Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis
(CA NFA) peut être configuré pour utiliser des certificats X.509 en vue de l'activation de différents niveaux de transport sécurisé à tous les niveaux du produit. Le logiciel de console NFA inclut l'utilitaire de ligne de commande OpenSSL que vous pouvez utiliser pour les opérations suivantes :
nfa1000
Network Flow Analysis
(CA NFA) peut être configuré pour utiliser des certificats X.509 en vue de l'activation de différents niveaux de transport sécurisé à tous les niveaux du produit. Le logiciel de console NFA inclut l'utilitaire de ligne de commande OpenSSL
que vous pouvez utiliser pour les opérations suivantes :- Génération de demandes de signature de certificat
- Signature des certificats (auto-signature ou en tant qu'autorité de certification (CA))
- Gestion du stockage des certificats
Quel que soit le type de sécurité que vous configurez, vous pouvez utiliser l'outil
OpenSSL
pour satisfaire à vos exigences en matière de gestion des certificats.Nous vous recommandons d'obtenir les certificats à utiliser avec
Network Flow Analysis
auprès de votre autorité de certification approuvée. Si vous décidez de ne pas utiliser de certificats signés par une autorité de certification approuvée, suivez les instructions ci-après pour générer vos propres certificats à utiliser avec CA NFA.La procédure générale implique les opérations suivantes :
- Création d'un certificat sur le serveur de la console NFA qui agit en tant que certificat d'autorité de certification
- Signature des certificats générés pour la console NFA et pour chaque Harvester inclus dans votre déploiement à l'aide de ce certificat
Procédez comme suit :
Sur la console :
- La commandeopenssl req -newvous invite à entrer les informations à inclure dans la demande de certificat. La valeurCommon Name(Nom commun) doit être unique dans chaque demande.
- Le numéro que vous utilisez comme argument pour-set_serialdans les commandesopenssl X509(générant un certificat signé par la console jouant le rôle d'autorité de certification) doit être unique dans chaque requête.
- Créez un répertoire nommépour le stockage des certificats et des référentiels de certificats.chemin_installation\certsExécutez les commandes indiquées dans les étapes ci-dessous à partir de ce répertoire.
- Définissez la variable d'environnementOPENSSL_CONFpour le fichier de configurationOpenSSL.set OPENSSL_CONF=install_path\Tools\openssl\bin\openssl.cfg
- UtilisezOpenSSLpour générer un certificat auto-signé. Ce certificat fait office de certificat d'autorité de certification (CA) pour la console et pour tous les Harvesters. La commandeOpenSSLse trouve dans le répertoirede la console NFA.chemin_installation\tools\openssl\bin
- Générez la clé privée :openssl genrsa -des3 -out nfa-ca-key.pem 2048
- Générez une demande de signature de certificat :openssl req -new -key nfa-ca-key.pem -out nfa-ca.csr
- Supprimez la phrase secrète de la clé privée :copy nfa-ca-key.pem nfa-ca-key.pem.orig openssl rsa -in nfa-ca-key.pem.orig -out nfa-ca-key.pem
- Générez le certificat auto-signé :openssl x509 -req -days 1825 -in nfa-ca.csr -signkey nfa-ca-key.pem -out nfa-ca-cert.pem
- UtilisezOpenSSLpour générer un nouveau certificat pour la console, signé par le certificatCAque vous venez de générer.
- Générez la clé privée :openssl genrsa -des3 -out nfa-console-key.pem 2048
- Générez une demande de signature de certificat :openssl req -new -key nfa-console-key.pem -out nfa-console.csr
- Supprimez la phrase secrète de la clé privée :copy nfa-console-key.pem nfa-console-key.pem.orig openssl rsa -in nfa-console-key.pem.orig -out nfa-console-key.pem
- Générez un certificat signé par la console agissant commeautorité de certification:openssl x509 -req -days 1825 -in nfa-console.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-console-cert.pem
- UtilisezOpenSSLpour générer un référentiel de clés PKCS12 qui contient à la fois le certificat deCAet le certificat de la console signé par le certificat deCA.
- Générez le référentiel de clés avec la clé privée de la console et le certificat de la console :openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -out nfa-console-keystore.pfx
- Générez le référentiel d'approbations avec le certificat de la console et le certificat deCA:openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -certfile nfa-ca-cert.pem -out nfa-console-truststore.pfx
- UtilisezOpenSSLpour générer un nouveau certificat signé par l'autorité de certificationpour chaque Harvester.
- Générez la clé privée :openssl genrsa -des3 -out nfa-harvester-key.pem 2048
- Générez une demande de signature de certificat :openssl req -new -key nfa-harvester-key.pem -out nfa-harvester.csr
- Supprimez la phrase secrète de la clé privée :copy nfa-harvester-key.pem nfa-harvester-key.pem.orig openssl rsa -in nfa-harvester-key.pem.orig -out nfa-harvester-key.pem
- Générez un certificat signé par la console agissant comme autorité de certification :openssl x509 -req -days 1825 -in nfa-harvester.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-harvester-cert.pem
- UtilisezOpenSSLpour générer un référentiel de clés PKCS12 et un référentiel d'approbations qui contient à la fois le certificat deCAet le certificat de Harvester qui est signé par le certificat deCApour chaque Harvester.
- Générez le référentiel de clés avec la clé privée et le certificat du Harvester :openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -out nfa-harvester-keystore.pfx
- Générez le référentiel d'approbations avec le certificat du Harvester et le certificat deCA:openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -certfile nfa-ca-cert.pem -out nfa-harvester-truststore.pfx
- Vérifiez que les certificats créés ne contiennent aucune erreur.openssl verify -CAfile nfa-ca-cert.pem nfa-console-cert.pem nfa-harvester-cert.pem
Sur chaque Harvester :
- Créez un répertoire nommépour le stockage des certificats et des référentiels de certificats.chemin_installation\certs
- Copiez le fichier de certificat deCAet les fichiers de certificat et référentiels du Harvester (référentiel de clés et référentiel d'approbations) dans le répertoirecertscréé à l'étape 1.
Si vous utilisez des certificats signés par une autorité de certification réelle, vous pouvez suivre cette procédure pour générer les fichiers
requis sous*.pfx
(répertoire). Placez des copies de vos fichiers de certificat et de clé privée au formatinstall_path\certs
souspem
(répertoire). Les fichiersinstall_path\certs
et*.pfx
sont requis pour la sécurisation de*.pem
Network Flow Analysis
.