安全連線閘道：如何產生憑證簽署要求 (CSR)

無法從安全連線閘道 （SCG） 使用者介面上的憑證匯入頁面產生憑證簽章要求 （CSR）。

如果您的憑證簽署機構要求使用 CSR，請按照以下概述的步驟操作：

• 使用 SSH 登入 SCG/PM
• 如果在 Policy Manager （PM） 上，使用下列命令輸入容器 （在 SCG 上略過此步驟）：

  • PM=$(docker ps --format '{{.Names}}');\
    docker exec -it $PM bash

• 執行下列命令 （請勿在 -subj 和 /CN 之間的行中插入反斜線前插入空格）： 

  • openssl req -newkey rsa:4096 \
    -subj "/C=<Country>\
    /ST=<State/Province>\
    /L=<City>\
    /O=<Comapny>\
    /OU=<Department>\
    /CN=<Hostname/FQDN>" \
    -addext "subjectAltName = DNS:<FQDN>, IP:<IP>" \
    -keyout private.key -out csr.csr

  • 主題欄位中的任何空格都必須使用前導 \ 進行轉義，請參閱示例圖像。
• 將檔案複製到容器外部 （僅在 Policy Manager 上需要）：
  • 使用 Ctrl+D 退出容器： 

  • PM=$(docker ps --format '{{.Names}}');\
    docker cp $PM:/csr.csr /root/csr.csr;\
    docker cp $PM:/private.key /root/private.key

• 
• 兩個檔案產生於 /root：
  • 將 .csr 傳遞給證書頒發機構進行簽名;要求 Base-64 編碼的 X.509。
  • 保留private.key原樣，以便稍後使用已簽署的憑證匯入。
• 收到經過簽署的憑證後，請將憑證上傳至 SCG/PM：
  • 
  • 發出下列命令，將憑證和金鑰轉換為相容於 SCG/PM 的格式：

    • openssl pkcs12 -export -in pmcert.cer -inkey private.key -out pmcert.p12

      
      
    • 將 .p12 檔案儲存至您的電腦，然後在 SCG/PM UI 上匯入 p12。
    • SCG/PM 重新開機後，請確認憑證資訊正確無誤：
      •