Connexion
Créer un compte
Génération CSR: F5 BigIP
Vous pouvez générer une clé, un certificat temporaire, et un formulaire de demande de certificat avec l'utilitaire de configuration ou de la ligne de commande.
Remarque: Nous vous recommandons d'utiliser l'utilitaire de configuration pour ce processus. Le processus de certification est généralement traité par le biais d'une page Web. Des parties de la procédure nécessitent de couper et coller des informations à partir d'une fenêtre de navigation dans l'utilitaire de configuration à une autre fenêtre de navigateur sur le site.
Vous devez avoir un certificat distinct pour chaque nom de domaine sur chaque contrôleur de BIG-IP ou d'une paire redondante des contrôleurs BIG-IP, quel que soit le nombre de serveurs Web non-SSL qui sont en charge du contrôleur BIG-IP.
Si vous êtes déjà en cours d'exécution d'un serveur SSL, vous pouvez utiliser vos clés existantes pour générer des certificats temporaires et les dossiers de demande. Cependant, vous devez obtenir de nouveaux certificats, si ceux que vous avez ne sont pas pour les types de serveurs web suivants : Apache + OpenSSL Stronghold
Génération d'une clé et l'obtention d'un certificat en utilisant l'utilitaire de configuration
Pour obtenir un certificat, vous devez disposer d'une clé privée. Si vous n'avez pas une clé, vous pouvez utiliser l'utilitaire de configuration sur le contrôleur BIG-IP pour générer une clé et un certificat temporaire. Vous pouvez également utiliser l'utilitaire de configuration pour créer un fichier de demande que vous pouvez soumettre. Vous devez remplir les tâches suivantes dans l'utilitaire de configuration pour créer une clé et générer une demande de certificat.
Générer une demande de certificat
Soumettre la demande de certificat à une autorité de certification et générer un certificat temporaire
Installez le certificat SSL de l'autorité de certification
Enfin, installez le certificat intermédiaire de l`autorité de certification.
Créer une nouvelle demande de certificat en utilisant l'utilitaire de configuration
Dans le volet de navigation, cliquez sur Proxies. L'écran Proxies s'ouvre.
Sur l'écran Proxies, cliquez sur l'onglet Créer une demande de certificat SSL, l'écran Nouvelle demande de certificat SSL s'ouvre. Dans la section Informations de clé, sélectionnez une longueur de clé et le nom de fichier de clé, choisissez 2048 octets. Tapez le nom du fichier de clé. Ce doit être le nom complet de domaine du serveur pour lequel vous souhaitez demander un certificat. Vous devez ajouter l'extension de fichier clé au nom.
Dans la section Informations sur le certificat, tapez les informations spécifiques à votre entreprise.
Pays - Tapez le code de deux lettres ISO pour votre pays
État ou province - Tapez le nom complet de votre état ou province
Localité - Tapez le nom de la ville ou de la cité
Organisation - Tapez le nom de votre organisation
Unité d'organisation - Tapez le nom de votre subdivision ou l'unité organisationnelle
Nom de domaine - Tapez le nom du domaine sur lequel le serveur est installé
Adresse e-mail - Saisissez l'adresse électronique de la personne à contacter en cas de nécessité
Mot de passe de challenge - Tapez le mot de passe que vous souhaitez utiliser comme mot de passe de challenge
Retapez Mot de passe - Retapez le mot de passe que vous avez entré.
Cliquez sur le bouton Générer une demande de certificat.
Après une courte pause, l'écran Demande de certificat SSL s`ouvre. Utilisez l'écran Demande de certificat SSL pour démarrer le processus d'obtention d'un certificat d'une autorité de certification, puis générez et installez un certificat temporaire.
Générer et installer un certificat temporaire
Cliquez sur le bouton Générer un certificat auto-signé pour créer un certificat auto-signé pour le serveur. Nous vous recommandons d'utiliser le certificat temporaire simplement comme test. Vous devriez activer votre site seulement après avoir reçu un certificat correctement-signé par une autorité de certification. Lorsque vous cliquez sur ce bouton, un certificat temporaire est créé et installé sur le contrôleur BIG-IP. Ce certificat temporaire vous permet de mettre en place une passerelle SSL pour l'accélérateur SSL pendant que vous attendez qu`une autorité de certification vous attribue un certificat permanent.
Génération d'une clé et l'obtention d'un certificat de la ligne de commande
Pour obtenir un certificat valide, vous devez disposer d'une clé privée.Si vous n'avez pas une clé, vous pouvez utiliser la genconf et les utilitaires genkey sur le contrôleur BIG-IP pour générer une clé et un certificat temporaire. Le genkey et lesutilitaires gencert génerent automatiquement un fichier de demande que vous pouvez soumettre à une autorité de certification. Si vous avez une clé, vous pouvez utiliser l'utilitaire gencert pour générer un certificat temporaire et un dossier de demande de certificat.
Ces utilitaires sont décrits dans la liste ci-dessous:
genconf - Cet utilitaire crée un fichier de configuration de clé qui contient des informations spécifiques sur votre organisation. L'utilitaire genkey utilise ces informations pour générer un certificat.
genkey - Après avoir exécuté l'utilitaire genconf, exécutez cet utilitaire pour générer un certificat provisoire de 30 jours pour tester l'accélérateur SSL sur le contrôleur BIG-IP. Cet utilitaire crée également un fichier de demande que vous pouvez soumettre à une autorité de certification pour obtenir un certificat.
gencert - Si vous avez déjà une clé, exécutez cet utilitaire pour générer un certificat temporaire et dossier de demande pour l'accélérateur SSL.
Pour générer un fichier clé de configuration en utilisant l'utilitaire genconf
Si vous n'avez pas une clé, vous pouvez générer une clé et un certificat avec le genconf et les utilitaires genkey.Tout d'abord, exécutez l'utilitaire genconf depuis la racine (/) avec les commandes suivantes:
cd /
/usr/local/bin/genconf
L'utilitaire vous demande des informations au sujet de l'organisation pour laquelle vous demandez la certification. Cette information comprend:
Le nom de domaine complet (FQDN) du serveur
Le code à deux lettres ISO de votre pays
Le nom complet de votre état ou province
Le nom de la ville
Le nom de votre organisation
Le nom de la subdivision ou l'unité organisationnelle
Pour générer une clé à l'aide de l'utilitaire genkey
Après avoir exécuté l'utilitaire genconf, vous pouvez générer une clé avec l'utilitaire genkey.
cd / /user/local/bin/genkey
Après le démarrage de l'utilitaire , il vous invite à vérifier l'information créée par l'utilitaire genconf. Après avoir exécuté cet utilitaire, un formulaire de demande de certificat est créé dans le répertoire suivant:
/config/bigconfig/fqdn.req
En plus de créer un formulaire de demande que vous pouvez soumettre à une autorité de certification, cet utilitaire génère également un certificat temporaire. Le certificat temporaire se trouve dans:
/config/bigconfig/ssl.crt/fqdn.crt
Le "fqdn" est le nom complet de domaine du serveur. Notez que vous devez copier la clé et le certificat d`un autre contrôleur dans un système redondant, mais pour un proxy SSL, vous devez avoir un certificat valide de votre autorité de certification.
Pour générer un certificat avec une clé existante en utilisant l'utilitaire gencert
Pour générer un certificat temporaire et dossier de demande à soumettre à l'autorité de certification avec l'utilitaire gencert, vous devez d'abord copier une clé existante pour un serveur dans le répertoire suivant sur le contrôleur BIG-IP:
/config/bigconfig/ssl.key/
Après avoir copié la clé dans ce répertoire, tapez la commande suivante dans la ligne de commande:
cd / /user/local/bin/gencert
Après le démarrage de l'utilitaire , il vous demandera des informations diverses. Après avoir exécuté cet utilitaire, un formulaire de demande de certificat est créé dans le répertoire suivant:
/config/bigconfig/ssl.crt/fqdn.req
Le "fqdn" est le nom complet de domaine du serveur.
