Creazione di un certificato client

Prima di creare un certificato client, è necessario creare un certificato CA che possa essere utilizzato come certificato CA principale per firmare i certificati client. Per creare un certificato CA per il server designato come server CA SSL, procedere come segue:

  1. Generare una Chiave Privata del Certificato CA
  2. Creare un Certificato CA, utilizzando la Chiave Privata
  3. Importare il Certificato della CA per il Barracuda Web Application Firewall
  4. Abilitare l’Autenticazione del Client il Barracuda Web Application Firewall
  5. Creare un Certificato Client
  6. la Conversione di File PEM per il Formato PKCS #12
  7. Importare il Certificato Client Browser

Passo 1 – Generare una Chiave Privata del Certificato CA

per generare una chiave per un certificato CA, eseguire il seguente comando openssl sul tuo server:

openssl genrsa 2048 > ca-chiave.pem

Genera una chiave privata “ca-key” in formato PEM.

Passaggio 2-Creare un certificato CA utilizzando la chiave privata

Utilizzare la chiave privata generata nel passaggio 1 per creare il certificato CA per il server. Il comando openssl per generare un certificato CA è il seguente:

openssl req-new – x509-nodes-days 1000-key ca-key.pem > ca-cert.pem

Verrà richiesto di fornire alcune informazioni che verranno inserite nel certificato. Vedi l’esempio qui sotto:

Nome del Paese (codice a 2 lettere) : NOI
Stato o Provincia Nome (nome e cognome) : California
Località Name (eg, città) : Campbell
il Nome dell’Organizzazione (ad esempio, società) : Barracuda Networks
Nome Unità Organizzativa (ad esempio, la sezione) : Engineering
Nome Comune (ad esempio, il TUO nome) : barracuda.yourdomain.com
Indirizzo di Posta elettronica : [email protected]

Questo crea il certificato CA con i valori di cui sopra. Questo certificato funge da certificato CA principale per l’autenticazione dei certificati client.

Passo 3 – Importare il certificato CA nel Barracuda Web Application Firewall

Il certificato creato deve essere caricato nella sezione BASE > Certificati > Carica certificato attendibile (CA).

Passo 4 – Abilitare l’autenticazione client su Barracuda Web Application Firewall

Per poter utilizzare il certificato CA per la convalida dei certificati client, l’autenticazione client deve prima essere abilitata.

Passaggi per abilitare l’autenticazione client:
  1. Vai alla pagina dei servizi di BASE >.
  2. Nella sezione Servizi, identificare il servizio per il quale si desidera abilitare l’autenticazione client.
  3. Fare clic su Modifica accanto al servizio. Nella pagina Modifica servizio, scorrere fino alla sezione SSL.
  4. Imposta Abilita autenticazione client e Applica certificato client su Sì.
  5. Selezionare le caselle di controllo accanto al parametro Certificati attendibili.
  6. Specificare i valori per altri parametri come richiesto e fare clic su Salva modifiche.

Passo 5-Creare un certificato client

Per creare un certificato client, utilizzare il seguente esempio:

openssl req-newkey rsa:2048-giorni 1000-nodi-keyout client-key1.pem > cliente-req.pem

Generazione di una chiave privata RSA a 2048 bit che scrive una nuova chiave privata su ‘ client-key1.pem ”

…………………………………………………………………………..+++

..+ + +

Ti verrà chiesto di inserire le informazioni che verranno incorporate nella tua richiesta di certificato.

Quello che stai per inserire è quello che viene chiamato un nome distinto o un DN.

Ci sono alcuni campi ma puoi lasciare alcuni vuoti

Per alcuni campi ci sarà un valore predefinito,

Se inserisci ‘.’, il campo sarà lasciato vuoto.

Nome del Paese (codice a 2 lettere) : NOI

Stato o Provincia Nome (nome e cognome) : California

Località Name (eg, città) : Campbell

il Nome dell’Organizzazione (ad esempio, società) : Barracuda Networks

Nome Unità Organizzativa (ad esempio, la sezione) : Tech Support

Nome Comune (ad esempio, il TUO nome) : barracuda.mydomain.com

Indirizzo Email : [email protected]

Inserire i seguenti attributi “extra” da inviare con la richiesta di certificato

Una password di sfida : Secret123
Nota: Come best practice, utilizzare un account univoco per questo punto di integrazione e concedergli il minimo livello di privilegi richiesto, coordinandosi con l’amministratore. Questo account richiede privilegi di LETTURA. Per ulteriori informazioni, vedere Sicurezza per l’integrazione con altri sistemi-Best practice.

Un nome di società opzionale:-

Questo crea la chiave privata “client-key1” in formato PEM.

Ora, utilizzare il seguente esempio per creare un certificato client che verrà firmato dal certificato CA creato nel passaggio 2.

openssl x509-req-nel client-req.pem-giorni 1000-CA ca-cert.pem-CAkey ca-key.pem-set_serial 01 > client-cert1.pem

Firma ok

soggetto= / C = US / ST = California / L=Campbell / O = Barracuda Networks / OU=Tech Support/CN=barracuda.mydomain.com/[email protected]

Ottenere la chiave privata CA

Passo 6 – Conversione del file PEM in formato PKCS #12

Utilizzare il seguente comando per convertire il “client-cert1.pem “certificato insieme a” client-key1.pem ” a un file di scambio di informazioni personali (token pfx).

openssl pkcs12-export-in client-cert1.pem-inkey client-key1.pem-out client-cert1.pfx

Immettere Export Password:secret
Nota: Come best practice, utilizzare un account univoco per questo punto di integrazione e concedergli il minimo livello di privilegi richiesto, coordinandosi con l’amministratore. Questo account richiede privilegi di LETTURA. Per ulteriori informazioni, vedere Sicurezza per l’integrazione con altri sistemi-Best practice.

Verifica – Immettere la password di esportazione: segreto

Passo 7 – Importare il certificato client nel browser

Il certificato client creato sopra deve essere inviato al client per essere importato sul proprio browser.

Write a Comment

Il tuo indirizzo email non sarà pubblicato.