Puede utilizar un certificado SSL personalizado en lugar del certificado autofirmado predeterminado cuando los navegadores se autentiquen con el servidor NSM. En este artículo se describe una forma de crear un certificado SSL personalizado firmado por un proveedor de terceros
Certificate Authority (CA), como
Verisign.
ASPECTO La plataforma NSM proporciona el mecanismo técnico para admitir la integración de certificados de terceros. No obstante, la generación, validación o solución de problemas de certificados de terceros es
necesariamente con.
ASPECTO Antes de comenzar este proceso, debe instalar y configurar el
OpenSSL Map. La instalación y la configuración del kit de herramientas garantizan que todas las bibliotecas y archivos de configuración necesarios para OpenSSL están en su sitio.
- Descargue e instale la OpenSSL Map.
- Extraiga e instale la versión que descargó en función de su plataforma (32 bits o 64 bits).
SEÑALAR Para obtener información adicional sobre cómo obtener el kit de herramientas de OpenSSL, ir al sitio de OpenSSL.
- Cree la siguiente carpeta: c:\ssl\keys
- Abrir un cmd y cambie al directorio en el que haya instalado OpenSSL.
Obtenga un certificado SSL personalizado para su uso con NSM:
- Las versiones posteriores de Chrome y Edge requieren un certificado con el campo nombres Alt de asunto rellenado. Para crear un Solicitud de firma de certificado (CSR) para su uso con Chrome o Microsoft Edge, cree primero un archivo de configuración:
- Cree un archivo llamado sancert. cnf con la siguiente información y, a continuación, guárdela en la C:\ssl\keys directorio.
- No cambie nada en la [req] sección siguiente.
- Sustituir la información cuando sea necesario en la [dn] así [alt_names] sección
Ejemplo:
sol
default_bits = 2048
distinguished_name = DN
req_extensions = req_ext
prompt = no
ND
C = EE. UU.
ST = nombre del estado (Nota: utilice un nombre de estado completo en lugar de una abreviatura)
L = ciudad
O = nombre de la organización
OU = Nombre de dominio
CN = FQDN del nombre del servidor
[req_ext]
subjectAltName = @alt_names
[alt_names]
DNS. 1 = DNS1
DNS. 2 = dns2.com (opcional)
DNS. 3 = dns3.com (opcional)
IP. 1 = IPAddress (opcional)
- Cree la CSR con los datos especificados en el archivo de configuración:
Escriba openssl req -new -out c:\ssl\keys\mcafee.csr -newkey rsa:2048 -nodes -sha256 -keyout c:\ssl\keys\mcafee.key -config c:\ssl\keys\sancert.cnf y pulse Intro.
- Verifique el CSR que ha creado:
Escriba openssl req -text -noout -verify -in C:\ssl\keys\mcafee.csr y pulse Intro.
- Para obtener el certificado de servidor, envíe el CSR a la CA de terceros o a la CA de la empresa. La CA devuelve un nuevo archivo de certificado y los certificados de CA. En ocasiones, los certificados de CA están en archivos independientes y, en ocasiones, se encuentran en un único archivo.
A efectos del paso siguiente, damos por hecho que el nombre de archivo del certificado es nsm. cert y el nombre de archivo de CA es CA-Chain-cert. PEM. Ponga ambos archivos en C:\ssl\keys con la mcafee.key File.
- Utilice OpenSSL para Windows o Linux y genere el archivo P12 a partir de los archivos de certificado y clave generados:
Escriba openssl pkcs12 -inkey C:\ssl\keys\mcafee.key -in C:\ssl\keys\nsm.cert -export -out C:\ssl\keys\nsm.p12 -certfile C:\ssl\keys\ca-chain-cert.pem y pulse Intro.
SEÑALAR Si no ha recibido ningún archivo de cadena de certificados, omita el -certfile C:\ssl\keys\ca-chain-cert.pem opción del comando.
- Importe el archivo. p12 en la NSM. Para obtener instrucciones, consulte la guía del producto de su versión.
SEÑALAR Para obtener instrucciones sobre 9.1 así 9.2 versiones anteriores a 9.1.7.80 así 9.2.9.55Ve
KB59373-cómo sustituir el certificado SSL firmado por McAfee en el Network Security Manager con un certificado SSL firmado por autoridad de certificación