クライアント証明書の作成

クライアント証明書を作成する前に、クライアント証明書に署名するためのルートCA証明書として使用できるCA証明書を作成する必要があります。 SSL CAサーバーとして指定されたサーバーのCA証明書を作成するには、次の手順を実行します:

  1. CA証明書の秘密キーを生成する
  2. 秘密キーを使用してCA証明書を作成する
  3. Ca証明書をBarracuda Web Application Firewallにインポートする
  4. Barracuda Web Application Firewallでクライアント認証を有効にする
  6. クライアント証明書をブラウザにインポートする

ステップ1-Ca証明書の秘密キーを生成する

Ca証明書のキーを生成するには、次のOpensslコマンドを実行します。 サーバー:

openssl genrsa2048>ca-key。pem

これにより、PEM形式の秘密鍵”ca-key”が生成されます。

ステップ2-秘密キーを使用したCA証明書の作成

ステップ1で生成した秘密キーを使用して、サーバーのCA証明書を作成します。 CA証明書を生成するopensslコマンドは次のとおりです。

openssl req-new-x509-nodes-days1000-key ca-key。pem>ca-cert.pem

証明書に入力される特定の情報を入力するように求められます。 以下の例を参照してください:

国名(2文字コード):US
州名(フルネーム):カリフォルニア州
地域名(例,都市):Campbell
組織名(例,会社):Barracuda Networks
組織単位名(例,セクション):Engineering
共通名(例,あなたの名前):barracuda.yourdomain.com
メールアドレス:[email protected]

これにより、上記の値でCA証明書が作成されます。 この証明書は、クライアント証明書を認証するためのルートCA証明書として機能します。ステップ3-Barracuda Web Application FirewallにCA証明書をインポートする

作成した証明書は、BASIC>Certificates>Upload Trusted(CA)Certificateセクションでアップロードする必要があります。

ステップ4-Barracuda Web Application Firewallでクライアント認証を有効にする

CA証明書を使用してクライアント証明書を検証できるようにするには、最初にクライ

クライアント認証を有効にする手順:
  1. 基本>サービスページに移動します。
  2. サービスセクションで、クライアント認証を有効にするサービスを特定します。
  3. サービスの横にある編集をクリックします。 サービスの編集ページで、SSLセクションまでスクロールダウンします。
  4. クライアント認証を有効にし、クライアント証明書を強制するをYesに設定します。
  5. 信頼された証明書パラメータの横にあるチェックボックスをオンにします。
  6. 必要に応じて他のパラメータの値を指定し、変更の保存をクリックします。

ステップ5-クライアント証明書の作成

クライアント証明書を作成するには、次の例を使用します:

openssl req-newkey rsa:2048-days1000-nodes-keyout client-key1.pem>クライアント-req.pem

2048ビットRSA秘密鍵の生成’client-key1に新しい秘密鍵を書き込みます。pem’

。………………………………………………………………………….+++

..+++

証明書リクエストに組み込まれる情報を入力するよう求められます。

あなたが入力しようとしているのは、識別名またはDNと呼ばれるものです。

かなりの数のフィールドがありますが、空白のままにすることができます

いくつかのフィールドには、’と入力するとデフォルト値

があります。’、フィールドは空白のままになります。

国名(2文字コード):米国

州名(フルネーム):カリフォルニア州

地域名(例,都市):Campbell

組織名(例,会社):Barracuda Networks

組織単位名(例,セクション):Tech Support

共通名(例,例えば、あなたの名前):barracuda.mydomain.com

メールアドレス:[email protected]

証明書リクエストとともに送信される次の”余分な”属性を入力してください

チャレンジパスワード:Secret123
注:ベストプラクティスとして、この統合ポイ このアカウントには読み取り権限が必要です。 詳細については、”他のシステムと統合するためのセキュリティ-ベストプラクティス”を参照してください。 オプションの会社名:-

これにより、秘密キー”client-key1″がPEM形式で作成されます。

次の例を使用して、手順2で作成したCA証明書によって署名されるクライアント証明書を作成します。

openssl x509-req-in client-req.pem-days1000-CA ca-cert.pem-CAkey ca-キー。pem-set_serial01>client-cert1.pem

署名ok

件名=/C=US/ST=カリフォルニア州/L=キャンベル/O=バラクーダ-ネットワークス/OU=Tech Support/CN=barracuda.mydomain.com/emailAddress=test@youremail…..ステップ6-PEMファイルをPKCS#12形式に変換する

次のコマンドを使用して、「client-cert1.pem”クライアントキー1と一緒に証明書。Pem”を個人情報交換ファイル(pfxトークン)に変換します。

openssl pkcs12-export-in client-cert1.pem-inkeyクライアント-key1。pem-outクライアント-証明書1。pfx

Enter Export Password:secret
メモ:ベストプラクティスとして、この統合ポイントに一意のアカウントを使用し、管理者と調整して、必要な最小限の権限を付与します。 このアカウントには読み取り権限が必要です。 詳細については、”他のシステムと統合するためのセキュリティ-ベストプラクティス”を参照してください。

Verifying-Enter Export Password:secret

Step7-クライアント証明書をブラウザにインポートする

上記で作成したクライアント証明書をクライアントに送信して、ブラウザにインポートする必要があります。

Write a Comment

メールアドレスが公開されることはありません。