Erstellen Sie Schlüssel und Zertifikate in Ihrem Stammverzeichnis, um das TLS-Setup (Transport Layer Security) zu aktivieren. Das TLS-Setup ist erforderlich, bevor Sie mTLS auf MID-Webserver und dem Agent konfigurieren können.
Vorbereitungen
- Stellen Sie sicher, dass im einheitlichen MID-Schlüsselspeicher keine Schlüssel installiert sind, indem Sie den folgenden Befehl ausführen:
bin/scripts/manage-certificates.(sh/bat) -l
Wenn keine Schlüssel installiert sind, lautet die Ausgabe: defaultsecuritypairhandle
- MID-Serverfür ungültig erklären.
Wenn in der Ausgabe zusätzliche Schlüssel vorhanden sind, installieren Sie diese Schlüssel neu, nachdem Sie MID-Serverfür ungültig erklärt haben.
- Stellen Sie sicher, dass MID-Server mit der -Instanz verbunden ist.
- Wählen Sie ein Verzeichnis, in dem Sie Zertifikate erstellen möchten, das als root -Verzeichnis bezeichnet wird.
Hinweis: Die im folgenden Verfahren angegebenen Befehle sind nur für einen Centos7-Host relevant. Wenn Sie mit einem anderen Betriebssystem arbeiten, verwenden Sie die für Ihren Host relevanten Befehle.
Erforderliche Rolle: agent_client_collector_admin
Prozedur
-
Erstellen Sie im Stammverzeichnis Unterverzeichnisse für Ihre Zertifikate.
mkdir -p labca labmid labacc;
-
In Ihrem Stammverzeichnis:
-
Generieren Sie ein anwenderdefiniertes Zertifizierungsstellen-Schlüsselpaar.
openssl ecparam -list_curves;
openssl ecparam -out labca/ec-labcakey.pem -name prime256v1 -genkey;
ls labca/;
Die generierte Ausgabe ist die Datei ec-labcooky.pem.
-
Führen Sie die folgenden Befehle aus:
openssl ecparam -in labca/ec-labcakey.pem -text -noout;
openssl req -x509 -new -nodes -key labca/ec-labcakey.pem -sha512 -days 365 -out labca/labcacert.pem -subj "/C=<country>/ST=<state>/L=<location>/O=<organization> Lab/OU=<organization unit>/CN=<cn abbreviation>";
openssl verify labca/labcacert.pem;
Die generierte Ausgabe ist:
Labca/labcacert.pem: C =<country> , ST =<state> , L =<location> , O =<organization> , OU =<organization unit> , CN =<cn abbreviation>Fehler 18 bei Suchtiefe 0: selbstsigniertes ZertifikatOK
Hinweis: Die Fehlermeldung kann ignoriert werden.
-
Bereiten Sie den Schlüssel MID-Webserver und das Zertifikat vor.
-
Führen Sie die folgenden Befehle im Stammverzeichnis aus:
sudo cp -a labca/labcacert.pem /etc/pki/ca-trust/source/anchors/;
sudo update-ca-trust extract;
openssl verify labca/labcacert.pem
Die generierte Ausgabe lautet: Labca/Labcacert.pem: OK
-
Führen Sie den Befehl
„hostname --all-fqdns“ aus, um alle gültigen Hostnamen für die spezifische VM zu erhalten.
-
Führen Sie die folgenden Befehle aus:
openssl req -new -newkey rsa:4096 -keyout labmid/rsa-labmidkey.pem -sha512 -nodes -out labmid/mid.csr -subj "/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<hostname>";
openssl x509 -req -days 365 -in labmid/mid.csr -CA labca/labcacert.pem -CAkey labca/ec-labcakey.pem -CAcreateserial -extensions SAN -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:<hostname>")) -out labmid/mid.crt;
Geben Sie als FQDN Folgendes ein<hostname> Wert im vorherigen Befehl.hostname.domain.domain.com.
Die generierte Ausgabe lautet: Signature OK subject=/C=<country> /ST=<state> /L=<location> /O=<organization> /OU=<organization unit> /CN=<mid server host fqdn> : Privater CA-Schlüssel wird abgerufen
-
Kombinieren Sie in Ihrem Stammverzeichnis die Schlüssel- und Zertifikatdateien in einer Datei mit dem Namen mid.pem.
cat labmid/rsa-labmidkey.pem labmid/mid.crt > labmid/mid.pem;