È possibile utilizzare un certificato SSL personalizzato anziché il certificato autofirmato predefinito quando i browser eseguono l'autenticazione con il server NSM. Questo articolo descrive un modo per creare un certificato SSL personalizzato firmato da terze parti
Certificate Authority (CA), ad esempio
Verisign.
IMPORTANTE La piattaforma NSM fornisce il meccanismo tecnico per supportare l'integrazione di certificati di terze parti. Tuttavia, la generazione, la convalida o la risoluzione dei problemi di certificati di terze parti è
non supportato.
IMPORTANTE Prima di iniziare il processo, è necessario installare e configurare il
OpenSSL Toolkit. L'installazione e la configurazione del Toolkit garantiscono che tutte le librerie e i file di configurazione necessari per OpenSSL siano in vigore.
- Scaricare e installare il OpenSSL Toolkit.
- Estrarre e installare la versione scaricata in base alla piattaforma (32 bit o 64 bit).
Nota Per ulteriori informazioni su come ottenere il Toolkit OpenSSL, accedere al sito OpenSSL.
- Creare la cartella seguente: c:\ssl\keys
- Aprire un cmd finestra e passare alla directory in cui è stato installato OpenSSL.
Ottenere un certificato SSL personalizzato da utilizzare con NSM:
- Le versioni più recenti di Chrome e Edge richiedono un certificato con il campo nome oggetto Alt popolato. Per creare un Richiesta di firma del certificato (CSR) per l'utilizzo con Chrome o Microsoft Edge, creare prima un file di configurazione:
- Creare un file denominato Sancert. cnf con le informazioni riportate di seguito, quindi salvarle nel C:\ssl\keys cartella.
- Non modificare nulla nel [req] sezione riportata di seguito.
- Sostituire le informazioni quando necessario nel [dn] e [alt_names] sezioni
Esempio:
req
default_bits = 2048
distinguished_name = DN
req_extensions = req_ext
Richiedi = No
DN
C = Stati Uniti
ST = nome stato (Nota: utilizzare il nome completo dello stato anziché l'abbreviazione)
L = città
O = nome organizzazione
OU = nome dominio
CN = FQDN del nome del server
[req_ext]
subjectAltName = @alt_names
[alt_names]
DNS. 1 = DNS1
DNS. 2 = dns2.com (facoltativo)
DNS. 3 = dns3.com (facoltativo)
IP. 1 = IPAddress (facoltativo)
- Creare il CSR con i dati specificati nel file di configurazione:
Tipo openssl req -new -out c:\ssl\keys\mcafee.csr -newkey rsa:2048 -nodes -sha256 -keyout c:\ssl\keys\mcafee.key -config c:\ssl\keys\sancert.cnf e premere INVIO.
- Verificare il CSR creato:
Tipo openssl req -text -noout -verify -in C:\ssl\keys\mcafee.csr e premere INVIO.
- Per ottenere il certificato del server, inviare il CSR alla CA di terze parti o all'autorità di certificazione Enterprise. La CA restituisce un nuovo file di certificato e i certificati CA. A volte i certificati CA si trovano in file separati e a volte sono tutti in un unico file.
Ai fini del passaggio successivo, si presuppone che il nome file Cert sia NSM. cert e che il nome del file CA sia CA-Chain-cert. pem. Inserire entrambi i file in C:\ssl\keys con il mcafee.key file.
- Utilizzare OpenSSL per Windows o Linux e generare il file P12 dai file cert e Key generati:
Tipo openssl pkcs12 -inkey C:\ssl\keys\mcafee.key -in C:\ssl\keys\nsm.cert -export -out C:\ssl\keys\nsm.p12 -certfile C:\ssl\keys\ca-chain-cert.pem e premere INVIO.
Nota Se non si riceve un file della catena di certificati, omettere il -certfile C:\ssl\keys\ca-chain-cert.pem opzione dal comando.
- Importare il file. P12 in NSM. Per istruzioni, consultare la guida del prodotto per il rilascio.
Nota Per istruzioni per 9.1 e 9.2 versioni precedenti a 9.1.7.80 e 9.2.9.55vedere
KB59373-come sostituire il certificato SSL McAfee-signed sul Network Security Manager con un certificato SSL firmato dall'autorità di certificazione