Mengunggah sertifikat SSL ke server

Sebelum mengunggah sertifikat root atau pengguna ke NGFW, pastikan sertifikat tersebut memenuhi persyaratan berikut:

  • Sertifikat harus memiliki ekstensi .pem. Jika sertifikat Anda memiliki ekstensi yang berbeda, konversikan dengan mempelajari artikel Mengonversi sertifikat dari format pkcs12 ke format pem menggunakan openssl;

  • Sebagai bagian dari sertifikat, Penerbit dan Subjek harus berisi kolom CN (Nama Umum). Jika Anda ingin mengganti rantai sertifikat yang diterbitkan secara otomatis dengan milik Anda sendiri, maka saat memuat rantai sertifikat Anda sendiri CN (Nama Umum) Sertifikat terakhir dalam rantai harus cocok dengan domain tempat sertifikat dimuat.

  • Rantai sertifikat harus valid dan cocok dengan struktur:

Kunci pribadi
Sertifikat untuk domain (Nama Umum)
Sertifikat dari bundel sertifikat vendor (sertifikat perantara, jika ada)
...
Sertifikat utama (root).

Jika sertifikat ditandatangani sendiri, strukturnya hanya dapat berisi 2 blok - Kunci Pribadi dan Sertifikat Domain (Nama Umum). Jika struktur sertifikat tidak valid, buka artikel Mempersiapkan sertifikat SSL untuk diunggah ke UTM.

Jika Anda ingin memuat sertifikat sebagai root, pastikan sertifikat tersebut dapat menerbitkan sertifikat anak: X509v3 Batasan Dasar: CA: TRUE (ini dapat diverifikasi dalam kunci publik sertifikat).

Mengunggah sertifikat SSL ke NGFW

Jika sertifikat memenuhi semua ketentuan yang tercantum di atas, unggah ke NGFW. Untuk ini:

1. Buka Layanan -> Sertifikat -> Sertifikat yang Diunggah. 2. Klik Unggah Sertifikat Root. 3. Pilih sertifikat yang diperlukan.

Sertifikat root yang diunggah akan secara otomatis menandatangani ulang semua sertifikat pengguna untuk domain yang sebelumnya dibuat secara otomatis oleh NGFW. Mari Enkripsi sertifikat dan sertifikat yang dibeli dari CA dan Otoritas Sertifikat tidak akan ditandatangani ulang.

Mempersiapkan sertifikat SSL untuk diunggah ke NGFW

Saat membeli sertifikat SSL tepercaya untuk domain dari Otoritas Sertifikat atau Otoritas Sertifikasi, data untuk pemasangannya biasanya dikirim melalui email dalam bentuk terpisah. Untuk memuat dengan benar, sertifikat domain, perantara, dan root harus dikumpulkan ke dalam satu file dalam urutan yang benar.

Beberapa data (permintaan CSR dan kunci pribadi) hanya dihasilkan selama pembelian sertifikat SSL dan tidak dikirim melalui email. Simpan data tersebut di komputer Anda segera.

Sertifikat root (yang ditandatangani sendiri) juga memerlukan rangkaian. Struktur sertifikat tersebut mungkin berisi 2 blok - Kunci Pribadi dan Sertifikat Domain (Nama Umum) - atau lebih, bergantung pada apakah Anda memiliki sertifikat perantara (dari bundel sertifikat vendor).

Untuk membuat rantai sertifikat yang benar, ikuti langkah-langkah berikut:

1. Buat file teks seperti:

-----BEGIN PRIVATE KEY-----
.....
.....
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----

2. Tambahkan kunci pribadi decrypted ke blok (BEGIN PRIVATE KEY).

Jika Otoritas Sertifikat mengeluarkan kunci pribadi dalam bentuk terenkripsi, dekripsi menggunakan frasa sandi.

3. Di setiap blok (BEGIN CERTIFICATE), tambahkan sertifikat. Pada awalnya - sertifikat domain, kemudian - sertifikat dari bundel sertifikat vendor (jika ada), pada akhirnya - sertifikat root. File tersebut harus memiliki struktur berikut:

Kunci pribadi
Sertifikat domain
Sertifikat dari bundel sertifikat vendor (jika tersedia)
...
Sertifikat utama (root).

4. Simpan file dengan ekstensi .pem dan upload ke NGFW.

Standar yang diterima secara umum untuk membuat file rantai sertifikat juga dapat ditemukan di sini: [https://www.digicert.com/ssl-support/pem-ssl-creation.htm](https://www.digicert.com/ ssl-support /pem-ssl-creation.htm).

Mengonversi sertifikat dari format pkcs12 ke format pem menggunakan openssl

Untuk mengonversi sertifikat menggunakan openssl di Windows, gunakan tautan untuk mengunduh openssl di komputer Anda dan untuk [menginstal openssl di komputer Anda](http://iljin -oleg.blogspot .com/2012/12/openssl-openssl-ssl-secure-socket-layer.html).

Untuk mengonversi sertifikat dari format pkcs12 ke format pem, ikuti langkah-langkah berikut:\

1. Buka prompt perintah. 2. Masukkan perintah openssl pkcs12 -in sertifikat.pkcs12 -out sertifikat.pem (akan mengonversi sertifikat ke format yang diperlukan), di mana:

  • certificate.pkcs12 - sertifikat asli yang diperoleh dari otoritas sertifikasi.

  • certificate.pem - hasil konversi;

3. Buka file yang dihasilkan dan pastikan memiliki struktur:

    -----BEGIN CERTIFICATE-----
    ..............
    ..............
    -----END CERTIFICATE-----
    -----BEGIN PRIVATE KEY-----
    ..............
    ..............
    -----END PRIVATE KEY-----

Jika sertifikat mengatakan --BEGIN ENCRYPTED PRIVATE KEY--, dekripsi dengan memasukkan perintah di openssl openssl rsa -in sertifikat.pem -keluar sertifikat_decoded.pem, dimana:

  • certificate.pem - file yang diterima setelah konversi;

  • certificate_decode.pem - hasil dekripsi.

4. Untuk mempersiapkan sertifikat untuk diunggah, gunakan artikel Mempersiapkan sertifikat SSL untuk diunggah ke NGFW.

5. Untuk mengunggah sertifikat ke NGFW, gunakan artikel Mengunggah sertifikat SSL ke NGFW.

PreviousSertifikatNextBuat sertifikat yang ditandatangani sendiri menggunakan Powershell

Last updated