før du opretter et klientcertifikat, skal du oprette et CA-certifikat, der kan bruges som root CA-certifikat til at underskrive klientcertifikaterne. For at oprette et CA-certifikat til den server, der er udpeget som SSL CA-server, skal du udføre følgende trin:
- Generer en privat nøgle til CA – certifikatet
- Opret et CA-certifikat ved hjælp af den Private nøgle
- Importer CA-certifikatet til Barracuda-internetapplikationen Brandvæg
- aktiver klientgodkendelse på Barracuda-internetapplikationen Brandvæg
- Opret et klientcertifikat
- konvertering af PEM-fil til PKCS #12 format
- importer klientcertifikatet til bro. ser
- Trin 1-Generer en privat nøgle til ca-certifikatet
- Trin 2 – Opret et CA-certifikat ved hjælp af den Private nøgle
- Trin 3 – Importer CA-certifikatet til Barracuda-applikationen
- Trin 4 – Aktiver klientgodkendelse på Barracuda-applikationen
- trin for at aktivere klientgodkendelse:
- Trin 5-Opret et klientcertifikat
- Trin 6 – konvertering af PEM-fil til PKCS #12 Format
- Trin 7 – Importer klientcertifikatet til bro.ser
Trin 1-Generer en privat nøgle til ca-certifikatet
for at generere en nøgle til et CA-certifikat skal du køre følgende OpenSSL-kommando på din server:
OpenSSL genrsa 2048 > ca-key.pem
dette genererer en privat nøgle “ca-key” i PEM-format.
Trin 2 – Opret et CA-certifikat ved hjælp af den Private nøgle
Brug den private nøgle, der er genereret i Trin 1, til at oprette ca-certifikatet til serveren. Kommandoen openssl til at generere et CA-certifikat er som følger:
OpenSSL-ny-509-noder-dage 1000-nøgle ca-nøgle.pem > ca-cert.pem
du vil blive bedt om at give visse oplysninger, som vil blive indtastet i certifikatet. Se eksemplet nedenfor:
landenavn (2 bogstavkode) : US
stat eller provins Navn (fuldt navn) : Californien
Lokalitetsnavn (f. eks. by) : Campbell
organisationsnavn (f. eks. firma) : Barracuda netværk
organisationsenhed navn (f. eks. afsnit) : Engineering
almindeligt navn (f. eks. dit navn) : barracuda.yourdomain.com
e-mail-adresse : [email protected]
dette opretter CA-certifikatet med ovenstående værdier. Dette certifikat fungerer som et root CA-certifikat til godkendelse af klientcertifikaterne.
Trin 3 – Importer CA-certifikatet til Barracuda-applikationen
det oprettede certifikat skal uploades i afsnittet BASIC > Certificates > Upload Trusted (CA) Certificate.
Trin 4 – Aktiver klientgodkendelse på Barracuda-applikationen
for at kunne bruge CA-certifikatet til validering af klientcertifikater skal klientgodkendelse først aktiveres.
trin for at aktivere klientgodkendelse:
- gå til siden BASIC > Services.
- i afsnittet Tjenester skal du identificere den tjeneste, som du vil aktivere klientgodkendelse for.
- Klik på Rediger ud for tjenesten. Rul ned til SSL-sektionen på siden Service edit.
- Indstil Aktiver klientgodkendelse og gennemtvinge klientcertifikat til Ja.
- Marker afkrydsningsfeltet(r) ud for parameteren betroede certifikater.
- Angiv værdier for andre parametre efter behov, og klik på Gem ændringer.
Trin 5-Opret et klientcertifikat
for at oprette et klientcertifikat skal du bruge følgende eksempel:
OpenSSL RSA:2048-dage 1000-noder-keyout klient-key1.pem > kunde-spørgsmål.PEM
generering af en 2048 bit RSA privat nøgle, der skriver ny privat nøgle til ‘client-key1.pem ‘
…………………………………………………………………………..+++
..+ + +
du er ved at blive bedt om at indtaste oplysninger, der vil blive indarbejdet i din certifikatanmodning.
hvad du er ved at indtaste er, hvad der kaldes et fornemt navn eller en DN.
der er en hel del felter, men du kan lade nogle tomme
for nogle felter vil der være en standardværdi,
hvis du indtaster ‘.’, feltet vil være tomt.
landenavn (2 bogstavkode) : US
stat eller provins Navn (fuldt navn) : Californien
Lokalitetsnavn (f. eks. by) : Campbell
organisationsnavn (f. eks. virksomhed) : Barracuda netværk
organisationsenhed navn (f. eks. sektion) : teknisk Support
almindeligt navn (f. eks.) F. eks, dit navn): barracuda.mydomain.com
e-mail-adresse : [email protected]
indtast følgende ‘ekstra’ attributter, der skal sendes med din certifikatanmodning
en udfordringsadgangskode : Secret123
Bemærk: Som en bedste praksis skal du bruge en unik konto til dette integrationspunkt og give det det mindste niveau af privilegier, der kræves, og koordinere med administratoren. Denne konto kræver LÆSNINGSRETTIGHEDER. For yderligere oplysninger, se sikkerhed for integration med andre systemer – bedste praksis.
et valgfrit firmanavn : –
dette opretter den private nøgle “client-key1” i PEM-format.
brug nu følgende eksempel til at oprette et klientcertifikat, der vil blive underskrevet af det CA-certifikat, der blev oprettet i Trin 2.
OpenSSL 509-i klient-anmodning.PEM-dage 1000-CA ca-cert.pem-CAkey ca-key.PEM-set_serial 01 > klient-cert1.pem
underskrift ok
emne= / C=US / ST=Californien / L=Campbell / O=Barracuda netværk / ou=Tech Support/CN=barracuda.mydomain.com/[email protected]
kom CA privat nøgle
Trin 6 – konvertering af PEM-fil til PKCS #12 Format
Brug følgende kommando til at konvertere “client-cert1.PEM “certifikat sammen med” client-key1.pem ” til en personlig Informationsudvekslingsfil.
openssl pkcs12-eksport-i klient-cert1.PEM-inkey klient-key1.PEM-out klient-cert1.
indtast Eksportadgangskode:secret
Bemærk: Som en bedste praksis skal du bruge en unik konto til dette integrationspunkt og give det det mindste niveau af privilegier, der kræves, og koordinere med administratoren. Denne konto kræver LÆSNINGSRETTIGHEDER. For yderligere oplysninger, se sikkerhed for integration med andre systemer – bedste praksis.
bekræftelse – indtast Eksportadgangskode: hemmelig
Trin 7 – Importer klientcertifikatet til bro.ser
klientcertifikatet, der er oprettet ovenfor, skal sendes til klienten, der skal importeres på deres bro. ser.
