SSL certificaat installeren voor Sonicwall SSL Offloader

Alle Sonicwall SSL Offloaders ondersteunen Chained certificaten. Wanneer de certificaten zijn geunzipped in meerdere certificaten voordat ze geimporteerd worden naar de Sonicwall SSL offloader moet dit gebeuren via chained certificate commado's .
De certificaten zullen een root certificaat hebben plus een intermediate en een server/domein certificaat.

Voorbeeld- Instructies voor OpenSSL

Nadat u het certificaat heeft ontvangen zal u de bestanden kunnen unzippen en dit kunnen uploaden naar Sonicwall SSL offloader.
Start met het unzippen van de 3 certificaten,  u heeft alleen het Intermediate CA bestand nodig en de site/domein certificaten.

Open de openssl.exe. Deze applicatie is op dezelfde tijd en locatie geinstalleerd als de Sonicwall configuratie manager. U kunt ook de installatie volgen door op 'Custom installation' te drukken.
Wanneer het programma draaid kunt u de certificaten openen in een tekst editor zoals notepad/kladblok.

U moet de gehele tekst kopieren en plakken inclusief de tags:

 -----BEGIN CERTIFICATE----- en  -----END CERTIFICATE----- 

Het site/domein certificaat is het server certificaat.
Het intermediate CA certificaat is het intermediary certificaat.

Sla deze twee bestanden op zoals : C:server.pem and C:inter.pem
 

Verifieer de certificaat informatie met openssl:

x509 -in C:server.pem -text
en
x509 -in :Cinter.pem -text

Voorbeeld: Het opzetten van de Chained certificaten

Nu dat u de juiste certificaten heeft kunt u beginnen met het inladen van de certificaat objecten. Deze aparte certificaat objecten worden daarna geladen in een certificaat groep.
Dit voorbeeld laat zien hoe de 2  certificaten geladen worden in individuele objecten, het maken van een certificaat groep en het enablen van de groep als een certificaat chain.

• De naam van de Transaction Security Device is MyDevice.
• De naam van de server is server1.
• De naam van de PEM encoded CA gemaakt certificaat is server.pem
• De naam van het PEM encoded certificaat is inter.pem
• De namen van de herkende en lokale certificaat objecten zijn TrustedCert en myCert.
• De naam van de certificaat groep is CACertGroup.

Start de configuratie manager zoals beschreven in de handleiding.

Ga in de configuratie manager naar de configuration mode. Als hier wachtwoorden voor staan ingesteld zal hier om gevraagd worden.

inxcfg> attach myDevice
inxcfg> configure myDevice
(config[myDevice])>

Ga naar de SSL configuration Mode en maak een intermediary certificaat genaamd CACert. Laad het PEM encoded bestand in het certificaat object en ga terug naar de SSL configuration mode

(config[myDevice])> ssl
(config-ssl[myDevice])> cert myCert create
(config-ssl-cert[CACert])> pem inter.pem
(config-ssl-cert[CACert])> end
(config-ssl[myDevice])>

Voor de Certificate Group configuration mode maakt u de certificaat CACertGroup aan. Laad het certificaat object CACert en ga terug naar de SSL configuration mode.

(config-ssl[myDevice])> certgroup CACertGroup create
(config-ssl-certgroup[CACertGroup])> cert myCert
(config-ssl-certgroup[CACertGroup])> end
(config-ssl[myDevice])>

Ga naar de SSL configuration mode en creeër de logical secure server server1,

wijs hier een Ip adres aan >

SSL en clear tekst poorten >

een Security Policy myPol >

De certificaat groep CACertGroup >

De key association localKeyAssoc >

Exit de top level mode.

(config-ssl-server[server1])> ip address 10.1.2.4 netmask 255.255.0.0
(config-ssl-server[server1])> sslport 443
(config-ssl-server[server1])> remoteport 81
(config-ssl-server[server1])> secpolicy myPol
(config-ssl-server[server1])> certgroup chain CACertGroup
(config-ssl-server[server1])> keyassoc localKeyAssoc
(config-ssl-server[server1])> end
(config-ssl[myDevice])> end
(config[myDevice])> end
inxcfg>

Sla deze instellingen op in flash geheugen als dit niet opgeslagen is zal de configuratie verloren gaan tijdens een power cycle of als een reload commando word gebruikt.

inxcfg> write flash myDevice
inxcfg>

Voor meer informatie en uitleg kunt u ook op de pagina van  https://www.sonicwall.com/