maken voordat u een clientcertificaat maakt, moet u een CA-certificaat maken dat kan worden gebruikt als basis-CA-certificaat om de clientcertificaten te ondertekenen. Als u een CA-certificaat wilt maken voor de server die is aangewezen als SSL-CA-server, voert u de volgende stappen uit:
- Genereer een privésleutel voor het CA – certificaat
- Maak een CA-certificaat aan met behulp van de privésleutel
- importeer het CA-certificaat naar de Barracuda webtoepassing Firewall
- schakel Clientauthenticatie in op de Barracuda webtoepassing Firewall
- Maak een clientcertificaat
- converteer PEM-bestand naar PKCS #12 formaat
- importeer het clientcertificaat naar de Browser
- Stap 1-genereer een private sleutel voor het CA certificaat
- Stap 2-Maak een CA-certificaat aan met behulp van de Private sleutel
- Stap 3-importeer het CA-certificaat naar de Barracuda webtoepassing Firewall
- Stap 4-clientverificatie inschakelen op de firewall van de Barracuda – webtoepassing
- stappen om clientverificatie in te schakelen:
- Stap 5 – Maak een clientcertificaat
- Stap 6-PEM-bestand converteren naar PKCS #12 formaat
- Stap 7-het clientcertificaat importeren in de Browser
Stap 1-genereer een private sleutel voor het CA certificaat
om een sleutel voor een CA certificaat te genereren, voer je het volgende OpenSSL commando uit op je server:
openssl genrsa 2048 > ca-key.pem
dit genereert een privésleutel “ca-key” in PEM-formaat.
Stap 2-Maak een CA-certificaat aan met behulp van de Private sleutel
gebruik de private sleutel gegenereerd in Stap 1 om het CA-certificaat voor de server te maken. Het openssl commando om een CA certificaat te genereren is als volgt:
openssl req-new-x509-nodes-days 1000-key ca-key.pem > ca-cert.pem
u wordt gevraagd bepaalde informatie te verstrekken die in het certificaat zal worden ingevoerd. Zie het voorbeeld hieronder:
landnaam ( tweeletterige code): US
staat of provincie naam ( volledige naam): Californië
Plaats Naam (bijv. stad): Campbell
organisatie naam (bijv. bedrijf): Barracuda Networks
organisatie-eenheid naam (bijv. sectie): Engineering
gemeenschappelijke naam (bijv. uw naam) : barracuda.yourdomain.com
e-mailadres : [email protected]
hiermee wordt het CA-certificaat met de bovenstaande waarden gemaakt. Dit certificaat fungeert als een basis-CA-certificaat voor de verificatie van de clientcertificaten.
Stap 3-importeer het CA-certificaat naar de Barracuda webtoepassing Firewall
het aangemaakte certificaat moet worden geüpload in de sectie Basis > certificaten > vertrouwd CA-certificaat uploaden.
Stap 4-clientverificatie inschakelen op de firewall van de Barracuda – webtoepassing
om het CA-certificaat te kunnen gebruiken voor het valideren van clientcertificaten, moet clientverificatie eerst worden ingeschakeld.
stappen om clientverificatie in te schakelen:
- Ga naar de pagina basis > diensten.
- in het gedeelte Services geeft u aan voor welke service u clientverificatie wilt inschakelen.
- klik op Bewerken naast de service. Scroll op de pagina Service bewerken naar beneden naar de SSL sectie.
- stel clientverificatie inschakelen en clientcertificaat afdwingen in op Ja.
- Schakel het selectievakje(sen) naast de parameter vertrouwde certificaten in.
- geef waarden op voor andere parameters zoals vereist, en klik op Wijzigingen opslaan.
Stap 5 – Maak een clientcertificaat
gebruik het volgende voorbeeld om een clientcertificaat te maken:
openssl req-newkey rsa: 2048-days 1000-nodes-keyout client-key1.pem > client-req.pem
genereren van een 2048 bit RSA private key schrijven van nieuwe private key naar ‘ client-key1.pem ”
…………………………………………………………………………..+++
..++ +
u wordt gevraagd informatie in te voeren die in uw certificaataanvraag zal worden opgenomen.
wat u op het punt staat in te voeren is wat een Distinguished Name of een DN wordt genoemd.
er zijn nogal wat velden, maar u kunt er een aantal leeg laten
voor sommige velden zal er een standaardwaarde zijn,
als u ‘invoert.’, wordt het veld leeg gelaten.
landnaam ( tweeletterige code): US
staat of provincie naam ( volledige naam): Californië
Plaats Naam (bijv. stad): Campbell
organisatie naam (bijv. bedrijf): Barracuda Networks
organisatie-eenheid naam (bijv. sectie): Technische Ondersteuning
gemeenschappelijke naam (bijv. uw naam): barracuda.mydomain.com
e-mailadres: [email protected]
voer de volgende’ extra ‘ attributen in die bij uw certificaataanvraag moeten worden verzonden
a challenge password: Secret123
opmerking: gebruik als een goede praktijk een uniek account voor dit integratiepunt en geef het het minst vereiste niveau van rechten, in overleg met de beheerder. Dit account vereist leesrechten. Zie beveiliging voor integratie met andere systemen – Best Practices voor meer informatie.
een optionele bedrijfsnaam: –
hiermee wordt de private sleutel “client-key1” in PEM-formaat aangemaakt.
gebruik nu het volgende voorbeeld om een clientcertificaat te maken dat zal worden ondertekend door het CA-certificaat dat in Stap 2 is gemaakt.
openssl x509-req-in client-req.pem-days 1000-CA ca-cert.pem-CAkey ca-key.pem-set_serial 01 > client-cert1.pem
Signature ok
subject=/C = US / ST=California / L=Campbell / O=Barracuda Networks / ou = Tech Support/CN=barracuda.mydomain.com/[email protected]
CA privésleutel
Stap 6-PEM-bestand converteren naar PKCS #12 formaat
gebruik het volgende commando om het “client-cert1” te converteren.pem “certificaat samen met” client-key1.pem ” naar een bestand voor de uitwisseling van persoonlijke informatie (pfx token).
openssl pkcs12-export-in client-cert1.pem-inkey client-key1.pem-out client-cert1.pfx
voer Export Password in: secret
opmerking: als een goede praktijk, gebruik een uniek account voor dit integratiepunt en geef het de minst vereiste rechten, in overleg met de beheerder. Dit account vereist leesrechten. Zie beveiliging voor integratie met andere systemen – Best Practices voor meer informatie.
verifiëren – voer Exportwachtwoord in: geheim
Stap 7-het clientcertificaat importeren in de Browser
het hierboven aangemaakt clientcertificaat moet naar de client worden verzonden om in de browser te worden geïmporteerd.
