przed utworzeniem certyfikatu klienta należy utworzyć certyfikat urzędu certyfikacji, który może być używany jako główny certyfikat urzędu certyfikacji do podpisywania certyfikatów klienta. Aby utworzyć certyfikat urzędu certyfikacji dla serwera oznaczonego jako serwer urzędu certyfikacji SSL, wykonaj następujące czynności:
- Wygeneruj klucz prywatny dla certyfikatu CA
- Utwórz certyfikat CA przy użyciu klucza prywatnego
- Importuj certyfikat CA Do Zapory aplikacji internetowej Barracuda
- Włącz uwierzytelnianie klienta w zaporze aplikacji internetowej Barracuda
- Utwórz certyfikat klienta
- Konwersja pliku PEM do formatu PKCS #12
- Importuj certyfikat klienta do przeglądarki
- Krok 1 – Wygeneruj klucz prywatny dla certyfikatu CA
- Krok 2 – Utwórz certyfikat CA przy użyciu klucza prywatnego
- Krok 3 – zaimportuj certyfikat CA Do Zapory aplikacji internetowej Barracuda
- Krok 4 – Włącz uwierzytelnianie klienta w zaporze aplikacji internetowej Barracuda
- kroki umożliwiające uwierzytelnianie klienta:
- Krok 5-Utwórz certyfikat klienta
- Krok 6 – Konwersja pliku PEM do formatu PKCS #12
- Krok 7 – Importuj certyfikat klienta do przeglądarki
Krok 1 – Wygeneruj klucz prywatny dla certyfikatu CA
aby wygenerować klucz dla certyfikatu CA, uruchom następujące polecenie OpenSSL na swoim komputerze. serwer:
openssl genrsa 2048 > ca-key.pem
to generuje klucz prywatny „ca-key” w formacie PEM.
Krok 2 – Utwórz certyfikat CA przy użyciu klucza prywatnego
Użyj klucza prywatnego wygenerowanego w Kroku 1, aby utworzyć certyfikat CA dla serwera. Polecenie OpenSSL do generowania certyfikatu CA jest następujące:
openssl req-new-x509-nodes-days 1000-key CA-key.pem > ca-cert.pem
zostaniesz poproszony o podanie pewnych informacji, które zostaną wprowadzone do certyfikatu. Zobacz przykład poniżej:
nazwa kraju (2-literowy kod) : USA
Nazwa stanu lub prowincji ( pełna nazwa): Kalifornia
nazwa miejscowości (np. miasto): Campbell
nazwa organizacji (np. firma) : Barracuda Networks
Nazwa jednostki organizacyjnej (np. sekcja): Inżynieria
nazwa zwyczajowa (np. barracuda.yourdomain.com
adres e-mail : [email protected]
spowoduje to utworzenie certyfikatu CA o powyższych wartościach. Ten certyfikat działa jako główny certyfikat CA do uwierzytelniania certyfikatów klienta.
Krok 3 – zaimportuj certyfikat CA Do Zapory aplikacji internetowej Barracuda
utworzony certyfikat należy przesłać w sekcji Basic > Certificates > Upload Trusted (CA) Certificate.
Krok 4 – Włącz uwierzytelnianie klienta w zaporze aplikacji internetowej Barracuda
aby móc używać certyfikatu CA do sprawdzania certyfikatów klienta, należy najpierw włączyć uwierzytelnianie klienta.
kroki umożliwiające uwierzytelnianie klienta:
- przejdź do strony podstawowe > usługi.
- w sekcji Usługi określ usługę, dla której chcesz włączyć uwierzytelnianie klienta.
- kliknij Edytuj obok usługi. Na stronie Edycja usługi przewiń w dół do sekcji SSL.
- Ustaw Włącz uwierzytelnianie klienta i Wymuś certyfikat klienta na tak.
- zaznacz pole(y) wyboru obok parametru zaufane certyfikaty.
- określ wartości dla innych parametrów zgodnie z wymaganiami i kliknij Zapisz zmiany.
Krok 5-Utwórz certyfikat klienta
aby utworzyć certyfikat klienta, użyj poniższego przykładu:
OpenSSL req-newkey rsa: 2048-days 1000-nodes-keyout client-key1.pem > klient-req.pem
generowanie 2048-bitowego klucza prywatnego RSA zapisywanie nowego klucza prywatnego do ’ client-key1.pem ”
…………………………………………………………………………..+++
..+ + +
zostaniesz poproszony o wprowadzenie informacji, które zostaną włączone do żądania certyfikatu.
to, co masz zamiar wprowadzić, to tak zwane wyróżniające się imię lub DN.
istnieje sporo pól, ale możesz zostawić niektóre puste
dla niektórych pól będzie wartość domyślna,
jeśli wpiszesz ’.’, pole zostanie puste.
nazwa kraju (2-literowy kod) : USA
Nazwa stanu lub prowincji (pełna nazwa) : California
nazwa miejscowości (np. miasto) : Campbell
nazwa organizacji (np. firma) : Barracuda Networks
Nazwa jednostki organizacyjnej (np. sekcja) : wsparcie techniczne
np. imię i nazwisko) : barracuda.mydomain.com
adres e-mail : [email protected]
wprowadź następujące „dodatkowe” atrybuty, które mają zostać wysłane wraz z żądaniem certyfikatu
hasło wyzwania : Secret123
Uwaga: jako najlepszą praktykę należy użyć unikalnego konta dla tego punktu integracji i przyznać mu minimalny wymagany poziom uprawnień, koordynując to z administratorem. To konto wymaga uprawnień do odczytu. Aby uzyskać dodatkowe informacje, zobacz bezpieczeństwo integracji z innymi systemami-najlepsze praktyki.
opcjonalna Nazwa firmy:-
spowoduje to utworzenie klucza prywatnego „client-key1” w formacie PEM.
teraz użyj poniższego przykładu, aby utworzyć certyfikat klienta, który będzie podpisany certyfikatem urzędu certyfikacji utworzonym w Kroku 2.
OpenSSL x509-req-in client-req.pem-days 1000-CA ca-cert.pem-cakey ca-key.pem-set_serial 01 > klient-cert1.pem
podpis ok
subject= / C=US / ST=California / L = Campbell/O = Barracuda Networks / OU=Tech Support/CN=barracuda.mydomain.com/[email protected]
uzyskanie klucza prywatnego CA
Krok 6 – Konwersja pliku PEM do formatu PKCS #12
Użyj następującego polecenia, aby przekonwertować „client-cert1.pem „certyfikat wraz z” klient-klucz1.pem ” do pliku wymiany danych osobowych (Token pfx).
OpenSSL pkcs12-export – in client-cert1.pem-inkey klient-klucz1.klient pem-out-cert1.pfx
Enter Export Password: secret
Uwaga: jako najlepszą praktykę należy użyć unikalnego konta dla tego punktu integracji i przyznać mu minimalny wymagany poziom uprawnień, koordynując to z administratorem. To konto wymaga uprawnień do odczytu. Aby uzyskać dodatkowe informacje, zobacz bezpieczeństwo integracji z innymi systemami-najlepsze praktyki.
weryfikacja – wprowadź hasło eksportu: secret
Krok 7 – Importuj certyfikat klienta do przeglądarki
utworzony powyżej certyfikat klienta powinien zostać wysłany do Klienta w celu zaimportowania go w przeglądarce.
