Secure Connect Gateway: Como gerar uma solicitação de assinatura de certificado (CSR)

Não é possível gerar uma solicitação de assinatura de certificado (CSR) na página Importação de certificado na interface do usuário do Gateway de conexão segura (SCG).

Se sua autoridade de assinatura de certificado exigir o uso de uma CSR, siga as etapas descritas abaixo:

• Faça log-in no SCG/PM usando SSH
• Se estiver no PM (Policy Manager, gerenciador de políticas), digite o contêiner com o seguinte comando (ignore esta etapa no SCG):

  • PM=$(docker ps --format '{{.Names}}');\
    docker exec -it $PM bash

• Execute o seguinte comando (não insira espaços antes de deslizar barras invertidas à direita em linhas entre -subj e /CN): 

  • openssl req -newkey rsa:4096 \
    -subj "/C=<Country>\
    /ST=<State/Province>\
    /L=<City>\
    /O=<Comapny>\
    /OU=<Department>\
    /CN=<Hostname/FQDN>" \
    -addext "subjectAltName = DNS:<FQDN>, IP:<IP>" \
    -keyout private.key -out csr.csr

  • Qualquer espaço no campo de assunto deve ser escapado com um \ à esquerda, veja a imagem de exemplo.
• Copie os arquivos para fora do contêiner (necessário apenas no Policy Manager):
  • Saia do contêiner com Ctrl+D: 

  • PM=$(docker ps --format '{{.Names}}');\
    docker cp $PM:/csr.csr /root/csr.csr;\
    docker cp $PM:/private.key /root/private.key

• 
• Dois arquivos são gerados em /root:
  • Passar o .csr para a Autoridade Certificadora para assinatura; pedir um X.509 codificado em Base-64.
  • Deixe private.key como está para importar posteriormente com o certificado assinado.
• Depois de receber o certificado assinado, carregue o certificado no SCG/PM:
  • 
  • Execute o seguinte comando para converter o certificado e a chave para o formato compatível com o SCG/PM:

    • openssl pkcs12 -export -in pmcert.cer -inkey private.key -out pmcert.p12

      
      
    • Salve o arquivo .p12 no PC e importe o p12 na IU do SCG/PM.
    • Após a reinicialização do SCG/PM, verifique se as informações do certificado estão corretas:
      •