步、生成证书请求
生成证书请求文件:
选择Local Traffic-〉SSL Certificates-〉Create
参考证书申请表填写证书请求信息
新建证书请求时,请设置“Challenge Password” 为空。证书暂不支持在F5中指定该参数。
证书密钥长度请选择2048位。
点击Download test_cert.csr,将证书请求文件(yourname.csr文件)提交给环度网信,并等待证书的颁发
点击Finished完成证书请求操作。
完成后,在SSL Ceritificates 的页面中能看到一个只有key的条目。如需备份证书私钥,您可在此位置选择“Export”将证书私钥导出备份。
第二步、安装服务器证书
1. 获取服务器证书
请使用环度网信提供给您的apache目录下的域名.cer就是服务器证书
2. 安装服务器证书
点击您创建证书请求时设定的证书别名,如“test_cert”。进入 Key 栏目后,选择“Certificate”标签,并选则“Import”,将证书对应私钥文件导入。
导入后,证书“Contents”属性将显示为“Certificate & Key”。
3. 导入CA中级证书
环度网信提供的apache目录下的ca.cer就是中级证书,也就是CA中级证书
选择Local Traffic-〉SSL Certificates 在 SSL Certificate List 主界面点击右上角“Import”,将生成的 ca-bundle.cer 使用“Certificate”方式导入
导入后,F5将自动识别导入的证书为 Certificate Bundle。
第三步、配置服务器证书
1.单向认证的配置
选择“Local Traffic”-“Vitual Servers”-“Profiles”
选择“Proflie”中,“SSL”下的“Clent”进入“Client SSL Profile”设置
如果您需要为站点配置一个全新的SSL证书,则您需要新建一个 Client SSL Profile。如果您需要为一个已有证书的站点更新服务器证书,则仅需点击已存在的 Profile,进行编辑更新操作即可。
在新建的Profile 中,选择当前Profile所使用的证书(Certificate)、私钥(key),以及在 Chian 处,设置与该证书应用相关联的证书链(之前导入的中级CA证书)。完成后,选择“Update”保存。
在证书配置后,需要创建一个443端口的 Virtual Server,并加载上面的 Client SS Profile 对应该站点启用SSL证书。
2.双向认证的配置
双向认证部分,要求客户端出示客户端的个人证书才能登陆指定页面。如果没有对客户端做强制身份认证,则您无需配置双向认证部分。
在双向认证时,需要配置以下内容
Trusted Certificate Authorities:客户端证书的根证书
Client Certificate:这里有两种模式可以选择
Require:客户端必须提交证书,通常都采用这种方式
Request:客户端可提交证书,也可不提交证书
Advertised Certificate Authorities:在客户端连接时,服务器发送到客户端的信息,该信息使在客户端弹出的证书选择列表中只包含选中的根证书所颁发的客户端证书。配置 时注意如果有中间证书,则一定要选择根证书和中间证书的Bundle。
完成证书的导入和profile 的设置后,还需要在Virtual Server下设定Properties。将Clent Server和刚才产生的Profile捆绑一下,点击Update即可完成证书的配置了。
完成证书配置后,请备份证书私钥文件与公钥文件,以便以后,有需要可以使用备份文件来恢复。
问题备注:
根证书是不需要加的。
请确认中级证书是不是在之前安装过证书时导入过,然后配置里有没有选定这个中级证书。
F5也可以导入证书格式为PFX文件。
新版本的F5 11版上传证书,私钥,中级证书是在system菜单里上传的。
F5建立证书步骤:
上传SSL证书,私钥,中级证书。
建立profile配置文件,绑定SSL证书,私钥,中级证书别名,这个profile建立是在client菜单里建立的。
每个负载点是绑定这个profile配置文件。
在安装部署中,任何问题,请直接联系环度网信 www.ihuandu.com 在线客服转技术支持。
- 扫一扫二维码可分享朋友或朋友圈
