innan du skapar ett klientcertifikat bör du skapa ett CA-certifikat som kan användas som root CA-certifikat för att underteckna klientcertifikaten. För att skapa ett CA-certifikat för servern som betecknas som SSL CA-server, utför följande steg:
- generera en privat nyckel för CA – certifikatet
- skapa ett CA-certifikat med den privata nyckeln
- importera CA-certifikatet till Barracuda Web Application Firewall
- aktivera klientautentisering på Barracuda Web Application Firewall
- skapa ett klientcertifikat
- konvertera PEM-fil till PKCS #12 format
- importera klientcertifikatet till webbläsaren
- Steg 1-generera en privat nyckel för ca-certifikatet
- steg 2-skapa ett CA-certifikat med den privata nyckeln
- steg 3-Importera CA-certifikatet till Barracuda Web Application Firewall
- steg 4-Aktivera klientautentisering på Barracuda webbapplikations brandvägg
- steg för att aktivera klientautentisering:
- Steg 5-skapa ett klientcertifikat
- steg 6 – konvertera PEM-fil till PKCS #12-Format
- Steg 7 – importera klientcertifikatet till webbläsaren
Steg 1-generera en privat nyckel för ca-certifikatet
för att generera en nyckel för ett CA-certifikat, kör följande OpenSSL-kommando på din dator server:
openssl genrsa 2048 > ca-nyckel.pem
detta genererar en privat nyckel ”ca-key” i PEM-format.
steg 2-skapa ett CA-certifikat med den privata nyckeln
använd den privata nyckeln som genererats i steg 1 för att skapa CA-certifikatet för servern. Kommandot openssl för att generera ett CA-certifikat är som följer:
openssl req-new-x509-nodes-days 1000-key ca-key.pem > ca-certifikat.pem
du kommer att uppmanas att tillhandahålla viss information som kommer att anges i certifikatet. Se exemplet nedan:
landsnamn (2 bokstavskod) : US
statligt eller Provinsnamn (fullständigt namn) : Kalifornien
ortnamn (t. ex. stad) : Campbell
organisationsnamn (t. ex. företag) : Barracuda Networks
organisationsnamn (t. ex. avsnitt) : Engineering
vanligt namn (t. ex. ditt namn) : barracuda.yourdomain.com
e-postadress :[email protected]
detta skapar CA-certifikatet med värdena ovan. Detta certifikat fungerar som ett root CA-certifikat för autentisering av klientcertifikaten.
steg 3-Importera CA-certifikatet till Barracuda Web Application Firewall
det skapade certifikatet måste laddas upp i avsnittet BASIC > certifikat > Ladda upp betrodda (CA) certifikat.
steg 4-Aktivera klientautentisering på Barracuda webbapplikations brandvägg
för att kunna använda CA-certifikatet för validering av klientcertifikat bör klientautentisering först aktiveras.
steg för att aktivera klientautentisering:
- gå till sidan Grundläggande > tjänster.
- i avsnittet Tjänster identifierar du den tjänst som du vill aktivera klientautentisering för.
- klicka på Redigera bredvid tjänsten. På sidan Serviceredigering bläddrar du ner till avsnittet SSL.
- ange aktivera klientautentisering och genomdriva klientcertifikat till Ja.
- markera kryssrutan(er) bredvid parametern betrodda certifikat.
- ange värden för andra parametrar efter behov och klicka på Spara ändringar.
Steg 5-skapa ett klientcertifikat
för att skapa ett klientcertifikat, använd följande exempel:
openssl req-newkey rsa:2048-dagar 1000-noder-keyout klient-key1.pem > klient-req.pem
generera en 2048 bitars RSA privat nyckel skriva ny privat nyckel till ’client-key1.pem ’
…………………………………………………………………………..+++
..+ + +
du är på väg att bli ombedd att ange information som kommer att införlivas i din certifikatbegäran.
vad du är på väg att ange är vad som kallas en framstående namn eller en DN.
det finns en hel del fält men du kan lämna några tomma
för vissa fält kommer det att finnas ett standardvärde,
om du anger ’.’, fältet kommer att lämnas tomt.
landsnamn (2 bokstavskod) : US
statligt eller Provinsnamn (fullständigt namn) : Kalifornien
ortnamn (t. ex. stad) : Campbell
organisationsnamn (t. ex. företag) : Barracuda Networks
organisationsnamn (t. ex. avsnitt) : teknisk Support
vanligt namn (t. ex.) T. ex. ditt namn): barracuda.mydomain.com
e-postadress : [email protected]
ange följande ’extra’ attribut som ska skickas med din certifikatbegäran
ett utmaningslösenord : Secret123
Obs: som en bästa praxis, använd ett unikt konto för denna integrationspunkt och ge den den minsta nivån av behörigheter som krävs, samordna med administratören. Det här kontot kräver läsbehörighet. För ytterligare information, se säkerhet för integrering med andra system – bästa praxis.
ett valfritt företagsnamn : –
detta skapar den privata nyckeln ”client-key1” i PEM-format.
använd nu följande exempel för att skapa ett klientcertifikat som ska signeras av CA-certifikatet som skapades I steg 2.
openssl x509-req-i klient-req.pem-dagar 1000-CA ca-cert.pem-CAkey ca-nyckel.pem-set_serial 01 > klient-cert1.pem
signatur ok
subject= / C = US / ST = Kalifornien / l = Campbell / O=Barracuda Networks/ou = Tech Support/CN=barracuda.mydomain.com/[email protected]
få ca privat nyckel
steg 6 – konvertera PEM-fil till PKCS #12-Format
använd följande kommando för att konvertera ”client-cert1.pem ”certifikat tillsammans med” klient-key1.pem ” till en personlig Informationsutbytesfil (pfx-token).
openssl pkcs12-export-i klient-cert1.pem-inkey klient-key1.pem-Out klient-cert1.PFX
ange Exportlösenord:secret
Obs: som en bästa praxis, använd ett unikt konto för denna integrationspunkt och ge den den minsta nivån av privilegier som krävs, samordna med administratören. Det här kontot kräver läsbehörighet. För ytterligare information, se säkerhet för integrering med andra system – bästa praxis.
verifiera – ange Exportlösenord: secret
Steg 7 – importera klientcertifikatet till webbläsaren
klientcertifikatet som skapats ovan ska skickas till klienten för att importeras i webbläsaren.