一、 生成證書請求
1. 下載CSR生成工具
您需要使用CSR生成工具來創建證書請求。
下載AutoCSR:
http://www.itrus.cn/soft/autocsr.rar
2. 生成服務器證書私鑰及證書請求
運行AutoCSR.bat文件,按照操作提示填寫證書注冊信息。
以下是示例信息:
通用名(域名): test.itrus.com.cn
組織名稱: iTrus China Co.,Ltd.
部門名稱: VTN Support
省市名稱: Beijing
市或區名: Beijing
3. 備份私鑰并提交證書請求
將生成的certreq.csr文件發送給聚名,備份server.key文件,等待證書的簽發。
在您收到證書簽發郵件之前,請不要刪除Cert文件夾下server.key文件,以避免私鑰丟失而導致證書無法安裝。
二、 安裝服務器證書
1. KEY的導入
在Alteon導入證書之前必須導入KEY。這里有一點需要說明的是如果需要在Alteon上導入證書,則對Alteon管理必需選擇HTTPS的管理方式。
WEB方式選擇SLB→SSL→Certificate Repository→Import
CLI方式 /cfg/slb/ssl/certs/import
ID中輸入序號,該ID會在SSL Policy中調用。 Type 選擇KEY。
Passphrase中輸入申請證書時的密碼。
對于KEY可以選擇在Text中直接拷入文本或在File中選擇相應的KEY文件進行導入。
下圖即為一個KEY的范例
2.服務器證書的導入
導入KEY之后就可以開始導入服務器證書。服務器證書編碼是證書簽發郵件的第一段編碼.
WEB方式選擇SLB→SSL→Certificate Repository→Import
CLI方式 /cfg/slb/ssl/certs/import
ID中輸入序號,該ID會在SSL Policy中調用。這里需要注意一下證書的名稱必須和剛才輸入的KEY名稱完全一樣。
Type 選擇Server Certificate。 對于Server Certificate同樣可以選擇在Text中直接拷入文本或在File中選擇相應的證書文件進行導入。
3. 中間證書的導入
將證書簽發郵件中的從BEGIN到 END結束的兩張CA證書內容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘貼到同一個記事本等文本編輯器中,兩張證書之間用回車換行不留空行分隔,合并拷貝到一起后導入。
圖中是兩張中間證書
由于Alteon采用的是證書組的方式,所以在導入兩張中間證書后需綁定到一個證書組里而后被調用。
導入中間證書的方式與導入KEY和根證書基本一致。
WEB方式選擇SLB→SSL→Certificate Repository→Import
CLI方式 /cfg/slb/ssl/certs/import
ID中輸入序號,這里的ID與之前根證書和KEY的ID可以不一樣。
Type 選擇Intermediate CA Text中貼入中間證書。
4. 配置證書Group
將兩張中間證書都導入完成后,需配置中間證書組。
WEB方式選擇SLB→SSL→Certificate Repository→Group
CLI方式 /cfg/slb/ssl/certs/group 1/
5. 配置相關SSL Policy
WEB方式選擇SLB→SSL→SSL Policies→ADD
CLI方式/cfg/slb/ssl/sslpol/
Policy Name中填入該Policy的名稱。
State Enable
Cipher Suite選擇相應的加密算法
Intermediate CA選擇Group,并在Intermediate CA Group 中選擇剛才配置的證書組ID。
6. 配置Virtual Server
由于Real Servers和Gropus的配置均為標準配置所以此處將Farm和server的配置 省略 WEB方式選擇SLB→Virtual Server→ADD
CLI方式/cfg/slb/virt 1
Service Port填寫443-80,選擇相應的Group,在最下方的SSL部分需選擇相應的服務器證書與相應的SSL Policy。
三、 服務器證書的備份及恢復
在您成功的安裝和配置了服務器證書之后,請務必依據下面的操作流程,備份好您的服務器證書,以防證書丟失給您帶來不便。
1. 服務器證書的備份
備份服務器證書私鑰文件server.key,服務器證書簽發郵件即可完成服務器證書的備份操作。
2. 服務器證書的恢復
請參照服務器證書配置部分,將服務器證書密鑰文件恢復到您的服務器上,恢復服務器證書的應用。
