Certificatenketens

Alle SonicWALL SSL Offloaders ondersteunen certificatenketens. De certificaten zijn uitgepakt als meerdere certificaatsbestanden; voordat u ze importeert naar de SonicWALL SSL Offloader, moet u de certificaten importeren met de commando's voor certificatenketens.

VOORBEELD - Instructies voor het gebruik van OpenSSL

Geef het commando openssl.exe. Deze applicatie is tegelijkertijd en op dezelfde locatie geïnstalleerd als de SonicWALL configuration manager. U kunt ook de installatie van OpenSSL uitvoeren door te kiezen voor de 'Custom Installation'.

Controleer de certificaatsinformatie met openssl:

x509 -in C:hieruwdomeinnaam.crt -text

VOORBEELD: Het opzetten van een certificatenketen

Nu u de juiste certificaten heeft, kunt u de certificaten laden in certificate objects. Deze aparte certificate objects worden vervolgens geladen in een certificate group. In het voorbeeld kunt u zien hoe u twee certificaten in aparte certificate objects moet laden, hoe u een certificate group aanmaakt en hoe u de group instelt voor het gebruik als certificatenketen. De naam van het Transaction Security device is myDevice. De naam van de secure logical server is server1. De naam van het PEM-gecodeerde certificaat aangemaakt door de certificatieauthoriteit is server.pem.

Start de configuration manager als beschreven in uw handleiding.

Attach de configuration manager en ga naar Configuratiemodus. (Als u een wachtwoord aan het apparaat heeft toegekend, wordt u hierom gevraagd)

inxcfg> attach myDevice
inxcfg> configure myDevice
(config[myDevice])>

Ga naar de SSL Configuratiemodus en maak een intermediate certificaat aan met de naam CACert, ga naar Certificate Configuratiemodus. Laad het PEM-gecodeerde bestand in het certificate object, en ga terug naar de SSL Configuratiemodus.

(config[myDevice])> ssl
(config-ssl[myDevice])> cert myCert create
(config-ssl-cert[CACert])> end
(config-ssl[myDevice])>

Ga naar de Key Association Configuratiemodus, laad het PEM-gecodeerde CA certificaat en de private key-bestanden, en ga terug naar de SSL Configuratiemodus.

(config-ssl[myDevice])> keyassoc localKeyAssoc create
(config-ssl-keyassoc[localKeyAssoc])> pem server.pem key.pem
(config-ssl-keyassoc[localKeyAssoc])> end
(config-ssl[myDevice])>

Ga naar de Certificate Group Configuratiemodus, maak de groep CACertGroup aan, laad het certificate object CACert, en ga terug naar de SSL Configuratiemodus.

(config-ssl[myDevice])> certgroup CACertGroup create
(config-ssl-certgroup[CACertGroup])> cert myCert
(config-ssl-certgroup[CACertGroup])> end
(config-ssl[myDevice])>

Ga naar de Server Configuratiemodus, maak de logical secure server 'server1' aan, ken een IP-adres toe, poorten, een security policy met de naam myPol, de certificate group CACertGroup, de key association localKeyAssoc, en verlaat de modus om vervolgens naar de Top Levelmodus te gaan.

(config-ssl[myDevice])> server server1 create
(config-ssl-server[server1])> ip address 10.1.2.4 netmask 255.255.0.0
(config-ssl-server[server1])> sslport 443
(config-ssl-server[server1])> remoteport 81
(config-ssl-server[server1])> secpolicy myPol
(config-ssl-server[server1])> certgroup chain CACertGroup
(config-ssl-server[server1])> keyassoc localKeyAssoc
(config-ssl-server[server1])> end
(config-ssl[myDevice])> end
(config[myDevice])> end
inxcfg> 

Sla de configuratie op in het flash memory. Als u de configuratie niet opslaat gaat deze verloren tijdens een power cycle of als u het commando 'reload' gebruikt.

inxcfg> write flash myDevice

Hulpbronnen

Extra informatie en technische gegevens over SonicWALL SSL kunt u online vinden op: http://www.sonicwall.com/support/ssl_documentation.html