Шлюз безпечного підключення: Як згенерувати запит на підписання сертифіката (CSR)

Запит на підписання сертифіката (CSR) не можна створити на сторінці імпорту сертифіката в інтерфейсі користувача Secure Connect Gateway (SCG).

Якщо ваш Центр підписування сертифікатів вимагає використання CSR, виконайте наведені нижче дії.

• Увійдіть у SCG/PM за допомогою SSH
• Якщо ви ввімкнені в Policy Manager (PM), введіть контейнер за допомогою наступної команди (пропустіть цей крок на SCG):

  • PM=$(docker ps --format '{{.Names}}');\
    docker exec -it $PM bash

• Виконайте наступну команду (не вставляйте пробіли перед кінцевими зворотними слешами в рядках між -subj та /CN): 

  • openssl req -newkey rsa:4096 \
    -subj "/C=<Country>\
    /ST=<State/Province>\
    /L=<City>\
    /O=<Comapny>\
    /OU=<Department>\
    /CN=<Hostname/FQDN>" \
    -addext "subjectAltName = DNS:<FQDN>, IP:<IP>" \
    -keyout private.key -out csr.csr

  • Будь-який пробіл у полі теми має бути екранований за допомогою початкового \, дивіться приклад зображення.
• Скопіюйте файли за межі контейнера (потрібно лише в Диспетчері політик):
  • Вийдіть з контейнера за допомогою комбінації клавіш Ctrl+D: 

  • PM=$(docker ps --format '{{.Names}}');\
    docker cp $PM:/csr.csr /root/csr.csr;\
    docker cp $PM:/private.key /root/private.key

• 
• Два файли генеруються під /root:
  • Передати .csr до Cert Authority для підписання; попросити Base-64 з кодуванням X.509.
  • Залиште private.key як є, щоб імпортувати пізніше з підписаним сертифікатом.
• Отримавши підписаний сертифікат, завантажте сертифікат до SCG/PM:
  • 
  • Віддайте наступну команду, щоб перетворити сертифікат і ключ у сумісний формат із SCG/PM:

    • openssl pkcs12 -export -in pmcert.cer -inkey private.key -out pmcert.p12

      
      
    • Збережіть файл .p12 на свій ПК та імпортуйте p12 у інтерфейс користувача SCG/PM.
    • Після перезавантаження SCG/PM переконайтеся, що інформація про сертифікат правильна:
      •