Создание CSR в контроллере F5 Big IP

Вы можете сгенерировать ключ, временный сертификат и запрос на сертификат с помощью утилиты конфигураций или командного файла.

Примечание: : Для этого процесса мы рекомендуем использовать утилиту конфигураций. Процесс сертификации обычно проводится через вэб-страницу. Некоторые этапы процесса требуют вырезать и вставить информацию из окна браузера утилиты конфигураций в другое окно браузера на вэб-сайте.

Вы должны иметь отдельный сертификат SSL для каждого доменного имени на каждом контроллере BIG-IP или паре добавочных контроллеров, независимо от того, на сколько вэб-серверов, не имеющих сертификатов SSL, распределена нагрузка.
Если у вас уже запущен сервер с сертификатом SSL, вы можете использовать существующие ключи для создания временных сертификатов и запросов на файлы. Однако, вам нужно получить новые сертификаты, если те, которые вы имеете не подходят к серверам, типа: Apache+OpenSSL, Stronghold.

Создание ключа и получение сертификата, используя утилиту конфигураций
Для получения серификата SSLвы должны иметь закрытый ключ. Если этого ключа нет, вы можете использовать утилиту конфигураций в контроллере BIG-IP для создания ключа и временного сертификата. Вы, также, можете использовать утилиту конфигураций для создания файла запроса, который можете отправить. Для этого, в утилите конфигураций, следует выполнить следующие действия, чтобы создать ключ и сгенерировать запрос на сертификат.
Сгенерируйте запрос на сертификат
Отправьте запрос на сертификат в центр сертификации и сгенерируйте временный сертификат
Установите серификат SSL из центра сертификации
И, наконец, установите промежуточный сертификат из центра сертификации

Для создания нового запроса на сертификат, используя утилиту конфигураций
В навигационной области нажмите Proxy. При этом откроется экран Proxy.
На экране Proxies, нажмите на клавишу Create SSL Certificate Request. Появится экран New SSL Certificate Request. В разделе Key Information, выберите размер ключа и имя файла ключа и выберите — 2048 бит. Наберите имя файла с ключом. Им должно являться полное имя домена на сервере, для которого вы хотите запросить сертификат. Вы должны добавить расширение -.key к имени файла.

В разделе Certificate Information, введите информацию о вашей компании.
Сountry(страна) - введите код вашей страны, состоящий из 2-х букв, в формате ISO
State or Province(штат или провинция) - введите полное название штата или провинции
Locality(населенный пункт) - введите название города или населенного пункта
Organization(организация) - введите название вашей организации
Organization Unit(отдел организации) - введите название отдела вашей организации
Domain Name(имя домена) - введите имя домена, для которого установлен сервер
Email Address - введите адрес электронной почты контактного лица
Challenge Password(пароль) - введите пароль, который вы собираетесь использовать для входа
Retype Password - введите пароль еще раз

Нажмите на кнопку Generate Certificate Request
После короткой паузы откроется экран SSL Certificate Request. Используйте его для процесса получения сертификата из центра сертификации, а, затем, для того, чтобы сгенерировать и установить временный сертификат.

Сгенерируйте и установите временный сертификат
Нажмите кнопку Generate Self-Signed Certificate для того, чтобы создать самозаверяющий сертификат для сервера. Мы рекомендуем использовать временный сертификат только для тестирования. Вам следует запускать сайт в сеть только после того, как вы получите полноценный сертификат из сертификационного центра. Когда вы нажмете эту кнопку, в контроллере BIG-IP будет создан и установлен временный сертификат. Этот временный сертификат позволит вам настроить SSL-шлюз для SSL Accelerator, пока вы ждете получения постоянного сертификата.

Создание ключа и получение сертификата из командной строки
Для получения действующего сертификата SSL, вам необходим закрытый ключ. Если у вас нет ключа, вы можете воспользоваться утилитами genconf и genkey в контроллере BIG-IP для создания ключа и временного сертификата. Утилиты genkey и gencert автоматически генерируют файл запроса, который вы можете отправить в центр сертификации. Если ключ у вас есть, вы можете запустить утилиту gencert для создания временного сертификата и файл запроса.

Эти утилиты описаны в следующем списке:

genconf - эта утилита создает файл конфигурации ключа, который содержит определенную информацию о вашей организации. Утилита genkey использует эту информацию для создания сертификата.

genkey - после запуска утилиты genconf, запустите и эту программу для генерирования временного 30-дневного сертификата для тестирования SSL Accelerator в контроллере BIG-IP. Эта утилита ,также, создает файл запроса, который вы можете отправить в центр сертификации для получения сертификата.

gencert - если у вас уже есть ключ, запустите эту утилиту для создания временного сертификата и файла запроса для SSL Accelerator.

Создание файла конфигурации ключа, используя утилиту genconf
Если у вас нет ключа, вы можете создать его и сертификат SSL с помощью утилит genconf и genkey. Сначала, запустите утилиту genconf со следующими командами:

cd /
/usr/local/bin/genconf

Утилита запросит информацию об организации, для которой вы запрашиваете сертификацию. Эта информация включает:
Полное имя домена(FQDN) сервера
Название страны, состоящее из 2-х букв в формате ISO
Полное название штата или провинции
Название города или населенного пункта
Название организации
Отдел организации

Создание ключа, используя утилиту genkey
После запуска утилиты genconf , вы можете сгенерировать ключ с помощью утилиты genkey.

cd / /user/local/bin/genkey

В начале работы утилита запросит подтверждение информации, созданной genconf. После того, как вы запустите эту утилиту, форма запроса на сертификат будет создана в следующей директории:

/config/bigconfig/fqdn.req

В дополнение к созданию формы запроса, которую можна отправить в центр сертификации, эта утилита также создает временный сертификат. Он находится в:

/config/bigconfig/ssl.crt/fqdn.crt

FQDN – это полное имя домена на сервере. Обратите внимание, что вы должны скопировать ключ и сертификат на другой контроллер в добавочной системе, но для всех SSL прокси вы должны иметь действительный сертификат SSL из центра сертификации.

Создание сертификата с помощью существующего ключа, используя утилиту gencert
Для создания временного сертификата и файла запроса для отправки в центр сертификации с помощью утилиты gencert, вы должны сначала скопировать существующий ключ для сервера в следующую директорию контроллера BIG-IP:

/config/bigconfig/ssl.key/

После того, как вы скопировали ключ в данную директорию, введите следующую команду в командную строку:

cd / /user/local/bin/gencert

После начала работы утилиты, появится запрос различных данных. После того как вы запустили эту утилиту, в следующей директории появится форма запроса на сертификат:

/config/bigconfig/ssl.crt/fqdn.req


Бесплатный сертификат SSL