Créez des clés et des certificats dans votre répertoire racine pour activer la configuration du protocole TLS (Transport Layer Security). La configuration de TLS est nécessaire avant de pouvoir configurer le mTLS sur l’agent Serveur Web MID and.
Avant de commencer
- Assurez-vous qu’aucune clé n’est installée dans le magasin de clés unifié MID en exécutant la commande suivante :
bin/scripts/manage-certificates.(sh/bat) -l
Lorsqu’aucune clé n’est installée, la sortie est la suivante : defaultsecuritypairhandle
- Invalidez votre Serveur MIDfichier .
S’il existe des clés supplémentaires dans la sortie, réinstallez-les après avoir invalidé le Serveur MIDfichier .
- Assurez-vous que le Serveur MID est connecté à l’instance.
- Sélectionnez un répertoire dans lequel vous souhaitez créer des certificats, qui seront appelés le root répertoire.
Remarque : Les commandes spécifiées dans la procédure suivante ne sont pertinentes que pour un hôte Centos7. Lorsque vous travaillez avec un autre système d’exploitation, utilisez les commandes pertinentes pour votre hôte.
Rôle requis : agent_client_collector_admin
Procédure
-
Dans votre répertoire racine, créez des sous-répertoires pour vos certificats.
mkdir -p labca labmid labacc;
-
Dans votre répertoire racine :
-
Générez une paire de clés d’autorité de certification personnalisée.
openssl ecparam -list_curves;
openssl ecparam -out labca/ec-labcakey.pem -name prime256v1 -genkey;
ls labca/;
La sortie générée est le fichier ec-labcakey.pem .
-
Exécutez les commandes suivantes :
openssl ecparam -in labca/ec-labcakey.pem -text -noout;
openssl req -x509 -new -nodes -key labca/ec-labcakey.pem -sha512 -days 365 -out labca/labcacert.pem -subj "/C=<country>/ST=<state>/L=<location>/O=<organization> Lab/OU=<organization unit>/CN=<cn abbreviation>";
openssl verify labca/labcacert.pem;
La sortie générée est :
labca/labcacert.pem : C = <pays>, ST = <état>, L = <emplacement>, O = <organisation>, OU = <unité d’organisation>, CN = <abréviation cn>Erreur 18 à 0 recherche de profondeur : certificat auto-signéOK
Remarque : Le message d’erreur peut être ignoré.
-
Préparez la clé et le Serveur Web MID certificat.
-
Exécutez les commandes suivantes dans le répertoire racine :
sudo cp -a labca/labcacert.pem /etc/pki/ca-trust/source/anchors/;
sudo update-ca-trust extract;
openssl verify labca/labcacert.pem
La sortie générée est : labca/labcacert.pem : OK
-
Exécutez la commande
« hostname --all-fqdns » pour obtenir tous les noms d’hôte valides pour l’ordinateur virtuel spécifique.
-
Exécutez les commandes suivantes :
openssl req -new -newkey rsa:4096 -keyout labmid/rsa-labmidkey.pem -sha512 -nodes -out labmid/mid.csr -subj "/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<hostname>";
openssl x509 -req -days 365 -in labmid/mid.csr -CA labca/labcacert.pem -CAkey labca/ec-labcakey.pem -CAcreateserial -extensions SAN -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:<hostname>")) -out labmid/mid.crt;
Entrez le nom de domaine complet comme valeur <nom d’hôte> dans la commande précédente. Si plus d’une valeur fqdn est renvoyée par la commande, utilisez la valeur au format suivant : hostname.domain.domain.com.
La sortie générée est la suivante : Signature ok sujet=/C=<pays>/ST=<état>/L=<emplacement>/O=<organisation>/OU=<unité d’organisation>/CN=< FQDN de l’hôte du serveur MID> : Obtention de la clé privée CA
-
Dans votre répertoire racine, combinez les fichiers de clé et de certificat en un seul fichier, nommé mid.pem.
cat labmid/rsa-labmidkey.pem labmid/mid.crt > labmid/mid.pem;