Secure Connect Gateway. Как создать запрос на заверение сертификата (CSR)

Запрос подписи сертификата (CSR) невозможно создать на странице импорта сертификатов в пользовательском интерфейсе Secure Connect Gateway (SCG).

Если ваш источник подписи сертификатов требует использования CSR, выполните следующие действия.

• Войдите в SCG/PM с помощью SSH.
• Если он включен в Policy Manager (PM), введите контейнер с помощью следующей команды (пропустите этот шаг в SCG):

  • PM=$(docker ps --format '{{.Names}}');\
    docker exec -it $PM bash

• Выполните следующую команду (не вставляйте пробелы перед обратной косой чертой в строках между -subj и /CN): 

  • openssl req -newkey rsa:4096 \
    -subj "/C=<Country>\
    /ST=<State/Province>\
    /L=<City>\
    /O=<Comapny>\
    /OU=<Department>\
    /CN=<Hostname/FQDN>" \
    -addext "subjectAltName = DNS:<FQDN>, IP:<IP>" \
    -keyout private.key -out csr.csr

  • Любой пробел в поле темы должен быть экранирован символом \ в начале, см. пример изображения.
• Скопируйте файлы за пределы контейнера (требуется только в Policy Manager):
  • Выйдите из контейнера с помощью клавиш Ctrl+D: 

  • PM=$(docker ps --format '{{.Names}}');\
    docker cp $PM:/csr.csr /root/csr.csr;\
    docker cp $PM:/private.key /root/private.key

• 
• Два файла создаются в /root.
  • Передайте .csr в Cert Authority для подписания. попросить X.509 в кодировке Base-64.
  • Оставьте private.key без изменений, чтобы впоследствии импортировать его с подписанным сертификатом.
• После получения подписанного сертификата загрузите его в SCG/PM:
  • 
  • Выполните следующую команду, чтобы преобразовать сертификат и ключ в формат, совместимый с SCG/PM:

    • openssl pkcs12 -export -in pmcert.cer -inkey private.key -out pmcert.p12

      
      
    • Сохраните файл .p12 на свой компьютер и импортируйте файл p12 в пользовательский интерфейс SCG/PM.
    • После перезагрузки SCG/PM убедитесь, что информация о сертификате верна:
      •