Oto kroki instalacji Chained Certificates w programie SonicWall SSL Offloader lub Uploader. Terminy „przejmujący” i „przesyłający” odnoszą się do tego samego procesu.
Wszystkie programy odciążające SonicWall SSL obsługują certyfikaty łańcuchowe. Certyfikaty łańcuchowe umożliwiają certyfikatowi głównemu delegowanie podpisywania certyfikatów do wielu zaufanych certyfikatów, tworząc łańcuch zaufania.
Dodatkowe informacje dotyczące Certyfikatów Łańcuchowych można znaleźć tutaj.
SSL.com zapewnia szeroką gamę domen SSL /TLS certyfikaty serwera dla witryn HTTPS, w tym:
Co będzie potrzebne
1. Pliki certyfikatów z SSL.com
2. Edytor tekstu
3. OpenSSL.exe
4. Menedżer konfiguracji SonicWall
Polecamy również przeczytać dalej SSL /TLS certyfikaty bezpieczeństwa uzyskać podstawową wiedzę i zapoznać się z Menedżer konfiguracji SonicWall.
Widok wysokiego poziomu
1. Rozpakuj certyfikaty.
a. Pojawi się wiele certyfikatów: główny, pośredni i certyfikaty serwera
b. Zostaną one wprowadzone później do programu SonicWall SSL Offloader.
2. Uruchom OpenSSL.
3. Otwórz edytor tekstu.
4. Skopiuj i wklej tekst informacji o certyfikacie.
5. Kontynuuj z zestawem instrukcji z SonicWall.
6. Zatwierdź i przetestuj.
Specyfika procesu
OpenSSL: Najnowsza wersja OpenSSL to 3.0. Dodatkowe informacje można znaleźć na stronie https://www.openssl.org/source/
1. Uruchom OpenSSL.exe
2. Aplikacja OpenSSL została zainstalowana w tym samym czasie i miejscu co SonicWall Configuration Manager.
3. Inną opcją dostępu do OpenSSL jest wybranie Instalacja niestandardowa.
Po uruchomieniu OpenSSL:
1. Otwórz następujące
a. Domena.ca-bundle.crt
b. Domena.crt
2. Kopiuj i wklej:
a. Skopiuj i wklej cały tekst, w tym
—– POCZĄTEK CERTYFIKATU––
i
—– WYŚLIJ CERTYFIKAT—–
Certyfikat domain.crt jest certyfikatem serwera.
Domena.ca-bundle.crt jest certyfikatem pośredniczącym.
3. Zapisz te pliki (C:server.pem i C:inter.pem)
a. Dodatkowe informacje dotyczące plików pem są dostępne tutaj: https://www.ssl.com/faqs/how-can-i-getmy-certificates-in-pem-format/
4. Zweryfikuj informacje o certyfikacie za pomocą OpenSSL:
a. x509 -in C:server.pem -tekst
i. (oraz)
b. x509 -w C:inter.pem -tekst
Przykład przebiegu procedury
1. Mając odpowiednie certyfikaty, zacznij od załadowania certyfikatów do obiektów certyfikatów.
2. Oddzielne obiekty certyfikatów są następnie ładowane do grupy certyfikatów.
3. W tym przykładzie pokazano, jak załadować dwa certyfikaty do poszczególnych obiektów certyfikatów, utworzyć grupę certyfikatów i włączyć użycie grupy jako łańcucha certyfikatów.
a. Nazwa urządzenia zabezpieczającego transakcję to myDevice.
b. Nazwa bezpiecznego serwera logicznego to server1.
c. Nazwa certyfikatu zakodowanego w formacie PEM i wygenerowanego przez CA to server.pem; nazwa certyfikatu zakodowanego w formacie PEM to inter.pem.
d. Nazwy rozpoznanych i lokalnych obiektów certyfikatów to odpowiednio trustCert i myCert.
mi. Nazwa grupy certyfikatów to CACertGroup.
f. Uruchom menedżera konfiguracji zgodnie z opisem w instrukcji.
4. Dołącz menedżera konfiguracji i wejdź w tryb konfiguracji. (Jeśli do urządzenia przypisane jest hasło poziomu przyłączenia lub konfiguracji, pojawi się monit o wprowadzenie haseł).
a. inxcfg> dołącz moje urządzenie
b. inxcfg> skonfiguruj mojeUrządzenie
c. (config[mojeUrządzenie])>
5. Wejdź w tryb konfiguracji SSL i utwórz certyfikat pośredni o nazwie CACert, wchodząc w tryb konfiguracji certyfikatu.
6. Załaduj plik zakodowany w formacie PEM do obiektu certyfikatu i wróć do trybu konfiguracji SSL.
a. (config[mojeUrządzenie])> ssl
b. (config-ssl[myDevice])> cert myCert create
c. (config-ssl-cert[CACert])> pem inter.pem
d. (config-ssl-cert[CACert])> koniec
mi. (config-ssl[mojeUrządzenie])>
7. Przejdź do trybu konfiguracji skojarzeń kluczy, załaduj certyfikat CA zakodowany w formacie PEM i pliki kluczy prywatnych, a następnie wróć do trybu konfiguracji SSL.
a. (config-ssl[mojeUrządzenie])> keyassoc localKeyAssoc create
b. (config-ssl-keyassoc[localKeyAssoc])> pem server.pem key.pem
c. (config-ssl-keyassoc[localKeyAssoc])> end
d. (config-ssl[mojeUrządzenie])>
8. Przejdź do trybu konfiguracji grupy certyfikatów, utwórz grupę certyfikatów CACertGroup, załaduj obiekt certyfikatu CACert i wróć do trybu konfiguracji SSL.
a. (config-ssl[mojeUrządzenie])> certgroup CACertGroup utwórz
b. (config-ssl-certgroup[CACertGroup])> cert myCert
c. (config-ssl-certgroup[CACertGroup])> end
d. (config-ssl[mojeUrządzenie])>
9. Przejdź do trybu konfiguracji serwera, utwórz logiczny bezpieczny serwer server1, przypisz adres IP, porty SSL i czystego tekstu, politykę bezpieczeństwa myPol, grupę certyfikatów CACertGroup, powiązanie kluczy localKeyAssoc i wyjdź do trybu najwyższego poziomu. (config-ssl[mojeUrządzenie])> serwer server1 utwórz
a. (config-ssl-server[server1])> adres ip 10.1.2.4 maska sieci 255.255.0.0
b. (config-ssl-server[server1])> sslport 443
c. (config-ssl-server[server1])> port zdalny 81
d. (config-ssl-server[server1])> secpolicy myPol
mi. (config-ssl-server[server1])> łańcuch grupy certyfikatów CACertGroup
f. (config-ssl-server[server1])> keyassoc localKeyAssoc
g. (config-ssl-server[server1])> koniec
h. (config-ssl[mojeUrządzenie])> koniec
i. (config[mojeUrządzenie])> koniec
j. inxcfg>
10. Zapisz konfigurację w pamięci flash. Jeśli nie zostanie zapisany, konfiguracja zostanie utracona podczas cyklu zasilania lub w przypadku użycia polecenia przeładowania.
a. inxcfg> napisz flash myDevice
b. inxcfg>
