Les Certificats Chaînées 

Tous les SonicWALL SSL Offloaders supportent les certificats chaînées. Une fois que les certificats sont dézippés avant l'import dans le SonicWALL SSL Offloader, le certificat devra être importé en utilisant les commandes de certificat chaîné. Les certificats auront un certificat racine (root certificate), et un certificat intermédiaire en plus du certificat serveur CA.

EXEMPLE - Instructions pour utiliser l'OpenSSL

Maintenant que vous avez reçu le certificat, vous aurez besoin de dézipper les certificats jusque dans les certificats racine, intermédiaire et de serveur afin que vous puissiez les mettre dans le SonicWALL SSL Offloader.

Commencer par dézipper les 3 certificats, vous aurez seulement besoin du Networking4allSecurityServicesCA.crt et les certificats domain.crt.

Veuillez lancer openssl.exe. Cette application a été installée au même moment et au même endroit que le manageur de configuration SonicWALL. Vous pouvez aussi lancer l'installation et juste installer OpenSSL en choisissant l'option 'Custom Installation'.

Une fois lancée, veuillez ouvrir les certificats Networking4allSecurityServicesCA.crt et domain.crt dans un éditeur de texte

Vous aurez besoin de copier/coller le texte entier y compris

 -----BEGIN CERTIFICATE----- 
et
-----END CERTIFICATE----- 

Le certificat domain.crt est le certificat serveur.
Le Networking4allSecurityServicesCA.crt est le certificat intermédiaire.

Sauvegarder ces fichiers (par exemple C:server.pem et C:inter.pem)

Verifier l'information du certificat avec openssl:
x509 -in C:server.pem -text
(et)
x509 -in :Cinter.pem -text

EXEMPLE - Mettre en place les Certificats Chaînés

Maintenant que vous avez vos propres certificats, veuillez commencer  par charger les certificats dans des objets de certificat. Ces objets de certificat séparés sont alors chargés dans un groupe de certificat. Cet exemple démontre comment charger les deux certificats dans des objets de certificat individuel, créer un groupe de certificat et permettre l'utilisation du groupe en tant que chaîne de certificat. Le nom de l'outil de Transaction Security est myDevice. Le nom du serveur logique sécurisé est server1. Le nom du certificat encodé en PEM, généré par le CA est server.pem; le nom du certificat encodé en PEM est inter.pem. Les noms des objets de certificat reconnu et local sont respectivement trustedCert et myCert. Le nom du groupe de certificat est CACertGroup.

Veuillez lancer le manager de configuration comme décrit dans le manuel.

Joindre le manager de configuration et entrer dans le Configuration mode. (Si un mot de passe joint ou de configurationlevel est assigné à l'outil, on vous demandera d'entrer n'importe quel mot de passe).
inxcfg> attach myDevice
inxcfg> configure myDevice
(config[myDevice])>

Veuillez entrer en mode SSL Configuration mode et créer un certificat intermédiaire nommé CACert, en entrant dans le Certificate Configuration mode. Veuillez charger le fichier encodé en PEM dans l'objet de certificat, et retourner vers le SSL Configuration mode. (config[myDevice])> ssl
(config-ssl[myDevice])> cert myCert create
(config-ssl-cert[CACert])> pem inter.pem
(config-ssl-cert[CACert])> end
(config-ssl[myDevice])>

Veuillez indiquer dans le Key Association Configuration mode, veuillez charger les fichiers de clef privée et du certificat du CA encodé en PEM, et retourner vers le SSL Configuration mode.
(config-ssl[myDevice])> keyassoc localKeyAssoc create
(config-ssl-keyassoc[localKeyAssoc])> pem server.pem key.pem
(config-ssl-keyassoc[localKeyAssoc])> end
(config-ssl[myDevice])>

Veuillez indiquer le mode de Configuration du Groupe de Certificat (Certificate Group Configuration mode), créer le groupe de certificat CACertGroup, charger l'objet de certificat CACert, et retourner le mode de Configuration SSL.
(config-ssl[myDevice])> certgroup CACertGroup create
(config-ssl-certgroup[CACertGroup])> cert myCert
(config-ssl-certgroup[CACertGroup])> end
(config-ssl[myDevice])>

Veuillez entrer le mode de Configuration Server, créer le serveur sécurisé logique, assigner une adresse IP, SSL et des ports de texte clair, une politique de sécurité myPol, le groupe de certificat CACertGroup, l'association de clef localKeyAssoc, et sortir vers le mode Top Level. (config-ssl[myDevice])> server server1 create
(config-ssl-server[server1])> ip address 10.1.2.4 netmask 255.255.0.0
(config-ssl-server[server1])> sslport 443
(config-ssl-server[server1])> remoteport 81
(config-ssl-server[server1])> secpolicy myPol
(config-ssl-server[server1])> certgroup chain CACertGroup
(config-ssl-server[server1])> keyassoc localKeyAssoc
(config-ssl-server[server1])> end
(config-ssl[myDevice])> end
(config[myDevice])> end
inxcfg>

Veuillez sauvegarder la configuration sur mémoire flash. Si ce n'est pas sauvegardé, la configuration est perdue durant un arrêt puis remise sous tension ou si la commande reload (rechargement) est utilisée.
inxcfg> write flash myDevice
inxcfg>

Ressources

Des documents additionnels et des notes techniques sur SonicWALL SSL peuvent être trouvés en ligne sur http://www.sonicwall.com/support/ssl_documentation.html