Secure Connect Gateway: Generowanie żądania podpisania certyfikatu

Nie można wygenerować żądania podpisania certyfikatu (CSR) z poziomu strony importu certyfikatu w interfejsie użytkownika bramki zabezpieczeń (SCG).

Jeśli urząd certyfikacji podpisującej wymaga użycia CSR, wykonaj kroki opisane poniżej:

• Zaloguj się do SCG/PM za pomocą SSH
• W przypadku Policy Manager (PM) wprowadź kontener za pomocą następującego polecenia (pomiń ten krok w SCG):

  • PM=$(docker ps --format '{{.Names}}');\
    docker exec -it $PM bash

• Uruchom następujące polecenie (nie wstawiaj spacji przed końcowymi odwrotnymi ukośnikami w wierszach między -subj i /CN): 

  • openssl req -newkey rsa:4096 \
    -subj "/C=<Country>\
    /ST=<State/Province>\
    /L=<City>\
    /O=<Comapny>\
    /OU=<Department>\
    /CN=<Hostname/FQDN>" \
    -addext "subjectAltName = DNS:<FQDN>, IP:<IP>" \
    -keyout private.key -out csr.csr

  • Każda spacja w polu tematu musi być poprzedzona początkowym znakiem \, patrz przykładowy obrazek.
• Skopiuj pliki na zewnątrz kontenera (wymagane tylko w Policy Manager):
  • Zamknij kontener za pomocą kombinacji Ctrl+D: 

  • PM=$(docker ps --format '{{.Names}}');\
    docker cp $PM:/csr.csr /root/csr.csr;\
    docker cp $PM:/private.key /root/private.key

• 
• Dwa pliki są generowane w /root:
  • Przekaż .csr do urzędu certyfikacji w celu podpisania; zapytaj o X.509 zakodowany w Base-64.
  • Pozostaw private.key bez zmian, aby zaimportować je później z podpisanym certyfikatem.
• Po otrzymaniu podpisanego certyfikatu prześlij go do SCG/PM:
  • 
  • Uruchom następujące polecenie, aby przekonwertować Cert i Key na format zgodny z SCG/PM:

    • openssl pkcs12 -export -in pmcert.cer -inkey private.key -out pmcert.p12

      
      
    • Zapisz plik .p12 na komputerze i zaimportuj plik p12 do interfejsu użytkownika SCG/PM.
    • Po ponownym uruchomieniu SCG/PM sprawdź, czy informacje o certyfikacie są poprawne:
      •