Você pode usar um certificado SSL personalizado em vez do certificado autoassinado padrão quando os navegadores se autenticarem com o servidor NSM. Este artigo descreve uma maneira de criar um certificado SSL personalizado assinado por terceiros
Certificate Authority (CA), como
Verisign.
Important A plataforma NSM fornece o mecanismo técnico para oferecer suporte à integração de certificados de terceiros. Mas, a geração, a validação ou a solução de problemas de certificados de terceiros são
válida possível.
Important Antes de iniciar esse processo, você deve instalar e configurar o
OpenSSL Toolkit. A instalação e a configuração do kit de ferramentas garantem que todas as bibliotecas e arquivos de configuração necessários para o OpenSSL estejam em vigor.
- Faça download e instale o OpenSSL Toolkit.
- Extraia e instale a versão obtida por download com base na sua plataforma (32 bits ou 64 bits).
INDICADO Para obter informações adicionais sobre como obter o kit de ferramentas OpenSSL, Vá para o site da OpenSSL.
- Crie a pasta a seguir: c:\ssl\keys
- Abrir uma cmd e altere para o diretório onde você instalou o OpenSSL.
Obter um certificado SSL personalizado para uso com o NSM:
- As versões posteriores do Chrome e da borda requerem um certificado com o campo nomes Alt do assunto preenchidos. Para criar uma Solicitação de assinatura de certificado (CSR) para uso com Chrome ou Microsoft borda, crie primeiro uma arquivo de configuração:
- Crie uma arquivo chamada sancert. cnf com as informações a seguir e, em seguida, salve-o no C:\ssl\keys pasta.
- Não alterar nada no [req] seção abaixo.
- Substitua as informações quando necessário no [dn] em [alt_names] sessões
Exemplo:
Req
default_bits = 2048
distinguished_name = DN
req_extensions = req_ext
aviso = não
ignora
C = US
ST = nome do estado (Observação: Use o nome do estado completo em vez de abreviação)
L = cidade
O = nome da organização
OU = nome do domínio
CN = FQDN do nome do servidor
[req_ext]
subjectAltName = @alt_names
[alt_names]
DNS. 1 = DNS1
DNS. 2 = dns2.com (opcional)
DNS. 3 = dns3.com (opcional)
IP. 1 = IPAddress (opcional)
- Crie o CSR com os dados especificados na arquivo de configuração:
Ferência openssl req -new -out c:\ssl\keys\mcafee.csr -newkey rsa:2048 -nodes -sha256 -keyout c:\ssl\keys\mcafee.key -config c:\ssl\keys\sancert.cnf e pressione Enter.
- Verifique a CSR que você criou:
Ferência openssl req -text -noout -verify -in C:\ssl\keys\mcafee.csr e pressione Enter.
- Para obter o certificado de servidor, envie o CSR para a CA de terceiros ou para a autoridade de certificação corporativa. Sua autoridade de certificação retorna um novo arquivo de certificado e os certificados de autoridade de certificação. Às vezes, os certificados de autoridade de certificação estão em arquivos separados e, às vezes, eles estão todos em um arquivo.
Para os fins da próxima etapa, presumimos que o nome do arquivo de certificado é NSM. cert e o nome do arquivo de CA é CA-Chain-CERT. PEM. Coloque os dois arquivos no C:\ssl\keys com o mcafee.key arquivo.
- Use OpenSSL para Windows ou Linux e gerar P12 arquivo a partir dos arquivos de certificado e de chave gerados:
Ferência openssl pkcs12 -inkey C:\ssl\keys\mcafee.key -in C:\ssl\keys\nsm.cert -export -out C:\ssl\keys\nsm.p12 -certfile C:\ssl\keys\ca-chain-cert.pem e pressione Enter.
INDICADO Se você não recebeu uma cadeia de certificados arquivo, omita o -certfile C:\ssl\keys\ca-chain-cert.pem opção do comando.
- Importe o arquivo. p12 para o NSM. Para obter instruções, consulte o guia de produto da sua versão.
INDICADO Para obter instruções sobre como 9.1 em 9.2 versões anteriores ao 9.1.7.80 em 9.2.9.55exibidas
KB59373-como substituir o certificado SSL assinado pelo McAfee no Network Security Manager com um certificado SSL assinado por uma autoridade de certificação