Ansichten:

Kreuzen Sie Ihr CA-Zertifikat mit der Certificate Signing Request (CSR)-Datei, die von Internetzugang bereitgestellt wird, zur Verwendung durch Internetzugangs-Gateways.

Internetzugang ermöglicht Administratoren, das CA-Zertifikat Ihrer Organisation mit der Zertifikatsignierungsanforderungsdatei (CSR) von Trend Micro gegenzuzeichnen und das gegengezeichnete Zertifikat auf der Trend Vision One-Verwaltungskonsole hochzuladen. Das Gegenzuzeichnen des CA-Zertifikats stellt eine vertrauenswürdige Beziehung zwischen dem CA-Zertifikat von Trend Micro und dem eigenen CA-Zertifikat Ihrer Organisation her.
Hinweis
Hinweis
Internet Access stellt verschiedene CSR-Dateien für das Cloud-Gateway und lokale Gateways bereit.

Prozedur

  1. Prüfen Sie Folgendes:
    • Das CA-Zertifikat Ihrer Organisation sowie der entsprechende CA-Privatschlüssel und dessen Passphrase sind bereits verfügbar.
    • Das Path Length Constraint im Zertifikat der Zertifizierungsstelle Ihrer Organisation ist auf Keine gesetzt, sodass es keine Einschränkungen für die Zertifikate der Zertifizierungsstelle in der Hierarchie gibt.
    • Der Administrator hat grundlegende Kenntnisse über OpenSSL-Befehle.
  2. Navigieren Sie zu Zero Trust Secure AccessSecure Access ConfigurationInternet Access Configuration.
  3. Klicken Sie auf die Registerkarte HTTPS Inspection.
  4. Klicken Sie oben rechts auf das Zahnradsymbol Einstellungen.
  5. Klicken Sie auf Download CSR und wählen Sie den Gateway-Typ aus, um die entsprechende CSR-Datei auf Ihren lokalen Computer herunterzuladen.
  6. Erstellen Sie einen Ordner auf Ihrem Lokalen Computer und geben Sie einen Namen für den Ordner an, zum Beispiel CrossSignIAGCA_cloud für das Cloud-Gateway, CrossSignIAGCA_onprem für das lokale Gateway.
    Hinweis
    Hinweis
    Die Namen der in diesem Abschnitt erstellten Ordner und Dateien sind anpassbar.
  7. Gehen Sie zum neu erstellten Ordner.
  8. Erstellen Sie einen Unterordner mit dem Namen newcerts.
  9. Erstellen Sie eine leere Datei mit dem Namen certindex.
  10. Erstellen Sie eine Datei, kopieren Sie den folgenden Text und fügen Sie ihn ein, und speichern Sie ihn dann als serialfile in dem Ordner, den Sie in Schritt 6 erstellt haben:
    a000
  11. Verschieben Sie die heruntergeladene CSR-Datei in den Ordner, den Sie in Schritt 6 erstellt haben, und benennen Sie sie in iag_ca.csr um.
  12. Erstellen Sie eine Datei, kopieren Sie den folgenden Text und fügen Sie ihn in die Datei ein, und speichern Sie sie dann als Konfigurationsdatei mit dem Dateinamen myca.conf in dem Ordner, den Sie in Schritt 6 erstellt haben:
    [ca]
default_ca = rootca

[crl_ext]
#issuerAltName=issuer:copy  #this would copy the issuer name to altname
authorityKeyIdentifier=keyid:always

[rootca]
new_certs_dir = newcerts
unique_subject = no
certificate = root.cer  #Your organization's CA certificate
database = certindex
private_key = root.key  #Your organization's CA private key
serial = serialfile
default_days = 3660     #Should be at least two years from the date of cross-signing
default_md = sha256     #sha256, sha 384, sha512 are supported.
policy = myca_policy
x509_extensions = myca_extensions

[ myca_policy ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = supplied
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

[ myca_extensions ]     #These extensions are required.
basicConstraints = CA:true
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always
keyUsage = keyCertSign, cRLSign
  13. Führen Sie den folgenden Befehl aus, um das CA-Zertifikat Ihrer Organisation mit der CSR-Datei gegenzuzeichnen:
    openssl ca -batch -config myca.conf -notext -days 7320 -in iag_ca.csr -out iag_ca.cer
    Ein kreuzsigniertes Zertifikat mit dem Namen 0A.pem wird im Ordner newcerts erstellt.