start de configuratiemanager zoals beschreven in de handleiding.
4. Sluit de configuratiemanager aan en ga naar de configuratiemodus. (Als aan het apparaat een wachtwoord voor bijlagen of configuratieniveau is toegewezen, wordt u gevraagd eventuele wachtwoorden in te voeren.)
a. inxcfg> voeg mijn apparaat toe
b. inxcfg> mijn apparaat configureren
c. (config[mijnApparaat])>
5. Ga naar de SSL-configuratiemodus en maak een tussencertificaat met de naam CACert aan en ga naar de Certificaatconfiguratiemodus.
6. Laad het PEM-gecodeerde bestand in het certificaatobject en keer terug naar de SSL-configuratiemodus.
a. (config[mijnapparaat])> ssl
b. (config-ssl[myDevice])> cert myCert create
c. (config-ssl-cert[CACert])> pem inter.pem
d. (config-ssl-cert[CACert])> einde
e. (config-ssl[mijnApparaat])>
7. Ga naar de configuratiemodus voor sleutelassociatie, laad het PEM-gecodeerde CA-certificaat en de privésleutelbestanden en keer terug naar de SSL-configuratiemodus.
a. (config-ssl[myDevice])> keyassoc localKeyAssoc create
b. (config-ssl-keyassoc[localKeyAssoc])> pem server.pem key.pem
c. (config-ssl-keyassoc[localKeyAssoc])> einde
d. (config-ssl[mijnApparaat])>
8. Ga naar de configuratiemodus van de certificaatgroep, maak de certificaatgroep CACertGroup aan, laad het certificaatobject CACert en keer terug naar de SSL-configuratiemodus.
a. (config-ssl[myDevice])> certgroup CACertGroup create
b. (config-ssl-certgroup [CACertGroup])> cert myCert
c. (config-ssl-certgroup [CACertGroup])> einde
d. (config-ssl[mijnApparaat])>
9. Ga naar de serverconfiguratiemodus, maak de logische beveiligde serverserver1, wijs een IP-adres, SSL en clear-text-poorten toe, een beveiligingsbeleid myPol, de certificaatgroep CACertGroup, sleutelassociatie localKeyAssoc en ga naar de Top Level-modus. (config-ssl[mijn apparaat])> server server1 aanmaken
a. (config-ssl-server[server1])> ip-adres 10.1.2.4 netmasker 255.255.0.0
b. (config-ssl-server[server1])> sslport 443
c. (config-ssl-server[server1])> externe poort 81
d. (config-ssl-server[server1])> secpolicy myPol
e. (config-ssl-server[server1])> certgroup-keten CACertGroup
f. (config-ssl-server[server1])> keyassoc localKeyAssoc
g. (config-ssl-server[server1])> einde
h. (config-ssl[mijnapparaat])> einde
i. (config[mijnApparaat])> einde
j. inxcfg>
10. Sla de configuratie op in het flashgeheugen. Als het niet wordt opgeslagen, gaat de configuratie verloren tijdens een stroomcyclus of als het herlaadcommando wordt gebruikt.
a. inxcfg> schrijf flash myDevice
b. inxcfg>
