几种格式文件的说明:
csr——>在F5上生成的文件。包含了域名、公司名、部门名、城市、邮箱等信息。
crt/cer——>公钥,证书文件,由权威证书机构颁发。
key——>私钥,与csr配套生成,成对使用。
例:
1_root_bundle.crt——>证书链(包含证书的树型结构,追溯至根证书机构)
2_test_wosign.com.crt——>公钥(证书机构使用私钥对你的csr进行签名)
3_test_wosign.com.key——>私钥(与公钥配套使用)
SNI功能简单介绍:
SNI功能使一个ip地址能够对应多个域名,并绑定不同的证书。需要F5的版本在v11.1.0才能支持。
截图说明:
设备型号F5-1600 系统版本10.2.4
一、创建csr文件、备份证书、私钥
创建csr文件:
选择是否自签发:
备份证书和私钥:
二、安装证书
将证书机构颁发的证书内容(包括“----BEGIN CERTIFICATE-----"和-----END CERTIFICATE-----")粘贴到记事本中,保存为server.cer文件。
安装证书文件:
导入成功后的状态:
添加证书链:
将证书签发邮件中从BEGIIN到END结束的所有证书内容粘贴到记事本中,中间使用回车换行分隔。修改扩展名为ca-bundle.cer文件
三、配置profile关联证书
服务器证书有2种,一种是F5与客户端的证书SSL-Client
一种是F5与后台服务器的证书SSL-Server
F5到客户端一般认为不安全所以使用证书。F5到后端服务器一般认为是安全的, 一般不用证书。
Parent Profile:信任相同的根证书。多域名对应一个ip需要F5系统版本在11.0
完成后,选择Update保存。在证书成功配置后,需要创建一个443端口的Virtual Server,并加载上面的Client SSL Profile对应该站点启用SSL证书。
四、双向认证的配置
双向认证部分,要求客户端出示客户端的个人证书才能登陆指定页面。如果没有对客户端做强制身份认证,则无需配置双向认证部分。
在双向认证时需要配置以下内容:
Trusted Certificate Authorities:客户端证书的根证书
Client Certificate:这里有两种模式可以选择
Require:客户端必须提交证书,通常采用此方法
Request:客户端可以提交证书,也可以不提交证书
Advertised Certificate Authorities:在客户端连接时,服务器发送到客户端的信息,该信息会使在客户端弹出的证书选择列表中只包含选中的根证书所颁发的客户端证书。如果有中间证书请选择证书链。
完成证书的导入和profile的设置后,还需要在Virtual Server下设定Properties,将虚服务地址和刚才产生的Profile捆绑一下,点击Update即可完成证书配置。
相互间的逻辑关系是:证书绑定到profile文件中,虚服务调用profile文件。
附F5官网相关文档链接:
https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication