Erstellen Sie Schlüssel und Zertifikate in Ihrem Stammverzeichnis, um das Setup von Transport Layer Security (TLS) zu aktivieren. Das TLS-Setup ist erforderlich, bevor Sie mTLS auf dem konfigurieren können MID-Webserver Und Service Desk-Mitarbeiter.
Vorbereitungen
- Stellen Sie sicher, dass im zentralen MID-Schlüsselspeicher keine Schlüssel installiert sind, indem Sie den folgenden Befehl ausführen:
bin/scripts/manage-certificates.(sh/bat) -l
Wenn keine Schlüssel installiert sind, lautet die Ausgabe: Standardvorgabenederhandle
- Erklären Sie Ihr für ungültig MID-Server.
Wenn in der Ausgabe zusätzliche Schlüssel vorhanden sind, installieren Sie diese Schlüssel nach dem Ungültigmachen von neu MID-Server.
- Stellen Sie sicher, dass MID-Server Ist mit der Instanz verbunden.
- Wählen Sie ein Verzeichnis aus, in dem Sie Zertifikate erstellen möchten, das als bezeichnet werden soll rootVerzeichnis.
Hinweis: Die im folgenden Verfahren angegebenen Befehle sind nur für einen Centos7-Host relevant. Verwenden Sie bei der Arbeit mit einem anderen Betriebssystem die für Ihren Host relevanten Befehle.
Erforderliche Rolle: agent_client_collector_admin
Prozedur
-
Erstellen Sie in Ihrem Stammverzeichnis Unterverzeichnisse für Ihre Zertifikate.
mkdir -p labca labmid labacc;
-
In Ihrem Stammverzeichnis:
-
Generieren Sie ein anwenderdefiniertes Zertifizierungsberechtigungsschlüsselpaar.
openssl ecparam -list_curves;
openssl ecparam -out labca/ec-labcakey.pem -name prime256v1 -genkey;
ls labca/;
Die generierte Ausgabe ist ec-labcakey.pem Datei.
-
Führen Sie die folgenden Befehle aus:
openssl ecparam -in labca/ec-labcakey.pem -text -noout;
openssl req -x509 -new -nodes -key labca/ec-labcakey.pem -sha512 -days 365 -out labca/labcacert.pem -subj "/C=<country>/ST=<state>/L=<location>/O=<organization> Lab/OU=<organization unit>/CN=<cn abbreviation>";
openssl verify labca/labcacert.pem;
Die generierte Ausgabe lautet:
Labca/labcacert.pem: C = <country>, ST = <state>, L = <location>, O = <organization>, OU = <organization unit>, CN = <cn abbreviation>Fehler 18 bei Tiefensuche 0: Selbstsigniertes ZertifikatOK
Hinweis: Die Fehler Nachricht kann ignoriert werden.
-
Bereiten Sie den vor MID-Webserver Schlüssel und Zertifikat.
-
Führen Sie die folgenden Befehle im Stammverzeichnis aus:
sudo cp -a labca/labcacert.pem /etc/pki/ca-trust/source/anchors/;
sudo update-ca-trust extract;
openssl verify labca/labcacert.pem
Die generierte Ausgabe lautet: Labca/labcacert.pem: OK
-
Führen Sie den Befehl aus
„Hostname –-all-fqdns“ Um alle gültigen Hostnamen für die spezifische VM abzurufen.
-
Führen Sie die folgenden Befehle aus:
openssl req -new -newkey rsa:4096 -keyout labmid/rsa-labmidkey.pem -sha512 -nodes -out labmid/mid.csr -subj "/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<hostname>";
openssl x509 -req -days 365 -in labmid/mid.csr -CA labca/labcacert.pem -CAkey labca/ec-labcakey.pem -CAcreateserial -extensions SAN -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:<hostname>")) -out labmid/mid.crt;
Geben Sie den FQDN als ein <hostname> Wert im vorherigen Befehl. Wenn der Befehl mehr als einen fqdn-Wert zurückgibt, verwenden Sie den Wert im folgenden Format: hostname.domain.domain.com .
Die generierte Ausgabe lautet: Signatur OK Betreff=/C=<country>/ST=<state>/L=<location>/O=<organization>/OU=<organization unit>/CN=<MID-Server-Host-fqdn>: Privater CA-Schlüssel wird abgerufen
-
Kombinieren Sie in Ihrem Stammverzeichnis die Schlüssel- und Zertifizierungsdateien in einer Datei mit dem Namen Mid.Pem .
cat labmid/rsa-labmidkey.pem labmid/mid.crt > labmid/mid.pem;