Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis
Vous pouvez configurer
Network Flow Analysis
(NFA) pour utiliser des certificats X.509 en vue de l'activation de différents niveaux de transport sécurisé dans l'intégralité du produit. Le logiciel de console NFA inclut l'utilitaire de ligne de commande OpenSSL que vous pouvez utiliser pour les opérations suivantes :nfa1000
Vous pouvez configurer
Network Flow Analysis
(NFA) pour utiliser des certificats X.509 en vue de l'activation de différents niveaux de transport sécurisé dans l'intégralité du produit. Le logiciel de console NFA inclut l'utilitaire de ligne de commande OpenSSL
que vous pouvez utiliser pour les opérations suivantes :- Génération de demandes de signature de certificat
- Signature des certificats (auto-signature ou en tant qu'autorité de certification (CA))
- Gestion du stockage des certificats
Quel que soit le type de sécurité que vous configurez, vous pouvez utiliser l'outil
OpenSSL
pour satisfaire à vos exigences en matière de gestion des certificats.Stockez les fichiers de certificat et de clé privée, tels que *.pem, *.cer, *.crt, *.key, référencés dans des fichiers de configuration pendant ce processus dans un emplacement sécurisé. Si les fichiers de certificat et de clé privée sont des fichiers temporaires qui ne sont pas référencés dans les fichiers de configuration une fois ce processus terminé, déplacez-les ou supprimez-les.
Nous vous recommandons d'obtenir les certificats à utiliser avec
DX NetOps Network Flow Analysis
auprès de votre autorité de certification approuvée. Si vous décidez de ne pas utiliser de certificats signés par une autorité de certification approuvée, suivez les instructions ci-après pour générer vos propres certificats à utiliser avec CA NFA.La procédure générale implique les opérations suivantes :
- Création d'un certificat sur le serveur de la console NFA qui agit en tant que certificat d'autorité de certification
- Signez les certificats générés pour la console NFA et pour chaque Harvester inclus dans votre déploiement à l'aide de ce certificat.
Procédez comme suit :
Sur la console :
- La commandeopenssl req -newvous invite à entrer les informations à inclure dans la demande de certificat. La valeurCommon Name(Nom commun) doit être unique dans chaque demande.
- Pour activer la communication HTTPS entre la console NFA et le Harvester, fournissez l'adresse IP du serveur Harvester en tant que nom commun.
- Le numéro que vous utilisez comme argument pour-set_serialdans les commandesopenssl X509(générant un certificat signé par la console jouant le rôle d'autorité de certification) doit être unique dans chaque requête.
- Créez un répertoire nommépour le stockage des certificats et des référentiels de certificats.chemin_installation\certsExécutez les commandes indiquées dans les étapes ci-dessous à partir de ce répertoire.Par exemple, créez des certificats dans le répertoire C:\CA\NFA\certs\.
- Définissez la variable d'environnementOPENSSL_CONFpour le fichier de configurationOpenSSL.set OPENSSL_CONF=install_path\Tools\openssl\bin\openssl.cfg
- UtilisezOpenSSLpour générer un certificat auto-signé. Ce certificat fait office de certificat d'autorité de certification (CA) pour la console et pour tous les Harvesters. La commandeOpenSSLse trouve dans le répertoirede la console NFA.chemin_installation\tools\openssl\bin
- Générez la clé privée :openssl genrsa -des3 -out nfa-ca-key.pem 2048
- Générez une demande de signature de certificat :openssl req -new -key nfa-ca-key.pem -out nfa-ca.csr
- Supprimez la phrase secrète de la clé privée :copy nfa-ca-key.pem nfa-ca-key.pem.orig openssl rsa -in nfa-ca-key.pem.orig -out nfa-ca-key.pem
- Générez le certificat auto-signé :openssl x509 -req -days 1825 -in nfa-ca.csr -signkey nfa-ca-key.pem -out nfa-ca-cert.pem
- Utilisezopensslpour générer un nouveau certificat pour laconsole, signé par le certificatd'autorité de certificationque vous venez de générer.
- Générez la clé privée :openssl genrsa -des3 -out nfa-console-key.pem 2048
- Générez une demande de signature de certificat :openssl req -new -key nfa-console-key.pem -out nfa-console.csr
- Supprimez la phrase secrète de la clé privée :copy nfa-console-key.pem nfa-console-key.pem.orig openssl rsa -in nfa-console-key.pem.orig -out nfa-console-key.pem
- Générez un certificat signé par la console agissant commeautorité de certification:openssl x509 -req -days 1825 -in nfa-console.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-console-cert.pem -extfile SAN.cnf -extensions req_extSAN.cnf n'est pas requis si le nom commun correspond au nom d'hôte NFA lors de l'enregistrement dans DX Performance Management. Exemple de fichier SAN.cnf :[req_ext] subjectAltName= @alt_names [alt_names] DNS.1= host.example.com <!--fully qualified domain name--> DNS.2= console_hostname IP.1= console_host_ip_address
- UtilisezOpenSSLpour générer un référentiel de clés PKCS12 qui contient à la fois le certificat deCAet le certificat de la console signé par le certificat deCA.
- Générez le référentiel de clés avec la clé privée de la console et le certificat de la console :openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -out nfa-console-keystore.pfx
- Générez le référentiel d'approbations avec le certificat de la console et le certificat deCA:openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -certfile nfa-ca-cert.pem -out nfa-console-truststore.pfx
- Utilisezopensslpour générer un nouveau certificat signé par l'autorité de certificationpour chaqueHarvester.
- Générez la clé privée :openssl genrsa -des3 -out nfa-harvester-key.pem 2048
- Générez une demande de signature de certificat :openssl req -new -key nfa-harvester-key.pem -out nfa-harvester.csrPour activer la communication HTTPS entre la console NFA et le Harvester, fournissez l'adresse IP du serveur Harvester en tant que nom commun.
- Supprimez la phrase secrète de la clé privée :copy nfa-harvester-key.pem nfa-harvester-key.pem.orig openssl rsa -in nfa-harvester-key.pem.orig -out nfa-harvester-key.pem
- Générez un certificat signé par la console agissant comme autorité de certification :openssl x509 -req -days 1825 -in nfa-harvester.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-harvester-cert.pem -extfile SAN.cnf -extensions req_extSAN.cnf est requis pour permettre une communication sécurisée entre la console et le Harvester dans un environnement distribué.[req_ext] subjectAltName= @alt_names [alt_names] DNS.1= host.example.com <!--fully qualified domain name--> DNS.2= Harvester_hostname IP.1= Harvester_host_ip_address
- UtilisezOpenSSLpour générer un référentiel de clés PKCS12 et un référentiel d'approbations qui contient à la fois le certificat deCAet le certificat de Harvester qui est signé par le certificat deCApour chaque Harvester.
- Générez le référentiel de clés avec la clé privée et le certificat du Harvester :openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -out nfa-harvester-keystore.pfx
- Générez le référentiel d'approbations avec le certificat du Harvester et le certificat d'autorité de certification:openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -certfile nfa-ca-cert.pem -out nfa-harvester-truststore.pfx
- Générez les certificats de Harvester pour les importer dans le référentiel d'approbations de la console :openssl pkcs12 -in nfa-harvester-keystore.pfx -nokeys -out nfa-harvester.cer
- Pour ajouter les certificats de Harvester au référentiel d'approbations de la console, exécutez la commande suivante :keytool -import -alias testing -file nfa-harvester.cer -keystore nfa-console-truststore.pfx
- Vérifiez que les certificats créés ne contiennent aucune erreur.openssl verify -CAfile nfa-ca-cert.pem nfa-console-cert.pem nfa-harvester-cert.pem
Sur chaque Harvester :
- Créez un répertoire nommépour le stockage des certificats et des référentiels de certificats.chemin_installation\certs
- Copiez le fichier de certificat deCAet les fichiers de certificat et référentiels du Harvester (référentiel de clés et référentiel d'approbations) dans le répertoirecertscréé à l'étape 1.
- Si vous utilisez des certificats signés par une autorité de certification, vous pouvez utiliser ces étapes pour générer les fichiers*.pfxrequis dans le répertoire. Placez les copies de vos fichiers de certificat et de clé privée au formatchemin_installation\certspemdans le répertoire. Les fichierschemin_installation\certs*.pfxet*.pemsont requis pour sécuriserNetwork Flow Analysis.
- Nous ne pouvons pas utiliser un certificat de console signé par une autorité de certification externe ni un certificat signé par une autorité de certification NFA dans un environnement autonome.