使用網路存取提供的憑證簽署請求 (CSR) 檔案來交叉簽署您的 CA 憑證,以供網路存取閘道使用。
網路存取允許管理員使用趨勢科技提供的憑證簽署請求 (CSR) 檔案來交叉簽署您組織自己的 CA 憑證,並將交叉簽署的憑證上傳到Trend Vision One管理控制台。交叉簽署 CA 憑證可建立趨勢科技 CA 憑證與您組織自己的 CA 憑證之間的信任關係。
 |
注意網路存取為雲端閘道和內部閘道提供不同的 CSR 檔案。
|
步驟
- 檢查以下內容:
-
您組織的 CA 憑證及相應的 CA 私鑰和其密碼短語已經可用。
-
您組織的 CA 憑證中的 Path Length Constraint 設定為 無,因此在層級結構中的 CA 憑證沒有任何限制。
-
管理員具備基本的openssl命令知識。
-
- 前往。
- 點選HTTPS Inspection標籤。
- 點選右上角的設定齒輪圖示。
- 點選Download CSR並選擇閘道類型以下載相應的 CSR 檔案到您的本機。
- 在您的本機上建立一個資料夾並指定資料夾名稱,例如,雲端閘道的
CrossSignIAGCA_cloud,內部部署閘道的CrossSignIAGCA_onprem。注意
此部分中創建的資料夾和檔案名稱是可自訂的。 - 前往新建的資料夾。
- 建立一個名為
newcerts的子資料夾。 - 建立一個名為
certindex的空檔案。 - 建立一個檔案,複製並貼上以下文字,然後將其儲存為
serialfile:a000
- 將下載的 CSR 檔案移動到資料夾
newcerts,並將其重新命名為iag_ca.csr: - 建立一個檔案,將以下文字複製並貼上到該檔案中,然後將其儲存為名為
myca.conf的配置檔:[ca] default_ca = rootca [crl_ext] #issuerAltName=issuer:copy #this would copy the issuer name to altname authorityKeyIdentifier=keyid:always [rootca] new_certs_dir = newcerts unique_subject = no certificate = root.cer #Your organization's CA certificate database = certindex private_key = root.key #Your organization's CA private key serial = serialfile default_days = 3660 #Should be at least two years from the date of cross-signing default_md = sha256 #sha256 is required. policy = myca_policy x509_extensions = myca_extensions [ myca_policy ] countryName = supplied stateOrProvinceName = supplied localityName = supplied organizationName = supplied organizationalUnitName = optional commonName = supplied emailAddress = optional [ myca_extensions ] #These extensions are required. basicConstraints = CA:true subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always keyUsage = keyCertSign, cRLSign
- 執行以下命令,使用 CSR 檔案對您組織的 CA 憑證進行交叉簽署:
openssl ca -batch -config myca.conf -notext -days 7320 -in iag_ca.csr -out iag_ca.cer在資料夾newcerts下生成了一個名為0A.pem的交叉簽署憑證。