před vytvořením klientského certifikátu byste měli vytvořit certifikát CA, který lze použít jako kořenový certifikát CA k podpisu klientských certifikátů. Chcete-li vytvořit certifikát CA pro server označený jako SSL CA server, proveďte následující kroky:
- Vygenerujte soukromý klíč pro certifikát CA
- Vytvořte certifikát CA pomocí soukromého klíče
- Importujte certifikát CA do brány firewall webové aplikace Barracuda
- povolte ověřování klienta na bráně firewall webové aplikace Barracuda
- Vytvořte certifikát klienta
- převod souboru PEM do formátu PKCS #12
- Importujte certifikát klienta do prohlížeče
- Krok 1 – vygenerujte soukromý klíč pro certifikát CA
- Krok 2-Vytvořte certifikát CA pomocí soukromého klíče
- Krok 3-Import certifikátu CA do brány firewall webové aplikace Barracuda
- Krok 4-Povolte ověřování klienta na bráně firewall webové aplikace Barracuda
- kroky k povolení ověřování klienta:
- Krok 5-Vytvoření klientského certifikátu
- Krok 6-převod souboru PEM do formátu PKCS # 12
- Krok 7-Importujte klientský certifikát do prohlížeče
Krok 1 – vygenerujte soukromý klíč pro certifikát CA
Chcete-li vygenerovat klíč pro certifikát CA, spusťte na svém počítači následující příkaz OpenSSL server:
OpenSSL genrsa 2048 > ca-key.pem
tím se vygeneruje soukromý klíč „ca-key“ ve formátu PEM.
Krok 2-Vytvořte certifikát CA pomocí soukromého klíče
pomocí soukromého klíče vygenerovaného v kroku 1 Vytvořte certifikát CA pro server. Příkaz openssl pro generování certifikátu CA je následující:
OpenSSL req-new-x509-nodes-days 1000-key ca-key.pem > ca-cert.pem
budete vyzváni k zadání určitých informací, které budou zadány do certifikátu. Viz příklad níže:
název země (2 písmenný kód) : USA
název státu nebo provincie (celé jméno): Kalifornie
název lokality (např. město): Campbell
název organizace (např. společnost): Barracuda Networks
Název organizační jednotky (např. sekce): inženýrství
obecný název (např. barracuda.yourdomain.com
emailová adresa : [email protected]
tím se vytvoří certifikát CA s výše uvedenými hodnotami. Tento certifikát funguje jako kořenový certifikát CA pro ověřování klientských certifikátů.
Krok 3-Import certifikátu CA do brány firewall webové aplikace Barracuda
vytvořený certifikát je třeba nahrát do sekce BASIC > certifikáty > Nahrát důvěryhodný (CA) certifikát.
Krok 4-Povolte ověřování klienta na bráně firewall webové aplikace Barracuda
aby bylo možné použít certifikát CA pro ověřování certifikátů klienta, mělo by být nejprve povoleno ověřování klienta.
kroky k povolení ověřování klienta:
- přejděte na stránku základní > služby.
- v sekci Služby určete službu, pro kterou chcete povolit ověřování klienta.
- klikněte na Upravit vedle služby. Na stránce úpravy služby přejděte dolů do sekce SSL.
- nastavte povolit ověřování klienta a vynutit certifikát klienta na Ano.
- zaškrtněte políčko vedle parametru důvěryhodné certifikáty.
- zadejte hodnoty pro další parametry podle potřeby a klepněte na tlačítko Uložit změny.
Krok 5-Vytvoření klientského certifikátu
Chcete-li vytvořit klientský certifikát, použijte následující příklad:
openssl req-newkey rsa: 2048-dny 1000-uzly-keyout client-key1.pem > klient-req.PEM
generování 2048 bit RSA soukromý klíč psaní nového soukromého klíče na ‚ client-key1.pem ‚
…………………………………………………………………………..+++
..+ + +
budete vyzváni k zadání informací, které budou začleněny do vaší žádosti o certifikát.
to, co se chystáte zadat, je to, co se nazývá rozlišovací jméno nebo DN.
existuje poměrně málo polí, ale můžete nechat některé prázdné
pro některá pole bude výchozí hodnota
pokud zadáte ‚.‘, pole zůstane prázdné.
název země (2 písmenný kód) : US
název státu nebo provincie (celé jméno): Kalifornie
název lokality (např. město): Campbell
název organizace (např. společnost) : Barracuda Networks
Název organizační jednotky (např. sekce) : Technická podpora
obecný název (např. vaše jméno) : barracuda.mydomain.com
e-mailová adresa: [email protected]
zadejte prosím následující atributy „extra“, které mají být zaslány s vaší žádostí o certifikát
heslo výzvy: Secret123
Poznámka: jako nejlepší postup použijte jedinečný účet pro tento integrační bod a udělte mu nejméně požadovanou úroveň oprávnění v koordinaci s administrátorem. Tento účet vyžaduje oprávnění ke čtení. Další informace naleznete v části Zabezpečení pro integraci s jinými systémy-osvědčené postupy.
volitelný název společnosti: –
tím se vytvoří soukromý klíč „client-key1“ ve formátu PEM.
Nyní použijte následující příklad k vytvoření klientského certifikátu, který bude podepsán certifikátem CA vytvořeným v kroku 2.
openssl x509-req-in client-req.PEM-dny 1000-CA ca-cert.pem-CAkey ca-key.pem-set_serial 01 > klient-cert1.pem
Signature ok
subject= / C=US / ST=California / L=Campbell / O=Barracuda Networks / OU=Tech Support/CN=barracuda.mydomain.com/[email protected]
získání soukromého klíče CA
Krok 6-převod souboru PEM do formátu PKCS # 12
použijte následující příkaz k převodu “ client-cert1.PEM „certifikát spolu s“ client-key1.pem “ do souboru pro výměnu osobních informací (pfx token).
openssl pkcs12-export-in client-cert1.PEM-inkey client-key1.pem-out klient-cert1.pfx
zadejte exportní heslo: tajné
Poznámka: jako nejlepší postup použijte jedinečný účet pro tento integrační bod a udělete mu nejméně požadovanou úroveň oprávnění v koordinaci s administrátorem. Tento účet vyžaduje oprávnění ke čtení. Další informace naleznete v části Zabezpečení pro integraci s jinými systémy-osvědčené postupy.
ověření-zadejte exportní heslo: tajné
Krok 7-Importujte klientský certifikát do prohlížeče
výše vytvořený klientský certifikát by měl být zaslán klientovi, který má být importován do jeho prohlížeče.
