Создание запроса на получение сертификата SSL в F5 Big-IP

Создание ключа и получение сертификата из командной строки F5 Big-IP

Чтобы получить действительный сертификат, у вас должен быть закрытый ключ. Если у вас нет ключа, вы можете использовать утилиты genconf и genkey на контроллере BIG-IP для генерации ключа и временного сертификата. Утилиты genkey и gencert автоматически генерируют файл запроса, который вы можете отправить в центр сертификации. Если у вас есть ключ, вы можете использовать утилиту gencert для создания временного сертификата и файла запроса.

Эти утилиты описаны в следующем списке:

• genconf - Эта утилита создает файл конфигурации ключей, который содержит определенную информацию о вашей организации. Утилита genkey использует эту информацию для создания сертификата.
• genkey - После запуска утилиты genconf запустите эту утилиту, чтобы создать временный 30-дневный сертификат для тестирования SSL-ускорителя на BIG-IP-контроллере. Эта утилита также создает файл запроса, который вы можете отправить в центр сертификации для получения сертификата.
• gencert - Если у вас уже есть ключ, запустите эту утилиту, чтобы создать временный сертификат и файл запроса для SSL-ускорителя.

Можно создать файл конфигурации ключа с помощью утилиты genconf Если у вас нет ключа, вы можете сгенерировать ключ и сертификат с помощью утилиты genconf и genkey. Сначала запустите утилиту genconf из корня (/) с помощью следующих команд:

Утилита запрашивает информацию о организации, для которой вы запрашиваете сертификацию. Эта информация включает:

• Полное доменное имя (FQDN) сервера
• Двухбуквенный код ISO для вашей страны
• Полное название вашего штата, провинции или области
• Название города
• Название вашей организации
• Название подразделения или организационное подразделение

Чтобы сгенерировать ключ, используя утилиту genkey После запуска утилиты genconf вы можете сгенерировать ключ с помощью утилиты genkey.

После запуска утилиты запрашивает подтверждение информации, созданной утилитой genconf. После запуска этой утилиты в следующем каталоге создается форма запроса сертификата:

Помимо создания формы запроса, которую вы можете отправить в центр сертификации, эта утилита также создает временный сертификат. Временный сертификат находится в:

«Fqdn» - это полное доменное имя сервера. Обратите внимание, что вы должны скопировать ключ и сертификат на другой контроллер в резервной системе, но для прокси-сервера SSL у вас должен быть действительный сертификат из вашего центра сертификации.

Чтобы создать сертификат с существующим ключом, используя утилиту gencert Чтобы создать временный сертификат и файл запроса для отправки в центр сертификации с помощью утилиты gencert, сначала необходимо скопировать существующий ключ для сервера в следующий каталог на контроллере BIG-IP:

После копирования ключа в этот каталог введите следующую команду в командной строке:

После запуска утилиты будет запрашиваться различная информация. После запуска этой утилиты в следующем каталоге создается форма запроса сертификата:

Создание запроса CSR в F5 Big-IP

Сохраните предыдущую конфигурацию Если у вас в настоящее время установлен SSL-сертификат на Big-IP для определенного хоста, и вы хотите поместить новый сертификат SSL на этот хост, необходимо создать резервную копию всей конфигурации в случае возникновения проблемы позже. Чтобы создать резервную копию текущей конфигурации, запустите в качестве пользователя root следующую команду:

Конфигурация резервной копии должна быть в файле /usr/local/ucs/Setup_backup.ucs file. Сохраните этот файл в другом месте за пределами Big-IP, чтобы его можно было восстановить, если это необходимо. Кроме того, скопируйте файлы ключей, csr и crt в / config / bigconfig /, чтобы они заканчивались на .backup. После того, как вы скопировали их на свои новые имена, вы должны удалить их из папки, чтобы освободить место для нового csr, key и crt.

Создание новой конфигурации SSL

Перед созданием нового CSR и ключа вам нужно будет создать новый файл конфигурации SSL, выполнив следующую команду:

Когда вы запустите эту команду, Big-IP запросит информацию о вашей компании. Когда вы вводите эту информацию, пожалуйста, помните следующее:

• Страна / Штат / Город - введите информацию о местности в зависимости от того, где работает ваш бизнес, а не где находится ваш сервер. Укажите всю информацию о состоянии и городе.
• Организация. Пожалуйста, используйте полное, неабстрактное юридическое название компании, включая любой применимый суффикс, такой как «Inc» или «LLC». Если название вашей компании зарегистрировано в сокращенной форме, то вы можете использовать сокращения, если хотите сделать это.
• Общее имя. Здесь вы вводите веб-адрес своего сайта. Например, www.yourdomain.com и yourdomain.com являются приемлемыми. Не включайте http: // или https: //. При заказе SSL-сертификатов Wildcard используйте * .yourdomain.com

Для создания нового запроса сертификата выполните следующую команду:

Обязательно замените www.yourdomain.com фактическим именем хоста вашего хоста. На этом этапе вам будет предложено ввести информацию о вашей компании.

После того, как команда genkey будет завершена, у вас будет CSR в файле /config/bigconfig/ssl.csr/www.yourdomain.com.csr.

Создание запроса CSR в F5 FirePass SSL VPN Appliance

Чтобы начать создание CSR, войдите в интерфейс веб-администрирования FirePass. Нажмите «Сервер» в Консоли администрирования, затем «Безопасность», затем «Сертификаты». Теперь нажмите «Создать новый запрос сертификата».

При вводе информацию о своей компании, пожалуйста, помните следующее:

• Страна / Штат / Город - введите информацию о местности в зависимости от того, где работает ваш бизнес, а не где находится ваш сервер. Укажите всю информацию о регионе и городе.
• Организация. Пожалуйста, используйте полное, неабстрактное юридическое название компании, включая любой применимый суффикс, такой как «Inc» или «LLC». Если название вашей компании зарегистрировано в сокращенной форме, то вы можете использовать сокращения, если хотите сделать это.
• Общее имя сертификата. Здесь вы вводите веб-адрес своего сайта. Например, www.yourdomain.com и yourdomain.com являются приемлемыми. Не включайте http: // или https: //.

После ввода всей информации о вашей компании в область генерации CSR нажмите «Сгенерировать запрос». В результате вы получите файл ZIP, содержащий как закрытый ключ, так и CSR. Пожалуйста, не отправляйте нам закрытый ключ - сохраните его в безопасном месте. ;) Во время установки сертификата вам понадобится ключ и пароль для ключа который вы ввели при создании CSR ранее.