Bevor Sie ein Client-Zertifikat erstellen, sollten Sie ein CA-Zertifikat erstellen, das als Root-CA-Zertifikat zum Signieren der Client-Zertifikate verwendet werden kann. Führen Sie die folgenden Schritte aus, um ein Zertifizierungsstellenzertifikat für den als SSL-Zertifizierungsstellenserver bezeichneten Server zu erstellen:
- Generieren eines privaten Schlüssels für das CA-Zertifikat
- Erstellen eines CA-Zertifikats mit dem privaten Schlüssel
- Importieren des CA-Zertifikats in die Barracuda Web Application Firewall
- Aktivieren der Client-Authentifizierung auf der Barracuda Web Application Firewall
- Erstellen eines Client-Zertifikats
- Konvertieren der PEM-Datei in das PKCS #12-Format
- Importieren Sie das Clientzertifikat in den Browser
- Schritt 1 – Generieren eines privaten Schlüssels für das CA-Zertifikat
- Schritt 2 – Erstellen eines CA-Zertifikats mit dem privaten Schlüssel
- Schritt 3 – Importieren Sie das CA-Zertifikat in die Barracuda Web Application Firewall
- Schritt 4 – Aktivieren der Clientauthentifizierung auf der Barracuda Web Application Firewall
- Schritte zum Aktivieren der Clientauthentifizierung:
- Schritt 5 – Erstellen eines Clientzertifikats
- Schritt 6 – Konvertieren der PEM-Datei in das PKCS #12-Format
- Schritt 7 – Importieren Sie das Client-Zertifikat in den Browser
Schritt 1 – Generieren eines privaten Schlüssels für das CA-Zertifikat
Führen Sie den folgenden openssl-Befehl auf Ihrem Computer aus, um einen Schlüssel für ein CA-Zertifikat zu generieren server:
openssl genrsa 2048 > ca-Schlüssel.pem
Dies erzeugt einen privaten Schlüssel „ca-key“ im PEM-Format.
Schritt 2 – Erstellen eines CA-Zertifikats mit dem privaten Schlüssel
Verwenden Sie den in Schritt 1 generierten privaten Schlüssel, um das CA-Zertifikat für den Server zu erstellen. Der openssl-Befehl zum Generieren eines CA-Zertifikats lautet wie folgt:
openssl req -new -x509 -nodes -days 1000 -key ca-key.pem > ca-cert.pem
Sie werden aufgefordert, bestimmte Informationen anzugeben, die in das Zertifikat eingegeben werden. Siehe das Beispiel unten:
Ländername (2-Buchstaben-Code): US
Name des Bundesstaates oder der Provinz (vollständiger Name): Kalifornien
Ortsname (z. B. Stadt): Campbell
Name der Organisation (z. B. Firma): Barracuda Networks
Name der Organisationseinheit (z. B. Abschnitt): Engineering
Allgemeiner Name (z. B. IHR Name): barracuda.yourdomain.com
E-Mail-Adresse : [email protected]
Dadurch wird das CA-Zertifikat mit den obigen Werten erstellt. Dieses Zertifikat fungiert als Stammzertifizierungsstellenzertifikat für die Authentifizierung der Clientzertifikate.
Schritt 3 – Importieren Sie das CA-Zertifikat in die Barracuda Web Application Firewall
Das erstellte Zertifikat muss im Abschnitt BASIC > Certificates > Upload Trusted (CA) Certificate hochgeladen werden.
Schritt 4 – Aktivieren der Clientauthentifizierung auf der Barracuda Web Application Firewall
Um das CA-Zertifikat zur Validierung von Clientzertifikaten verwenden zu können, sollte zunächst die Clientauthentifizierung aktiviert werden.
Schritte zum Aktivieren der Clientauthentifizierung:
- Gehen Sie zur Seite BASIC > Services.
- Geben Sie im Abschnitt Dienste den Dienst an, für den Sie die Clientauthentifizierung aktivieren möchten.
- Klicken Sie neben dem Dienst auf Bearbeiten. Scrollen Sie auf der Seite Service Edit nach unten zum Abschnitt SSL.
- Setzen Sie Enable Client Authentication und Enforce Client Certificate auf Yes.
- Aktivieren Sie die Kontrollkästchen neben dem Parameter Vertrauenswürdige Zertifikate.
- Geben Sie bei Bedarf Werte für andere Parameter an und klicken Sie auf Änderungen speichern.
Schritt 5 – Erstellen eines Clientzertifikats
Verwenden Sie das folgende Beispiel, um ein Clientzertifikat zu erstellen:
openssl req -newkey rsa:2048 -Tage 1000 -Knoten -keyout Client-key1.pem > Client-Anforderung.pem
Generieren eines privaten 2048-Bit-RSA-Schlüssels Schreiben eines neuen privaten Schlüssels in ‚client-key1.pem‘
…………………………………………………………………………..+++
..+++
Sie werden aufgefordert, Informationen einzugeben, die in Ihre Zertifikatsanfrage aufgenommen werden.
Was Sie gerade eingeben, ist ein so genannter Distinguished Name oder DN.
Es gibt einige Felder, aber Sie können einige leer lassen
Für einige Felder gibt es einen Standardwert,
Wenn Sie eingeben ‚.‘, das Feld wird leer gelassen.
Name des Landes (2-Buchstaben-Code): US
Name des Bundesstaates oder der Provinz (vollständiger Name): Kalifornien
Name des Ortes (z. B. Stadt): Campbell
Name der Organisation (z. B. Firma): Barracuda Networks
Name der zB IHR Name) : barracuda.mydomain.com
E-Mail-Adresse : [email protected]
Bitte geben Sie die folgenden ‚zusätzlichen‘ Attribute ein, die mit Ihrer Zertifikatsanforderung gesendet werden sollen
Ein Challenge-Passwort: Secret123
Hinweis: Verwenden Sie als Best Practice ein eindeutiges Konto für diesen Integration Point und gewähren Sie ihm in Abstimmung mit dem Administrator die geringsten erforderlichen Berechtigungen. Dieses Konto erfordert Leseberechtigungen. Weitere Informationen finden Sie unter Sicherheit für die Integration mit anderen Systemen – Best Practices.
Ein optionaler Firmenname: –
Dadurch wird der private Schlüssel „client-key1“ im PEM-Format erstellt.
Verwenden Sie nun das folgende Beispiel, um ein Clientzertifikat zu erstellen, das von dem in Schritt 2 erstellten Zertifizierungsstellenzertifikat signiert wird.
openssl x509 -Anforderung -in Client-Anforderung.pem -Tage 1000 -CA ca-cert.pem -CAkey ca-Schlüssel.pem -set_serial 01 > Client-zertifikat1.pem
Unterschrift ok
Betreff= / C = US / ST = Kalifornien / L = Campbell / O= Barracuda Networks / OU=Tech Support/CN=barracuda.mydomain.com/[email protected]
Abrufen des privaten CA-Schlüssels
Schritt 6 – Konvertieren der PEM-Datei in das PKCS #12-Format
Verwenden Sie den folgenden Befehl, um das „client-cert1.pem“-Zertifikat zusammen mit „Client-key1.pem“ in eine persönliche Informationsaustauschdatei (PFX-Token).
openssl pkcs12 -export -in Client-zertifikat1.pem -inkey Client-Schlüssel1.pem -out Client-zertifikat1.pfx
Exportkennwort eingeben:secret
Hinweis: Verwenden Sie als Best Practice ein eindeutiges Konto für diesen Integration Point und erteilen Sie ihm in Abstimmung mit dem Administrator die geringste erforderliche Berechtigungsstufe. Dieses Konto erfordert Leseberechtigungen. Weitere Informationen finden Sie unter Sicherheit für die Integration mit anderen Systemen – Best Practices.
Verifizieren – Exportpasswort eingeben: secret
Schritt 7 – Importieren Sie das Client-Zertifikat in den Browser
Das oben erstellte Client-Zertifikat sollte an den Client gesendet werden, um in seinem Browser importiert zu werden.
