F5 BigIP - Aanmaken CSR

Voor het aanvragen van een SSL certificaat is een Certificate Signing Request (CSR) nodig. Deze CSR is samen met de Private Key te genereren op de webserver. Het is mogelijk om zowel via het configuratiepaneel als via de command line een key pair, een tijdelijk (zelfondertekend) certificaat en een CSR te genereren. Het is aan te bevelen om dit uit te voeren via het configuratiepaneel, aangezien dit het kopiëren en plakken van de CSR voor de bestelling vergemakkelijkt.

Voor elke domeinnaam is een apart certificaat nodig op elke BIG-IP Controller of set van BIG-IP Controllers, ongeacht hoeveel non-SSL-webservers worden geloadbalanced door de BIG-IP Controller.
Als u al een SSL-server heeft draaien kunt u de bestaande keys gebruiken om tijdelijke certificaten en CSR's te genereren.

Aanmaken CSR via het configuratiepaneel

Om een certificaat aan te vragen heeft u een private key nodig. Als u deze niet heeft kunt u de Configuration utility op de BIG-IP Controller gebruiken om een key en een tijdelijk certificaat aan te maken. U kunt de Configuration utility ook gebruiken om een CSR aan te maken. U dient de volgende taken te voltooien in de Configuration utility om een private key en een certificate signing request (CSR) aan te maken.

  1. Open het configuratiepaneel op de BIG-IP controller in een browservenster.
  2. Klik in het navigatievenster op Proxies.
  3. Klik in het proxies-scherm op tabblad Create Certificate Signing Request.
  4. Geef onder Key Information een bestandsnaam op voor de key. De bestandsnaam moet gelijk zijn aan het domein waarvoor het certificaat wordt besteld met .key erachter, dus bijvoorbeeld www.sslcertificaten.nl.key .
  5. Vul de gevraagde organisatiegegevens in in de Certificate Information sectie.
  6. Klik op de Generate Certificate Request knop. Een ogenblik later opent het SSL Certificate Request scherm. Gebruik het SSL Certificate Request scherm om de aanvraag van een SSL certificaat te starten, om vervolgens een tijdelijk SSL certificaat te genereren en te installeren.
  7. Klik op de Generate Self-Signed Certificate knop om een self-signed certificaat aan te maken voor de server. We raden aan dat u het tijdelijke certificaat alleen voor testdoeleinden gebruikt. Als u op deze knop klikt wordt het tijdelijke certificaat gegenereerd en geïnstalleerd op de BIG-IP Controller. Dit tijdelijke certificaat geeft u de mogelijkheid om een SSL gateway op te zetten voor de SSL Accelerator terwijl u wacht op de voltooiing van de aanvraag voor het permanente certificaat.

Aanmaken CSR via de command prompt

Om een geldig certificaat te verkrijgen heeft u een private key nodig. Als u geen private key heeft kunt u de genconf en genkey tools op de BIG-IP Controller gebruiken om een private key en het tijdelijke certificaat aan te maken. De genkey en gencert tools genereren automatisch een CSR die u kunt gebruiken om een aanvraag te doen op onze website. Als u al een private key heeft kunt u de gencert tool gebruiken om een tijdelijk certificaat en een CSR aan te maken. Deze tools worden hieronder beschreven:

  • genconf - Deze tool genereert een private key die specifieke bedrijfsinformatie bevat. De genkey tool gebruikt deze informatie om een certificaat te genereren.
  • genkey - Nadat u de genconf tool heeft gedraaid start u deze tool om een tijdelijk (30 dagen) certificaat te genereren om de SSL Accelerator op de BIG-IP Controller te testen. Deze tool genereert ook een CSR die u kunt gebruiken voor de aanvraag van  een certificaat.
  • gencert - Als u al een private key heeft, gebruikt u deze tool om een tijdelijk certificaat en CSR te genereren voor de SSL Accelerator.

 

  1. Maak eerst een key configuratiebestand aan met het genconf-commando:
    [root@server /]# /usr/local/bin/genconf
  2. Vul de gevraagde organisatiegegevens in.
  3. Maak vervolgens een keypair en een CSR aan met het genkey-commando:
    [root@server /]# /usr/local/bin/genkey
  4. Bevestig de gegevens die met genconf zijn opgegeven. Er worden een aantal bestanden aangemaakt, waarbij fqdn wordt vervangen met de domeinnaam dat is opgegeven in genconf:
    • de CSR is te vinden in /config/bigconfig/fqdn.req
    • een tijdelijk (zelf-ondertekend) certificaat is te vinden in /config/bigconfig/ssl.crt/fqdn.crt

 

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.