Génération ou configuration de certificats pour utilisation par CA Network Flow Analysis

Vous pouvez configurer
Network Flow Analysis
(NFA) pour utiliser des certificats X.509 en vue de l'activation de différents niveaux de transport sécurisé dans l'intégralité du produit. Le logiciel de console NFA inclut l'utilitaire de ligne de commande OpenSSL que vous pouvez utiliser pour les opérations suivantes :
nfa1000
Vous pouvez configurer
Network Flow Analysis
(NFA) pour utiliser des certificats X.509 en vue de l'activation de différents niveaux de transport sécurisé dans l'intégralité du produit. Le logiciel de console NFA inclut l'utilitaire de ligne de commande
OpenSSL
que vous pouvez utiliser pour les opérations suivantes :
  • Génération de demandes de signature de certificat
  • Signature des certificats (auto-signature ou en tant qu'autorité de certification (
    CA
    ))
  • Gestion du stockage des certificats
Quel que soit le type de sécurité que vous configurez, vous pouvez utiliser l'outil
OpenSSL
pour satisfaire à vos exigences en matière de gestion des certificats.
Stockez les fichiers de certificat et de clé privée, tels que *.pem, *.cer, *.crt, *.key, référencés dans des fichiers de configuration pendant ce processus dans un emplacement sécurisé. Si les fichiers de certificat et de clé privée sont des fichiers temporaires qui ne sont pas référencés dans les fichiers de configuration une fois ce processus terminé, déplacez-les ou supprimez-les.
Nous vous recommandons d'obtenir les certificats à utiliser avec
DX NetOps Network Flow Analysis
auprès de votre autorité de certification approuvée. Si vous décidez de ne pas utiliser de certificats signés par une autorité de certification approuvée, suivez les instructions ci-après pour générer vos propres certificats à utiliser avec CA NFA.
La procédure générale implique les opérations suivantes :
  1. Création d'un certificat sur le serveur de la console NFA qui agit en tant que certificat d'autorité de certification
  2. Signez les certificats générés pour la console NFA et pour chaque Harvester inclus dans votre déploiement à l'aide de ce certificat.
Procédez comme suit :
Sur la console :
  • La commande
    openssl req -new
    vous invite à entrer les informations à inclure dans la demande de certificat. La valeur
    Common Name
    (Nom commun) doit être unique dans chaque demande.
  • Pour activer la communication HTTPS entre la console NFA et le Harvester, fournissez l'adresse IP du serveur Harvester en tant que nom commun.
  • Le numéro que vous utilisez comme argument pour
    -set_serial
    dans les commandes
    openssl X509
    (générant un certificat signé par la console jouant le rôle d'
    autorité de certification
    ) doit être unique dans chaque requête.
  1. Créez un répertoire nommé
    chemin_installation
    \certs
    pour le stockage des certificats et des référentiels de certificats.
    Par exemple, créez des certificats dans le répertoire C:\CA\NFA\certs\.
    Exécutez les commandes indiquées dans les étapes ci-dessous à partir de ce répertoire.
  2. Définissez la variable d'environnement
    OPENSSL_CONF
    pour le fichier de configuration
    OpenSSL
    .
    set OPENSSL_CONF=
    install_path
    \Tools\openssl\bin\openssl.cfg
  3. Utilisez
    OpenSSL
    pour générer un certificat auto-signé. Ce certificat fait office de certificat d'autorité de certification (
    CA
    ) pour la console et pour tous les Harvesters. La commande
    OpenSSL
    se trouve dans le répertoire
    chemin_installation
    \tools\openssl\bin
    de la console NFA.
    1. Générez la clé privée :
      openssl genrsa -des3 -out nfa-ca-key.pem 2048
    2. Générez une demande de signature de certificat :
      openssl req -new -key nfa-ca-key.pem -out nfa-ca.csr
    3. Supprimez la phrase secrète de la clé privée :
      copy nfa-ca-key.pem nfa-ca-key.pem.orig openssl rsa -in nfa-ca-key.pem.orig -out nfa-ca-key.pem
    4. Générez le certificat auto-signé :
      openssl x509 -req -days 1825 -in nfa-ca.csr -signkey nfa-ca-key.pem -out nfa-ca-cert.pem
  4. Utilisez
    openssl
    pour générer un nouveau certificat pour la
    console
    , signé par le certificat
    d'autorité de certification
    que vous venez de générer.
    1. Générez la clé privée :
      openssl genrsa -des3 -out nfa-console-key.pem 2048
    2. Générez une demande de signature de certificat :
      openssl req -new -key nfa-console-key.pem -out nfa-console.csr
    3. Supprimez la phrase secrète de la clé privée :
      copy nfa-console-key.pem nfa-console-key.pem.orig openssl rsa -in nfa-console-key.pem.orig -out nfa-console-key.pem
    4. Générez un certificat signé par la console agissant comme
      autorité de certification
      :
      openssl x509 -req -days 1825 -in nfa-console.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-console-cert.pem -extfile SAN.cnf -extensions req_ext
      SAN.cnf n'est pas requis si le nom commun correspond au nom d'hôte NFA lors de l'enregistrement dans DX Performance Management. Exemple de fichier SAN.cnf :
      [req_ext] subjectAltName= @alt_names [alt_names] DNS.1= host.example.com <!--fully qualified domain name--> DNS.2= console_hostname IP.1= console_host_ip_address
  5. Utilisez
    OpenSSL
    pour générer un référentiel de clés PKCS12 qui contient à la fois le certificat de
    CA
    et le certificat de la console signé par le certificat de
    CA
    .
    1. Générez le référentiel de clés avec la clé privée de la console et le certificat de la console :
      openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -out nfa-console-keystore.pfx
    2. Générez le référentiel d'approbations avec le certificat de la console et le certificat de
      CA
      :
      openssl pkcs12 -export -in nfa-console-cert.pem -inkey nfa-console-key.pem -certfile nfa-ca-cert.pem -out nfa-console-truststore.pfx
  6. Utilisez
    openssl
    pour générer un nouveau certificat signé par l'
    autorité de certification
    pour chaque
    Harvester
    .
    1. Générez la clé privée :
      openssl genrsa -des3 -out nfa-harvester-key.pem 2048
    2. Générez une demande de signature de certificat :
      openssl req -new -key nfa-harvester-key.pem -out nfa-harvester.csr
      Pour activer la communication HTTPS entre la console NFA et le Harvester, fournissez l'adresse IP du serveur Harvester en tant que nom commun.
    3. Supprimez la phrase secrète de la clé privée :
      copy nfa-harvester-key.pem nfa-harvester-key.pem.orig openssl rsa -in nfa-harvester-key.pem.orig -out nfa-harvester-key.pem
    4. Générez un certificat signé par la console agissant comme autorité de certification :
      openssl x509 -req -days 1825 -in nfa-harvester.csr -CA nfa-ca-cert.pem -CAkey nfa-ca-key.pem -set_serial <unique_num> -out nfa-harvester-cert.pem -extfile SAN.cnf -extensions req_ext
      SAN.cnf est requis pour permettre une communication sécurisée entre la console et le Harvester dans un environnement distribué.
      [req_ext] subjectAltName= @alt_names [alt_names] DNS.1= host.example.com <!--fully qualified domain name--> DNS.2= Harvester_hostname IP.1= Harvester_host_ip_address
  7. Utilisez
    OpenSSL
    pour générer un référentiel de clés PKCS12 et un référentiel d'approbations qui contient à la fois le certificat de
    CA
    et le certificat de Harvester qui est signé par le certificat de
    CA
    pour chaque Harvester.
    1. Générez le référentiel de clés avec la clé privée et le certificat du Harvester :
      openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -out nfa-harvester-keystore.pfx
    2. Générez le référentiel d'approbations avec le certificat du Harvester et le certificat d'
      autorité de certification
      :
      openssl pkcs12 -export -in nfa-harvester-cert.pem -inkey nfa-harvester-key.pem -certfile nfa-ca-cert.pem -out nfa-harvester-truststore.pfx
    3. Générez les certificats de Harvester pour les importer dans le référentiel d'approbations de la console :
      openssl pkcs12 -in nfa-harvester-keystore.pfx -nokeys -out nfa-harvester.cer
    4. Pour ajouter les certificats de Harvester au référentiel d'approbations de la console, exécutez la commande suivante :
      keytool -import -alias testing -file nfa-harvester.cer -keystore nfa-console-truststore.pfx
  8. Vérifiez que les certificats créés ne contiennent aucune erreur.
    openssl verify -CAfile nfa-ca-cert.pem nfa-console-cert.pem nfa-harvester-cert.pem
Sur chaque Harvester :
  1. Créez un répertoire nommé
    chemin_installation
    \certs
    pour le stockage des certificats et des référentiels de certificats.
  2. Copiez le fichier de certificat de
    CA
    et les fichiers de certificat et référentiels du Harvester (référentiel de clés et référentiel d'approbations) dans le répertoire
    certs
    créé à l'étape 1.
  • Si vous utilisez des certificats signés par une autorité de certification, vous pouvez utiliser ces étapes pour générer les fichiers
    *.pfx
    requis dans le répertoire
    chemin_installation
    \certs
    . Placez les copies de vos fichiers de certificat et de clé privée au format
    pem
    dans le répertoire
    chemin_installation
    \certs
    . Les fichiers
    *.pfx
    et
    *.pem
    sont requis pour sécuriser
    Network Flow Analysis
    .
  • Nous ne pouvons pas utiliser un certificat de console signé par une autorité de certification externe ni un certificat signé par une autorité de certification NFA dans un environnement autonome.