Avant de créer un certificat client, vous devez créer un certificat d’autorité de certification qui peut être utilisé comme certificat d’autorité de certification racine pour signer les certificats clients. Pour créer un certificat d’autorité de certification pour le serveur désigné comme serveur d’autorité de certification SSL, procédez comme suit:
- Générer une Clé Privée pour le Certificat d’Autorité de certification
- Créer un Certificat d’Autorité de Certification à l’aide de la Clé Privée
- Importer le Certificat d’Autorité de Certification dans le Pare-feu d’Application Web Barracuda
- Activer l’Authentification Client sur le Pare-feu d’Application Web Barracuda
- Créer un Certificat Client
- Convertir le fichier PEM au Format PKCS #12
- Importer le certificat Client dans le navigateur
- Étape 1 – Générer une clé privée pour le certificat d’autorité de certification
- Étape 2 – Créez un certificat d’autorité de certification à l’aide de la clé privée
- Étape 3 – Importez le certificat d’autorité de certification dans le Pare-feu d’application Web Barracuda
- Étape 4 – Activer l’authentification client sur le pare-feu d’applications Web Barracuda
- Étapes pour activer l’authentification du client:
- Étape 5 – Créer un certificat client
- Étape 6 – Conversion du fichier PEM au format PKCS # 12
- Étape 7 – Importez le certificat client dans le navigateur
Étape 1 – Générer une clé privée pour le certificat d’autorité de certification
Pour générer une clé pour un certificat d’autorité de certification, exécutez la commande openssl suivante sur votre serveur :
openssl genrsa 2048 > clé ca.pem
Cela génère une clé privée « ca-key » au format PEM.
Étape 2 – Créez un certificat d’autorité de certification à l’aide de la clé privée
Utilisez la clé privée générée à l’étape 1 pour créer le certificat d’autorité de certification pour le serveur. La commande openssl pour générer un certificat d’autorité de certification est la suivante :
openssl req-new-x509-nodes-days 1000-key ca-key.pem > ca-cert.pem
Vous serez invité à fournir certaines informations qui seront saisies dans le certificat. Voir l’exemple ci-dessous:
Nom du pays (code à 2 lettres): États-Unis
Nom de l’État ou de la province (nom complet): Californie
Nom de la localité (par exemple, ville): Campbell
Nom de l’organisation (par exemple, société): Barracuda Networks
Nom de l’unité organisationnelle (par exemple, section): Ingénierie
Nom commun (par exemple, VOTRE nom): barracuda.yourdomain.com
Adresse e-mail: [email protected]
Cela crée le certificat CA avec les valeurs ci-dessus. Ce certificat agit comme un certificat d’autorité de certification racine pour authentifier les certificats clients.
Étape 3 – Importez le certificat d’autorité de certification dans le Pare-feu d’application Web Barracuda
Le certificat créé doit être téléchargé dans la section de BASE > Certificats > Télécharger le certificat de confiance (CA).
Étape 4 – Activer l’authentification client sur le pare-feu d’applications Web Barracuda
Pour pouvoir utiliser le certificat d’autorité de certification pour valider les certificats clients, l’authentification client doit d’abord être activée.
Étapes pour activer l’authentification du client:
- Accédez à la page des services de BASE >.
- Dans la section Services, identifiez le service pour lequel vous souhaitez activer l’authentification client.
- Cliquez sur Modifier à côté du service. Dans la page d’édition du service, faites défiler jusqu’à la section SSL.
- Définissez Activer l’authentification client et Appliquer le certificat client sur Oui.
- Cochez la ou les cases à côté du paramètre Certificats approuvés.
- Spécifiez les valeurs d’autres paramètres selon les besoins, puis cliquez sur Enregistrer les modifications.
Étape 5 – Créer un certificat client
Pour créer un certificat client, utilisez l’exemple suivant:
openssl req-newkey rsa: 2048 jours 1000 nœuds – client keyout-key1.pem> client-req.pem
Génération d’une clé privée RSA de 2048 bits écrivant une nouvelle clé privée dans ‘client-key1.pem’
…………………………………………………………………………..+++
..+ + +
On va vous demander d’entrer des informations qui seront intégrées à votre demande de certificat.
Ce que vous êtes sur le point d’entrer est ce qu’on appelle un nom distinctif ou un DN.
Il y a pas mal de champs mais vous pouvez en laisser vides
Pour certains champs, il y aura une valeur par défaut,
Si vous entrez ‘.’, le champ sera laissé vide.
Nom du pays (code à 2 lettres): États-Unis
Nom de l’État ou de la province (nom complet): Californie
Nom de la localité (par exemple, ville): Campbell
Nom de l’organisation (par exemple, société): Barracuda Networks
Nom de l’unité organisationnelle (par exemple, section): Support technique
Nom commun (par exemple par exemple, VOTRE nom): barracuda.mydomain.com
Adresse e-mail: [email protected]
Veuillez saisir les attributs « supplémentaires » suivants à envoyer avec votre demande de certificat
Un mot de passe de défi : Secret123
Remarque : Comme meilleure pratique, utilisez un compte unique pour ce point d’intégration et accordez-lui le moins de privilèges requis, en coordination avec l’administrateur. Ce compte nécessite des privilèges de LECTURE. Pour plus d’informations, consultez Sécurité pour l’intégration avec d’autres systèmes – Meilleures pratiques.
Un nom d’entreprise facultatif : –
Cela crée la clé privée « client-key1 » au format PEM.
Maintenant, utilisez l’exemple suivant pour créer un certificat client qui sera signé par le certificat CA créé à l’étape 2.
openssl x509-req- dans le client-req.pem- jours 1000 – CA ca-cert.pem-CAkey ca-clé.pem-set_serial 01 > client-cert1.pem
Signature ok
subject=/C=US/ST=California/L= Campbell/O= Barracuda Networks/OU=Tech Support/CN=barracuda.mydomain.com/emailAddress=test@youremail .com
Obtention de la clé privée CA
Étape 6 – Conversion du fichier PEM au format PKCS # 12
Utilisez la commande suivante pour convertir le « client-cert1.pem « certificat avec « client-key1.pem » à un fichier d’échange d’informations personnelles (jeton pfx).
openssl pkcs12- export-dans le client-cert1.client clé d’entrée pem1.client-cert1 pem-out.pfx
Entrez le mot de passe d’exportation: secret
Remarque : Comme meilleure pratique, utilisez un compte unique pour ce point d’intégration et accordez-lui le moins de privilèges requis, en coordination avec l’administrateur. Ce compte nécessite des privilèges de LECTURE. Pour plus d’informations, consultez Sécurité pour l’intégration avec d’autres systèmes – Meilleures pratiques.
Vérification – Entrez le mot de passe d’exportation: secret
Le certificat client créé ci-dessus doit être envoyé au client pour être importé sur son navigateur.