您的位置:360文档中心› F5交换机SSL配置技术文档

F5交换机SSL配置技术文档

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

基础平台部署说明文档
F5交换机S S L配置技术文档
项目及文档信息
发布日期:2015-03-13 项目名称文档编号
承建方责任人建设方责任人
版本信息
版本号发布日期提交人审阅人更新位置更新摘要
0.1 2015-03-13 李建树拟初稿
目录
1生成证书请求 (3)
2安装服务器证书 (6)
2.1获取服务器证书 (6)
2.2安装服务器证书 (6)
2.3导入CA中级证书 (7)
3配置服务器证书 (8)
3.1单向认证的配置 (8)
3.2双向认证的配置 (10)
1生成证书请求
生成证书请求:
选择Local Traffic-〉SSL Certificates-〉Create
参考证书申请表填写证书请求信息
新建证书请求时,请设置“Challenge Password” 为空。

Symantec证书暂不支持在F5中指定该参数。

证书密钥长度请选额2048位。

点击Download test_cert.csr。

将证书请求文件(yourname.csr文件)提交给CA认证机构,并等待证书的签发
点击Finished完成证书请求操作。

完成后,在SSL Ceritificates 的页面中能看到一个只有key的条目。

如需备份证书私钥,您可在此位置选择“Export”将证书私钥导出备份。

2安装服务器证书
2.1获取服务器证书
将服务器证书文件中的内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,保存为server.cer的文件。

2.2安装服务器证书
点击您创建证书请求时设置定证书别名,如“test_cert”。

进入 Key 栏目后,选择“Certificate”标签,并选则“Import”,将证书对应私钥文件导入。

导入成功后,证书“Contents”属性将显示为“Certificate & Key”。

2.3导入CA中级证书
从邮件中获取中级CA证书:
将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,两段编码之间用回车换行分隔,修改文件扩展名,保存为 ca-bundle.cer 文件(如证书签发邮件中只有一张中级证书,则只需要保存一张中级证书代码)。

选择Local Traffic-〉SSL Certificates 在 SSL Certificate List 主界面点击右上角“Import”,将生成的 ca-bundle.cer 使用“Certificate”方式导入。

导入成功后,F5将自动识别导入的证书为 Certificate Bundle。

3配置服务器证书
3.1单向认证的配置
选择“Local Traffic”-“Vitual Servers”-“Profiles”
选择“Proflie”中,“SSL”下的“Clent”进入“Client SSL Profile”设置。

如果您需要为站点配置一个全新的SSL证书,则您需要新建一个 Client SSL Profile。

如果您需要为一个已有证书的站点更新服务器证书,则仅需点击已存在的 Profile,进行编辑更新操作即可。

在新建的Profile 中,选择当前Profile所使用的证书(Certificate)、私钥(key),以及在 Chian 处,设置与该证书应用相关联的证书链(之前导入的中级CA证书)。

完成后,选择“Update”保存。

在证书成功配置后,需要创建一个443端口的 Virtual Server,并加载上面的 Client SS Profile 对应该站点启用SSL证书。

3.2双向认证的配置
双向认证部分,要求客户端出示客户端的个人证书才能登陆指定页面。

如果没有对客户端做强制身份认证,则您无需配置双向认证部分。

在双向认证时,需要配置以下内容
Trusted Certificate Authorities:客户端证书的根证书
Client Certificate:这里有两种模式可以选择
Require:客户端必须提交证书,通常都采用这种方式
Request:客户端可提交证书,也可不提交证书
Advertised Certificate Authorities:在客户端连接时,服务器发送到客户端的信息,该信息使在客户端弹出的证书选择列表中只包含选中的根证书所颁发的客户端证书。

配置时注意如果有中间证书,则一定要选择根证书和中间证书的Bundle。

完成证书的导入和profile 的设置后,还需要在Virtual Server下设定Properties。

将Clent Server和刚才产生的Profile捆绑一下,点击Update 即可完成证书的配置了。

完成证书配置后,请备份证书私钥文件与公钥文件,以便以后,有需要可以使用备份文件做恢复。

相关文档
最新文档