นี่คือขั้นตอนในการติดตั้ง Chained Certificates บน SonicWall SSL Offloader หรือ Uploader คำว่า 'offloader' และ 'uploader' หมายถึงกระบวนการเดียวกัน
SonicWall SSL Offloaders ทั้งหมดรองรับใบรับรองที่ถูกล่ามโซ่ ใบรับรองแบบผูกมัดช่วยให้ใบรับรองหลักสามารถมอบสิทธิ์การลงนามใบรับรองให้กับใบรับรองที่เชื่อถือได้หลายรายการเพื่อสร้างสายใยแห่งความเชื่อถือ
ข้อมูลเพิ่มเติมเกี่ยวกับใบรับรองที่ถูกล่ามโซ่ สามารถพบได้ที่นี่
SSL.com มีไฟล์ SSL /TLS ใบรับรองเซิร์ฟเวอร์ สำหรับเว็บไซต์ HTTPS ได้แก่ :
สิ่งที่คุณต้องการ
2. โปรแกรมแก้ไขข้อความ
3. OpenSSL.exe
4. SonicWall ตัวจัดการการกำหนดค่า
นอกจากนี้เรายังแนะนำให้อ่านเพิ่มเติมเกี่ยวกับ SSL /TLS ใบรับรองความปลอดภัย เพื่อทำความเข้าใจพื้นฐาน และทำความคุ้นเคยกับ ตัวจัดการการกำหนดค่า SonicWall.
มุมมองระดับสูง
1. เปิดเครื่องรูดใบรับรอง
ก. ใบรับรองหลายรายการจะปรากฏขึ้น: รูท ตัวกลาง และใบรับรองเซิร์ฟเวอร์
ข. สิ่งเหล่านี้จะถูกป้อนลงใน SonicWall SSL Offloader ในภายหลัง
2. เปิด OpenSSL
3. เปิดตัวแก้ไขข้อความ
4. คัดลอกและวางข้อความของข้อมูลใบรับรอง
5. ดำเนินการต่อด้วยชุดคำสั่งจาก SonicWall
6. ตรวจสอบและทดสอบ
ข้อมูลจำเพาะของกระบวนการ
OpenSSL: OpenSSL เวอร์ชันล่าสุดคือ 3.0 สามารถดูข้อมูลเพิ่มเติมได้โดยเข้าไปที่ https://www.openssl.org/source/
1. เปิด OpenSSL.exe
2. แอปพลิเคชัน OpenSSL ได้รับการติดตั้งในเวลาและสถานที่เดียวกับ SonicWall Configuration Manager
3. อีกทางเลือกหนึ่งในการเข้าถึง OpenSSL คือการเลือก Custom Installation
เมื่อเปิดตัว OpenSSL:
1. เปิดรายการต่อไปนี้
ก. Domain.ca-bundle.crt
ข. Domain.crt
2. คัดลอกและวาง:
ก. คัดลอกและวางข้อความทั้งหมดรวมทั้ง
—–BEGIN ใบรับรอง—–
และ
—–END ใบรับรอง -
ใบรับรอง domain.crt เป็นใบรับรองเซิร์ฟเวอร์
domain.ca-bundle.crt เป็นใบรับรองตัวกลาง
3. บันทึกไฟล์เหล่านี้ (C:server.pem และ C:inter.pem)
ก. ดูข้อมูลเพิ่มเติมเกี่ยวกับไฟล์ pem ได้ที่นี่: https://www.ssl.com/faqs/how-can-i-getmy-certificates-in-pem-format/
4. ตรวจสอบข้อมูลใบรับรองด้วย OpenSSL:
ก. x509 -in C:server.pem -text
ผม. (และ)
ข. x509 -in C:inter.pem -text
ตัวอย่างการไหลของขั้นตอน
1. ด้วยใบรับรองที่เหมาะสม ให้เริ่มต้นด้วยการโหลดใบรับรองลงในวัตถุใบรับรอง
2. จากนั้นโหลดออบเจ็กต์ใบรับรองแยกต่างหากลงในกลุ่มใบรับรอง
3. ตัวอย่างนี้สาธิตวิธีการโหลดใบรับรองสองใบลงในแต่ละออบเจ็กต์ใบรับรอง สร้างกลุ่มใบรับรอง และเปิดใช้งานการใช้กลุ่มเป็นสายใบรับรอง
ก. ชื่ออุปกรณ์ความปลอดภัยธุรกรรมคือ myDevice
ข. ชื่อของเซิร์ฟเวอร์โลจิคัลที่ปลอดภัยคือ server1
ค. ชื่อของใบรับรองที่เข้ารหัส PEM ซึ่งสร้างโดย CA คือ server.pem ชื่อของใบรับรองที่เข้ารหัส PEM คือ inter.pem
ง. ชื่อของวัตถุใบรับรองที่รู้จักและในเครื่องเป็น trustedCert และ myCert ตามลำดับ
อี ชื่อของกลุ่มใบรับรองคือ CACertGroup
ฉ เริ่มตัวจัดการการกำหนดค่าตามที่อธิบายไว้ในคู่มือ
4. แนบตัวจัดการการกำหนดค่าและเข้าสู่โหมดการกำหนดค่า (หากมีการกำหนดรหัสผ่านระดับการแนบหรือการกำหนดค่าให้กับอุปกรณ์ คุณจะได้รับแจ้งให้ป้อนรหัสผ่าน)
ก. inxcfg> แนบ myDevice
ข. inxcfg> กำหนดค่า myDevice
ค. (config[myDevice])>
5. เข้าสู่โหมดการกำหนดค่า SSL และสร้างใบรับรองตัวกลางชื่อ CACert เข้าสู่โหมดการกำหนดค่าใบรับรอง
6. โหลดไฟล์ที่เข้ารหัส PEM ลงในออบเจ็กต์ใบรับรองและกลับสู่โหมดการกำหนดค่า SSL
ก. (config[myDevice])> ssl
ข. (config-ssl[myDevice])> ใบรับรอง myCert create
ค. (config-ssl-cert[CACert])> pem inter.pem
ง. (config-ssl-cert[CACert])> end
อี (config-ssl[myDevice])>
7. เข้าสู่โหมดการกำหนดค่าการเชื่อมโยงคีย์ โหลดใบรับรอง CA ที่เข้ารหัส PEM และไฟล์คีย์ส่วนตัว และกลับสู่โหมดการกำหนดค่า SSL
ก. (config-ssl[myDevice])> keyassoc localKeyAssoc create
ข. (config-ssl-keyassoc[localKeyAssoc])> pem server.pem key.pem
ค. (config-ssl-keyassoc[localKeyAssoc])> end
ง. (config-ssl[myDevice])>
8. เข้าสู่โหมดการกำหนดค่ากลุ่มใบรับรอง สร้างกลุ่มใบรับรอง CACertGroup โหลดวัตถุใบรับรอง CACert และกลับสู่โหมดการกำหนดค่า SSL
ก. (config-ssl[myDevice])> certgroup CACertGroup create
ข. (config-ssl-certgroup[CACertGroup])> ใบรับรอง myCert
ค. (config-ssl-certgroup[CACertGroup])> end
ง. (config-ssl[myDevice])>
9. เข้าสู่โหมดการกำหนดค่าเซิร์ฟเวอร์ สร้างเซิร์ฟเวอร์เซิร์ฟเวอร์ที่ปลอดภัยเชิงตรรกะ1 กำหนดที่อยู่ IP, SSL และพอร์ตข้อความที่ชัดเจน, นโยบายความปลอดภัย myPol, กลุ่มใบรับรอง CACertGroup, การเชื่อมโยงคีย์ localKeyAssoc และออกจากโหมดระดับบนสุด (config-ssl[myDevice])> เซิร์ฟเวอร์ เซิร์ฟเวอร์ 1 สร้าง
ก. (config-ssl-server[server1])> ที่อยู่ IP 10.1.2.4 netmask 255.255.0.0
ข. (config-ssl-server[server1])> sslport 443
ค. (config-ssl-server[server1])> remoteport 81
ง. (config-ssl-server[server1])> secpolicy myPol
อี (config-ssl-server[server1])> certgroup chain CACertGroup
ฉ. (config-ssl-server[server1])> keyassoc localKeyAssoc
กรัม (config-ssl-server[server1])> end
ชม. (config-ssl[myDevice])> end
ผม. (config[myDevice])> end
เจ inxcfg>
10. บันทึกการกำหนดค่าลงในหน่วยความจำแฟลช หากไม่ได้บันทึก การกำหนดค่าจะสูญหายระหว่างรอบการจ่ายไฟหรือหากใช้คำสั่งโหลดซ้ำ
ก. inxcfg> เขียนแฟลช myDevice
ข. inxcfg>