OVERSIGT
Zen Load Balancer er i stand til at styre HTTPS-forbindelser (HTTP-profil), så systemadministratoren skal oprette deres egne certifikater (selvsignerede certifikater) eller erhverve underskrevne certifikater af en certifikatmyndighed. I begge tilfælde skal certifikatet indbygges i PEM-format.
Det sikre certifikat skal oprettes uden adgangskode, og nøglerne og CSR'en skal genereres i den server, der skal sikres.
Positiver SSL er klar til at gå i PEM-format, men Rapid SSL skal konverteres, da hver fil indeholder cert, mellemliggende CA og CA CA separeret.
KRAV
Pakken openssl skal installeres for at generere nøglerne på serveren, i vores tilfælde bliver Zen Load Balancer-forekomsten, som allerede skal installeres.
Opret først nøglen uden adgangskode.
openssl genrsa -out host_domain_com.key 2048
Derefter genererer certifikat signeret anmodning (.csr) ved hjælp af den genererede nøgle (.key) som input.
openssl req -new -key host_domain_com.key -out host_domain_com.csr
Når certifikatet og mellemliggende CA-filer er leveret, skal du sørge for at få udstederens rodcertifikat.
Alle adskilte filer skal være i PEM-format: Servercertifikat, mellemliggende certifikat og rod-CA-certifikat. Hvis det ikke er det, skal du konvertere filen med følgende kommando:
openssl x509 -in certFileName.cer -outform PEM -out convertedCertFileName.pem
Endelig har vi den private nøgle, det udstedte certifikat, det mellemliggende certifikat og root-CA-certifikatet. Alt dette filindhold skal kombineres for at oprette PEM-filen i UNIX-format.
GENERERET CERTIFIKAT I PEM FORMAT
PEM certifikatet skal bygges med følgende struktur.
-----BEGIN RSA PRIVATE KEY----- Private Key (without passphrase) -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- Certificate (CN=www.mydomain.com) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate (Intermediate CA, if exists) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root (ROOT CA, who signs the Certificate) -----END CERTIFICATE-----
For at oprette en korrekt PEM-struktur er det nødvendigt at sammenkæde det forskellige filindhold, der er genereret i ovenstående trin, med adskillelserne:
-----BEGIN RSA PRIVATE KEY----- uiMTxBQnK9ApC5eq1mrBooECgYB4925pDrTWTbjU8bhb/7BXsjBiesBBVO43pDYL 1AOO5EEikir239UoFm6DQkkO7z4Nd+6Ier9fncpN1p1EZtqPxT64nsUTNow/z1Pp nUVxhqt4DT+4Vp5S7D9FQ+HagbhVInQXKXtT7FNFhpIxpRy512ElSuWvrELiZOwe -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- wYDVR0fBDwwOjA4oDagNIYyaHR0cDovL3JhcGlkc3NsLWNybC5n ZW90cnVzdC5jb20vY3Jscy9yYXBpZHNzbC5jcmwwHQYDVR0OBBYEFA8nu+rbiNqg DYmhNE0IgXx6XRHiMAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsG gOYD8kmKOsxLRWeZo6Tn8 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- EgYDVR0TAQH/BAgwBgEB/wIBADA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3Js Lmdlb3RydXN0LmNvbS9jcmxzL2d0Z2xvYmFsLmNybDA0BggrBgEFBQcBAQQoMCYw JAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmdlb3RydXN0LmNvbTANBgkqhkiG9w0B -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV UzEQMA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2Vy dGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyMjE2NDE1MVoXDTE4MDgyMjE2NDE1 jOKer89961zgK5F7WF0bnj4JXMJTENAKaSbn+2kmOeUJXRmm/kEd5jhW6Y 7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh 1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4 -----END CERTIFICATE-----
Det er obligatorisk at konvertere hele PEM-filen i UNIX-format.
Det findes certifikatet navngivet zencert.pem til testformål for at blive brugt med HTTPS-profilbedrifter.