Хвостат Хвостатыч (hvostat_hvostat) wrote,
Хвостат Хвостатыч
hvostat_hvostat

Конфигурировние CA, запрос и установка сертификата на Juniper SRX

Задача: настроить CA, сгенерировать запрос в CA, заполучить сертификат от CA и установить его.

0) Копируем CA-сертификат.
1.1) Забираем сертификат с FTP:
file copy ftp://ftp-хвостат.com/blackcat-ca.cer blackcat-ca.cer

1.2) Копируем прямо из консоли:
start shell
cd /tmp
vi blackcat-ca.cer
Нажимаем Insert и вставляем содержимое файла с сертификатом в формате Base64
Нажимаем ESC
:w
Нажимаем ESC еще раз
:x
cli

2) Вваливаемся в CLI и редактируем конфиг:
edit
3) Создаём профиль CA и указываем, откуда забирать CRL с частотой раз в 48 часов:
set security pki ca-profile blackcat ca-identity hvostat-BLACKCAT-CA revocation-check crl refresh-interval 48 url http://www.хвостат.com/certcrl.crl
4) Указываем интервал времени развёртывания сертификата в 30 секунд:
set security pki ca-profile blackcat enrollment retry 30
5) Указываем интервал времени повторных попыток развёртывания сертификата в 2400 секунд:
set security pki ca-profile blackcat enrollment retry-interval 2400
6) Да, мы всё это серьёзно:
commit
6) Назначаем CA-сертификат на профиль CA:
request security pki ca-certificate load ca-profile BlackCat-CA filename /tmp/blackcat-ca.crt

Выписываем сертификат для HTTPS:
0) Выходим из режима редактирования конфига
1) Генерируем пару открытый-закрытый ключ длиной 2048 бит:
request security pki generate-key-pair certificate-id https-cert size 2048
2) Генерируем запрос в CA:
request security pki generate-certificate-request certificate-id https-cert subject "CN=SRX-07.хвостат.com,OU=IT,O=LongTail LLC,L=Moscow,ST=Moscow,C=RU" domain-name srx-07.хвостат.com digest sha-256
8) Полученный блок запроса в формате Base64 отправляем в CA и забираем оттуда готовый сертификат и записываем его на FTP.
9.1) Забираем сертификат с FTP:
file copy ftp://ftp-хвостат.com/certnew.cer certnew.cer

9.2) Копируем прямо из консоли:
start shell
cd /tmp
vi certnew.cer
Нажимаем Insert и вставляем содержимое файла с сертификатом в формате Base64
Нажимаем ESC
:w
Нажимаем ESC еще раз
:x
cli

10) Загружаем сертификат в криптохранилище:
request security pki local-certificate load certificate-id https-cert filename certnew.cer
11) Редактируем конфиг:
edit
12) Назначаем сертификат, например на https-web-management:
set system services web-management https pki-local-certificate https-cert
13) Да, мы всё это серьёзно:
commit
14) ???
15) Profit!

_
Tags: certificate services, juniper, junos, pki, security, x.509
Subscribe

  • "Ненависти firewalld псто"

    Поступила задача: раздеплоить мелкое веб-приложение на CentOS. Ради Бога: git pull Правка YAML-я (кстати, пусть тот, кто придумал этот формат -…

  • "Трансплантация пингвинов"

    Коллеги, у меня возник любопытный вопрос. При моей нелюбви к "форточкам", у них есть шикарная встроенная тулза под названием "windows server…

  • "Стыкуем лебедей"

    Задача: Настроить сервер с Centos + Strongswan, чтобы он выполнял функции промежуточного хоста/роутера между двумя удаленными подсетями.…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments