Support

La création du CSR du F5 Big IP Controller 4.X

Vous pouvez générer une clef, un certificat temporaire, et un formulaire de requête de certificat avec l'utilité de Configuration ou à partir de la ligne de commande. 

Remarque: Nous vous recommandons l'utilisation de l'utilité de Configuration pour ce processus. Le processus de certification est en règle générale géré via une page web. Les parties du processus vous nécessitent de copier/coller l'information à partir de la fenêtre de navigation dans l'utilité de Configuration vers une autre fenêtre de navigateur sur le site internet.

Vous devez avoir un certificat séparé pour chaque nom de domaine sur chaque Controleur BIG-IP ou paire redondante des Controlleurs BIG-IP, peu importe le nombre de serveurs SSL web qui n'ont pas la technologie de load balancing par le Controleur BIG-IP.  Si vous fonctionnez déjà avec un serveur SSL, vous pouvez utiliser vos clefs existantes pour générer temporairement les fichiers de certificat et de requête. Cependant, vous devez obtenir de nouveaux certificats si les derniers que vous avez ne sont pas les types de serveurs web suivants: Apache + OpenSSL Stronghold

Générer une clef et obtenir un certificat en utilisant l'utilité de Configuration 
Pour obtenir un certificat, vous devez avoir une clef privée. Si vous n'avez pas de clef, vous pouvez utiliser l'utilité de Configuration sur le Controlleur BIG-IP pour générer une clef et un certificat temporaire. Vous pouvez également utiliser l'utilité de Configuration pour créer un fichier de requête que vous pouvez envoyer. Vous devez compléter les tâches suivantes dans l'utilité de Configuration pour créer une clef et générer une requête de certificat.


Générer une requête de certificat.
Envoyer la requête de certificat à l'Autorité de Certification et générer un certificat temporaire.
Installer le certificat SSL de l'Autorité de Certification. 
Enfin, veuillez installer le certificat intermédiaire de l'Autorité de Certification.

Pour créer une requête pour votre nouveau certificat en utilisant l'utilité de Configuration 
Dans le volet de navigation, cliquer sur Proxies. L'écran de Proxies s'ouvre.
Dans l'écran de Proxies, cliquer sur Créer sur l'onglet de Requête de Certificats SSL, l'écran de Requête d'un Nouveau Certificat SSL s'ouvre. Dans la section d'information Clef, sélectionner une longueur de clef et le nom du fichier de la clef. Veuillez choisir 2048 Bits. Entrer le nom du fichier de la clef.
Cela devrait être le fully qualified domain name (nom de domaine hautement qualifié) du serveur pour lequel vous souhaitez faire la requête d'un certificat.
Vous devez ajouter l'extension du fichier .key au nom.

Dans la section d'Information du Certificat, indiquer l'information spécifique à votre entreprise.
Pays - Indiquer le code ISO à 2 lettres pour votre pays
Etat ou Province - Indiquer le nom complet de votre Etat ou province
Localité - Indiquer le nom de la ville ou de la commune
Organisation - Indiquer le nom de votre organisation
Unité Organisationelle - Type du nom de division ou de l'unité organisationnelle
Nom de Domaine - Indiquer le nom du domaine sur lequel le serveur est installé
Adresse Mail - Indiquer l'adresse mail d'une personne à contacter à ce sujet
Mot de Passe Challenge - Indiquer le mot de passe que vous souhaitez utiliser en tant que challenge password
Re-taper le mot de passe - Retaper le mot de passe que vous avez indiqué pour le mot de passe challenge.

Cliquer sur le bouton Generate Certificate Request.
Après une petite pause, la fenêtre de la Requête de Certificat SSL s'ouvre. Veuillez utiliser la fenêtre de Requête de Certificat SSL pour débuter le processus d'obtention du certificat de l'Autorité de Certification, et ensuite générer et installer un certificat temporaire.

Générer et installer un certificat temporaire
Cliquer sur le bouton Generate Self-Signed Certificate pour créer un certificat auto-signé pour le serveur. Nous recommandons que vous utilisez le certificat temporaire afin de le tester seulement. Vous devriez mettre en ligne votre site seulement après que vous recevez un certificat proprement signé de l'Autorité de Certification. Quand tu cliques sur ce bouton, un certificat temporaire est créé et installé sur le Controlleur BIG-IP. Ce certificat temporaire vous permet de mettre en place un gateway SSL pour l'Accelerator SSL pendant que vous attendez que l'Autorité de Certification vous retourne un certificat permanent.

Générer une clef et obtenir un certificat de la ligne de commande
Pour obtenir un certificat valide, vous devez avoir une clef privée. Si vous n'avez pas de clef, vous pouvez utiliser les utilités genconf et genkey sur le contrôleur BIG-IP pour générer une clef et un certificat temporaire. Les utilités genkey et gencert génèrent automatiquement un fichier de requête que vous pouvez envoyer à une Autorité de Certification. Si vous avez une clef, vous pouvez utiliser l'utilité gencert pour générer un certificat temporaire et le fichier de requête.

Ces utilités sont décrites dans la liste suivante:

genconf - Cette utilité crée un fichier de configuration de clef qui contient des informations spécifiques sur votre organisation. L'utilité genkey utilise cette information pour générer un certificat.

genkey - Après que vous lancez l'utilité genconf, lancer cette utilité pour générer un certificat temporaire de 30 jours pour tester le SSL Accelerator sur le
 BIG-IP Controller. Cette utilité crée aussi un fichier de requête que vous pouvez envoyer à une autorité de Certification pour obtenir un certificat.

gencert - si vous avez déjà une clef, lancer l'utilité pour générer un certificat temporaire et le fichier de requête pour l'Accelerator SSL.

Pour générer un fichier de configuration de clef en utilisant l'utilité genconf
Si vous n'avez pas de clef, vous pouvez générer une clef et un certificat avec les utilités genconf et genkey. Premièrement, lancer l'utilité genconf de la racine (/) avec les commandes suivantes:

cd /
/usr/local/bin/genconf

L'utilité vous demande des informations sur l'organisation pour laquelle vous avez fait la requête de certificat. Cette information inclut: 
Le fully qualified domain name (FQDN) du serveur 
Le code ISO à 2 lettres pour votre pays
Le nom complet de votre Etat ou province
Le nom de la ville ou province
Le nom de votre organisation 
Le nom de division ou l'unité organisationelle

Pour générer une clef utilisant l'utilité genkey
Après que vous lancez l'utilité genconf, vous pouvez générer une clef avec l'utilité genkey.

cd / /user/local/bin/genkey

Après que l'utilité débute le processus, il vous demande de vérifier l'information crée par l'utilité genconf. Après que vous lancez cette utilité, un formulaire de requête de certificat est créé dans la répertoire suivant:

/config/bigconfig/fqdn.req

En plus de créer un formulaire de commande que vous pouvez émettre à une Autorité de Certification, cette utilité génère aussi un certificat temporaire. Le certificat temporaire est situé dans:

/config/bigconfig/ssl.crt/fqdn.crt

Le "fqdn" est le fully qualified domain name du serveur.

Veuillez prendre en compte que vous devez copier la clef et le certificat à l'autre contrôleur dans un système redondant, mais pour un proxy SSL vous devriez avoir un certificat valide de votre Autorité de Certification.

Pour générer un certificat avec une clef existante en utilisant l'utilité gencert. 
Pour générer un certificat temporaire et un fichier de requête à envoyer à l'Autorité de Certification avec l'utilité gencert, vous devez premièrement copier une clef existante pour un serveur dans le répertoire suivant sur le controller BIG-IP:

/config/bigconfig/ssl.key/

Après avoir copié la clef dans le répertoire, taper la commande suivante dans la ligne de commande:

cd / /user/local/bin/gencert

Après que l'utilité commence, il vous demandera différentes informations. Après que vous lancez cette utilité, un formulaire de requête de certificat est créé dans le répertoire suivant:

/config/bigconfig/ssl.crt/fqdn.req

Le "fqdn" est le fully qualified domain name du serveur.