Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis

(CA NFA) peut être configuré pour utiliser des certificats X.509 en vue de l'activation de différents niveaux de transport sécurisé à tous les niveaux du produit. Le logiciel de console NFA inclut l'utilitaire de ligne de commande OpenSSL que vous pouvez utiliser pour les opérations suivantes :
nfa1000
Network Flow Analysis
(CA NFA) peut être configuré pour utiliser des certificats X.509 en vue de l'activation de différents niveaux de transport sécurisé à tous les niveaux du produit. Le logiciel de console NFA inclut l'utilitaire de ligne de commande
OpenSSL
que vous pouvez utiliser pour les opérations suivantes :
  • Génération de demandes de signature de certificat
  • Signature des certificats (auto-signature ou en tant qu'autorité de certification (
    CA
    ))
  • Gestion du stockage des certificats
Quel que soit le type de sécurité que vous configurez, vous pouvez utiliser l'outil
OpenSSL
pour satisfaire à vos exigences en matière de gestion des certificats.
Nous vous recommandons d'obtenir les certificats à utiliser avec
Network Flow Analysis
auprès de votre autorité de certification approuvée. Si vous décidez de ne pas utiliser de certificats signés par une autorité de certification approuvée, suivez les instructions ci-après pour générer vos propres certificats à utiliser avec CA NFA.
La procédure générale implique les opérations suivantes :
  1. Création d'un certificat sur le serveur de la console NFA qui agit en tant que certificat d'autorité de certification
  2. Signature des certificats générés pour la console NFA et pour chaque Harvester inclus dans votre déploiement à l'aide de ce certificat
Procédez comme suit :
Sur la console :
  • La commande
    openssl req -new
    vous invite à entrer les informations à inclure dans la demande de certificat. La valeur
    Common Name
    (Nom commun) doit être unique dans chaque demande.
  • Le numéro que vous utilisez comme argument pour
    -set_serial
    dans les commandes
    openssl X509
    (générant un certificat signé par la console jouant le rôle d'
    autorité de certification
    ) doit être unique dans chaque requête.
  1. Créez un répertoire nommé
    chemin_installation
    \certs
    pour le stockage des certificats et des référentiels de certificats.
    Exécutez les commandes indiquées dans les étapes ci-dessous à partir de ce répertoire.
  2. Définissez la variable d'environnement
    OPENSSL_CONF
    pour le fichier de configuration
    OpenSSL
    .
    set OPENSSL_CONF=
    install_path
    \Tools\openssl\bin\openssl.cfg
  3. Utilisez
    OpenSSL
    pour générer un certificat auto-signé. Ce certificat fait office de certificat d'autorité de certification (
    CA
    ) pour la console et pour tous les Harvesters. La commande
    OpenSSL
    se trouve dans le répertoire
    chemin_installation
    \tools\openssl\bin
    de la console NFA.
    1. Générez la clé privée :
      openssl genrsa -des3 -out nfa-ca-key.pem 2048
    2. Générez une demande de signature de certificat :
      openssl req -new -key nfa-ca-key.pem -out nfa-ca.csr
    3. Supprimez la phrase secrète de la clé privée :
      copy nfa-ca-key.pem nfa-ca-key.pem.orig openssl rsa -in nfa-ca-key.pem.orig -out nfa-ca-key.pem
    4. Générez le certificat auto-signé :
      openssl x509 -req -days 1825 -in nfa-ca.csr -signkey nfa-ca-key.pem -out nfa-ca-cert.pem
  4. Utilisez
    OpenSSL
    pour générer un nouveau certificat pour la console, signé par le certificat
    CA
    que vous venez de générer.
    1. Générez la clé privée :
      openssl genrsa -des3 -out nfa-console-key.pem 2048
    2. Générez une demande de signature de certificat :
      openssl req -new -key nfa-console-key.pem -out nfa-console.csr
    3. Supprimez la phrase secrète de la clé privée :
      copy nfa-console-key.pem nfa-console-key.pem.orig openssl rsa -in nfa-console-key.pem.orig -out nfa-console-key.pem
    4. Générez un certificat signé par la console agissant comme
      autorité de certification
      :
      openssl x509 -req -days 1825 -in nfa-console.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-console-cert.pem
  5. Utilisez
    OpenSSL
    pour générer un référentiel de clés PKCS12 qui contient à la fois le certificat de
    CA
    et le certificat de la console signé par le certificat de
    CA
    .
    1. Générez le référentiel de clés avec la clé privée de la console et le certificat de la console :
      openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -out nfa-console-keystore.pfx
    2. Générez le référentiel d'approbations avec le certificat de la console et le certificat de
      CA
      :
      openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -certfile nfa-ca-cert.pem -out nfa-console-truststore.pfx
  6. Utilisez
    OpenSSL
    pour générer un nouveau certificat signé par l'
    autorité de certification
    pour chaque Harvester.
    1. Générez la clé privée :
      openssl genrsa -des3 -out nfa-harvester-key.pem 2048
    2. Générez une demande de signature de certificat :
      openssl req -new -key nfa-harvester-key.pem -out nfa-harvester.csr
    3. Supprimez la phrase secrète de la clé privée :
      copy nfa-harvester-key.pem nfa-harvester-key.pem.orig openssl rsa -in nfa-harvester-key.pem.orig -out nfa-harvester-key.pem
    4. Générez un certificat signé par la console agissant comme autorité de certification :
      openssl x509 -req -days 1825 -in nfa-harvester.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-harvester-cert.pem
  7. Utilisez
    OpenSSL
    pour générer un référentiel de clés PKCS12 et un référentiel d'approbations qui contient à la fois le certificat de
    CA
    et le certificat de Harvester qui est signé par le certificat de
    CA
    pour chaque Harvester.
    1. Générez le référentiel de clés avec la clé privée et le certificat du Harvester :
      openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -out nfa-harvester-keystore.pfx
    2. Générez le référentiel d'approbations avec le certificat du Harvester et le certificat de
      CA
      :
      openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -certfile nfa-ca-cert.pem -out nfa-harvester-truststore.pfx
  8. Vérifiez que les certificats créés ne contiennent aucune erreur.
    openssl verify -CAfile nfa-ca-cert.pem nfa-console-cert.pem nfa-harvester-cert.pem
Sur chaque Harvester :
  1. Créez un répertoire nommé
    chemin_installation
    \certs
    pour le stockage des certificats et des référentiels de certificats.
  2. Copiez le fichier de certificat de
    CA
    et les fichiers de certificat et référentiels du Harvester (référentiel de clés et référentiel d'approbations) dans le répertoire
    certs
    créé à l'étape 1.
Si vous utilisez des certificats signés par une autorité de certification réelle, vous pouvez suivre cette procédure pour générer les fichiers
*.pfx
requis sous
install_path
\certs
(répertoire). Placez des copies de vos fichiers de certificat et de clé privée au format
pem
sous
install_path
\certs
(répertoire). Les fichiers
*.pfx
et
*.pem
sont requis pour la sécurisation de
Network Flow Analysis
.