Antes de crear un certificado de cliente, debe crear un certificado de CA que se pueda usar como certificado de CA raíz para firmar los certificados de cliente. Para crear un certificado de CA para el servidor designado como servidor de CA SSL, realice los siguientes pasos:
- Generar una Clave Privada para el Certificado de CA
- Crear un Certificado de CA con la Clave Privada
- Importar el Certificado de CA al Firewall de Aplicaciones Web Barracuda
- Habilitar la autenticación de cliente en el Firewall de Aplicaciones Web Barracuda
- Crear un Certificado de cliente
- Convertir el archivo PEM a PKCS #12 Formato
- Importe el certificado de cliente al explorador
- Paso 1: Genere una clave privada para el certificado de CA
- Paso 2: Cree un certificado de CA con la Clave privada
- Paso 3: Importe el certificado de CA al Firewall de Aplicaciones Web Barracuda
- Paso 4: Habilitar la autenticación de cliente en el Firewall de Aplicaciones Web Barracuda
- Pasos para habilitar la autenticación de cliente:
- Paso 5-Crear un certificado de cliente
- Paso 6 – Conversión del archivo PEM al formato PKCS #12
- Paso 7: Importe el certificado de cliente al navegador
Paso 1: Genere una clave privada para el certificado de CA
Para generar una clave para un certificado de CA, ejecute el siguiente comando openssl en su servidor:
openssl genrsa 2048 > ca-key.pem
Esto genera una clave privada» clave ca » en formato PEM.
Paso 2: Cree un certificado de CA con la Clave privada
Utilice la clave privada generada en el Paso 1 para crear el certificado de CA para el servidor. El comando openssl para generar un certificado de CA es el siguiente:
openssl req-new-x509-nodes-days ca-key de 1000 claves.pem > ca-cert.pem
se le pedirá Que proporcione cierta información que será ingresada en el certificado. Vea el ejemplo a continuación:
Nombre del país (código de 2 letras) : US
Nombre del Estado o provincia (nombre completo) : California
Nombre de la localidad (por ejemplo, ciudad) : Campbell
Nombre de la organización (por ejemplo, empresa) : Barracuda Networks
Nombre de la Unidad organizativa (por ejemplo, sección) : Ingeniería
Nombre común (por ejemplo, SU nombre) : barracuda.yourdomain.com
Dirección de correo electrónico : [email protected]
Esto crea el certificado de CA con los valores anteriores. Este certificado actúa como certificado de CA raíz para autenticar los certificados de cliente.
Paso 3: Importe el certificado de CA al Firewall de Aplicaciones Web Barracuda
El certificado creado debe cargarse en la sección BÁSICO > Certificados > Cargar certificado de confianza (CA).
Paso 4: Habilitar la autenticación de cliente en el Firewall de Aplicaciones Web Barracuda
Para poder usar el certificado de CA para validar certificados de cliente, primero debe habilitarse la autenticación de cliente.
Pasos para habilitar la autenticación de cliente:
- Vaya a la página de servicios BÁSICOS >.
- En la sección Servicios, identifique el servicio para el que desea habilitar la autenticación de cliente.
- Haga clic en Editar junto al servicio. En la página Edición de servicios, desplácese hacia abajo hasta la sección SSL.
- Establezca Habilitar Autenticación de Cliente y Aplicar Certificado de cliente en Sí.
- Seleccione las casillas de verificación junto al parámetro Certificados de confianza.
- Especifique valores para otros parámetros según sea necesario y haga clic en Guardar cambios.
Paso 5-Crear un certificado de cliente
Para crear un certificado de cliente, utilice el siguiente ejemplo:
req de openssl-nueva llave rsa: 2048 días 1000 nodos-llave de cliente-llave 1.pem > requerimiento del cliente.pem
Generar una clave privada RSA de 2048 bits escribir una nueva clave privada en ‘ client-key1.pem »
…………………………………………………………………………..+++
..+ + +
Se le pedirá que introduzca información que se incorporará a su solicitud de certificado.
Lo que está a punto de ingresar es lo que se llama un Nombre Distinguido o un DN.
Hay bastantes campos, pero puede dejar algunos en blanco
Para algunos campos habrá un valor predeterminado,
Si ingresa ‘.’, el campo se dejará en blanco.
Nombre del país (código de 2 letras) : US
Nombre del Estado o provincia (nombre completo) : California
Nombre de la localidad (por ejemplo, ciudad) : Campbell
Nombre de la organización (por ejemplo, empresa) : Barracuda Networks
Nombre de la Unidad organizativa (por ejemplo, sección) : Soporte técnico
por ejemplo, SU nombre) : barracuda.mydomain.com
Dirección de correo electrónico: [email protected]
Por favor, introduzca los siguientes atributos «extra» que se enviarán con su solicitud de certificado
Una contraseña de desafío : Secret123
Nota: Como práctica recomendada, utilice una cuenta única para este punto de integración y concédale el menor nivel de privilegios necesarios, en coordinación con el administrador. Esta cuenta requiere privilegios de LECTURA. Para obtener información adicional, consulte Seguridad para la integración con Otros sistemas: Prácticas recomendadas.
Un nombre de empresa opcional : –
Esto crea la clave privada «client-key1» en formato PEM.
Ahora, use el siguiente ejemplo para crear un certificado de cliente que será firmado por el certificado de CA creado en el paso 2.
openssl x509-req-in cliente-req.pem-días 1000-CA ca-cert.pem-Cakey ca-key.pem-set_serial 01 > client-cert1.pem
Signature ok
subject=/C=US/ST=California / L=Campbell / O=Barracuda Networks/OU = Tech Support/CN=barracuda.mydomain.com/[email protected]
Obtención de la clave privada de CA
Paso 6 – Conversión del archivo PEM al formato PKCS #12
Utilice el siguiente comando para convertir el «client-cert1″.certificado pem junto con la clave de cliente1.pem » a un archivo de Intercambio de Información Personal (token pfx).
openssl pkcs12 – export-in client-cert1.cliente pem-inkey-key1.certificado de cliente pem-out1.pfx
Introduzca Export Password: secret
Nota: Como práctica recomendada, utilice una cuenta única para este punto de integración y concédale el menor nivel de privilegios necesarios, en coordinación con el administrador. Esta cuenta requiere privilegios de LECTURA. Para obtener información adicional, consulte Seguridad para la integración con Otros sistemas: Prácticas recomendadas.
Verificación: Introduzca la contraseña de exportación: secreto
El certificado de cliente creado anteriormente debe enviarse al cliente para que se importe en su navegador.