Sie können auf einer F5 Big IP Appliance einen privaten Schlüssel, ein temporäres Zertifikat, sowie eine Zertifikatsanforderung mit dem Configuration Utility erstellen.

Sie müssen ein separates Zertifikat für jeden Domainnamen auf jedem Big-IP Controller besitzen, gleiches gilt für redundante Big-IPs, egal wie viele nicht-SSL Webserver per Load Balancing auf dem Controller laufen.
Sollten Sie bereits einen SSL-Server betreiben können Sie die bereits existierenden Schlüssel nutzen um ein temporäres Zertifikat und das Certificate Signing Request (CSR) zu generieren.

 

Key und Zertifikatsanforderung mit dem Configuration Utility erstellen:

Für ein Zertifikat benötigen Sie einen privaten Schlüssel. Sollten Sie noch keinen besitzen können Sie das Configuration Utility auf dem Big-IP Controller nutzen um einen Schlüssel und ein temporäres Zertifikat zu erstellen. Sie können das Configuration Utility auch dazu nutzen, um ein CSR zu erstellen.

 

CSR erstellen:

  1. Um ein neues CSR mit dem Configuration Utility zu erstellen wählen Sie im Menü des Big-IP Controllers den Punkt Proxies aus.
  2. Öffnen Sie den „Create SSL Certificate Request“ Tab
  3. Im „Key Information“ Bereich wählen Sie die Schlüssellänge mit 2048 Byte aus und vergeben Sie dem Schlüssel einen Namen, der Name sollte der FQDN des Servers sein, für den das Zertifikat bestimmt ist (z.B. www.ihredomain.de). Als Dateierweiterung wählen sie .key
  4. Im Bereich zu den Zertifikatsinformationen werden Daten zum Unternehmen benötigt, die den Server betreiben, auf den das Zertifikat installiert werden soll.
  • Country – zweistelliger ISO Code des Landes in Großbuchstaben (z.B. DE)
  • State or Province – Bundesland
  • Locality – Stadt
  • Organization – Firmenname
  • Organizational Unit – Abteilung
  • Domain Name – FQDN des Servers
  • Email Address – E-Mail Adresse der Kontaktperson
  • Challenge Password – Passwort
  • Retype Password – Passwortbestätigung

Drücken Sie nun auf den „Generate Certificate Request“ Knopf um den Key und das CSR zu erstellen. Nutzen Sie den SSL Certificate Request Bildschirm um das CSR zu kopieren und in das Webformular einzufügen.

 

Alternative – Schlüssel und Zertifikat über die Konsole erstellen:

Falls Sie noch keinen Schlüssel besitzen und die Konsole nutzen möchten, können Sie genconf und genkey nutzen um diese auf dem Big-IP Controller zu erstellen.
Die genkey und gencert Kommandos erstellen automatisch ein CSR, welches Sie für die Beauftragung eines Zertifikats nutzen können.
Sollten Sie bereits einen Schlüssel besitzen können Sie den gencert Befehl nutzen um ein temporäres Zertifikat und ein CSR zu erstellen.

 

Beschreibung der Befehle:

genconf – Dieser Aufruf erstellt eine Schlüsselkonfiguration, die die Informationen zu ihrem Unternehmen beinhalten und für die Beauftragung des Zertifikats benötigt werden.

genkey – Nachdem Sie den genconf Befehl ausgeführt haben, starten Sie nun genkey um ein temporäres Zertifikat mit einer Laufzeit von 30 Tagen zu erstellen. Hiermit können Sie den SSL Accelerator des Big-IP Controllers testen. Das Zertifikat ist allerdings nicht signiert und kann lediglich zu Testzwecken dienen. Genkey erstellt ebenfalls eine Zertifikatsanforderung, die Sie zur Beauftragung benötigen.

gencert – Sollten Sie bereits einen Schlüssel besitzen, können Sie mit gencert das temporäre Zertifikat sowie die Zertifikatsanforderung erstellen.

 

Ausführung der Befehle:

Genconf:

Um einen Schlüssel und ein Zertifikat zu erstellen nutzen Sie genconf und genkey. Führen Sie zuerst den genconf Befehl auf Root-Verzeichnis aus (/):

cd /
/usr/local/bin/genconf

Sie werden aufgefordert die Informationen zu ihrem Unternehmen einzutragen, die zur Beauftragung des Zertifikats benötigt werden:

  • Den FQDN des Servers
  • Den ISO-Ländercode, zweistellig und in Großbuchstaben (z.B. DE)
  • Den Namen des Bundeslandes
  • Den Namen der Stadt
  • Den Namen der Firma
  • Die Abteilung der Firma

Führen Sie nun genkey aus um einen Schlüssel zu generieren:

s-cl
cd / /user/local/bin/genkey

Nach dem Start werden Sie aufgefordert die Informationen, die Sie zuvor in genconf angegeben haben, zu bestätigen. Die Zertifikatsanforderung wir nach erfolgreichem Abschluss in einer Datei im folgenden Verzeichnis abgelegt:

/config/bigconfig/fqdn.req

Den Inhalt dieser Datei kopieren Sie bitte in das Webformular.

Anmerkung: Denken Sie daran den Schlüssel und das Zertifikat auf andere Controller in einem redundanten Umfeld zu übertragen.

Um ein temporäres Zertifikat und eine Zertifikatsanforderung aus einem bestehenden Schlüssel zu erstellen, müssen Sie zuerst den bestehenden Schlüssel in folgendes Verzeichnis kopieren:

/config/bigconfig/ssl.key/

Nachdem Sie die Datei kopiert haben, führen Sie folgenden Befehl aus:

cd / /user/local/bin/gencert

Nach dem Start des Programmes werden verschiedene Informationen abgefragt und anschließend eine Zertifikatsanforderung in folgendem Verzeichnis erstellt:

/config/bigconfig/ssl.crt/fqdn.req

Kopieren Sie den Inhalt der Anforderung und tragen Sie ihn in das Webformular ein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.