ÜLEVAADE
Zen Load Balancer suudab hallata HTTPS-ühendusi (HTTP-profiil), nii et süsteemiadministraator peab looma oma sertifikaadid (ise allkirjastatud sertifikaadid) või hankima sertifitseerimisasutuse poolt allkirjastatud sertifikaate, mõlemal juhul peab sertifikaat olema ehitatud PEM-vormingus.
Turvaline sertifikaat tuleb luua ilma paroolita ning võtmed ja CSR tuleb genereerida turvalises serveris.
Positiivsed SSL on PEM-vormingus kasutamiseks valmis, kuid Rapid SSL-i tuleb teisendada, kuna iga fail sisaldab sertit, vahepealset CA-d ja juur-CA-d.
NÕUDED
Klahvide genereerimiseks serveris tuleb paigaldada pakett openssl, meie puhul on tegemist Zen Load Balancer instantsiga, mis peaks olema juba installitud.
Esmalt genereerige võti ilma paroolita.
openssl genrsa -out host_domain_com.key 2048
Seejärel genereeri sertifikaadi allkirjastatud päring (.csr) sisendina genereeritud klahvi (.key) abil.
openssl req -new -key host_domain_com.key -out host_domain_com.csr
Kui sertifikaat ja CA vahearuanded on kätte toimetatud, veenduge, et saite emitendi juursertifikaadi.
Kõik eraldatud failid peavad olema PEM-vormingus: serverisertifikaat, vahesertifikaat ja juur-CA-sertifikaat. Kui see pole nii, teisendage fail järgmise käsuga:
openssl x509 -in certFileName.cer -outform PEM -out convertedCertFileName.pem
Lõpuks on meil privaatne võti, välja antud sertifikaat, vahesertifikaat ja juur-CA-sertifikaat. Kõik need faili sisu tuleks kombineerida, et luua PEM-fail UNIX-vormingus.
KASUTAGE SERTIFIKAAT PEM FORMATIS
PEM-sertifikaat peab olema ehitatud järgmise struktuuriga.
-----BEGIN RSA PRIVATE KEY----- Private Key (without passphrase) -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- Certificate (CN=www.mydomain.com) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Intermediate (Intermediate CA, if exists) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- Root (ROOT CA, who signs the Certificate) -----END CERTIFICATE-----
Õige PEM-struktuuri loomiseks on vaja ühendada ülaltoodud etapis genereeritud erinev failisisu eraldustega:
-----BEGIN RSA PRIVATE KEY----- uiMTxBQnK9ApC5eq1mrBooECgYB4925pDrTWTbjU8bhb/7BXsjBiesBBVO43pDYL 1AOO5EEikir239UoFm6DQkkO7z4Nd+6Ier9fncpN1p1EZtqPxT64nsUTNow/z1Pp nUVxhqt4DT+4Vp5S7D9FQ+HagbhVInQXKXtT7FNFhpIxpRy512ElSuWvrELiZOwe -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- wYDVR0fBDwwOjA4oDagNIYyaHR0cDovL3JhcGlkc3NsLWNybC5n ZW90cnVzdC5jb20vY3Jscy9yYXBpZHNzbC5jcmwwHQYDVR0OBBYEFA8nu+rbiNqg DYmhNE0IgXx6XRHiMAwGA1UdEwEB/wQCMAAwSQYIKwYBBQUHAQEEPTA7MDkGCCsG gOYD8kmKOsxLRWeZo6Tn8 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- EgYDVR0TAQH/BAgwBgEB/wIBADA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3Js Lmdlb3RydXN0LmNvbS9jcmxzL2d0Z2xvYmFsLmNybDA0BggrBgEFBQcBAQQoMCYw JAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmdlb3RydXN0LmNvbTANBgkqhkiG9w0B -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- MIIDIDCCAomgAwIBAgIENd70zzANBgkqhkiG9w0BAQUFADBOMQswCQYDVQQGEwJV UzEQMA4GA1UEChMHRXF1aWZheDEtMCsGA1UECxMkRXF1aWZheCBTZWN1cmUgQ2Vy dGlmaWNhdGUgQXV0aG9yaXR5MB4XDTk4MDgyMjE2NDE1MVoXDTE4MDgyMjE2NDE1 jOKer89961zgK5F7WF0bnj4JXMJTENAKaSbn+2kmOeUJXRmm/kEd5jhW6Y 7qj/WsjTVbJmcVfewCHrPSqnI0kBBIZCe/zuf6IWUrVnZ9NA2zsmWLIodz2uFHdh 1voqZiegDfqnc1zqcPGUIWVEX/r87yloqaKHee9570+sB3c4 -----END CERTIFICATE-----
PEM-faili teisendamine UNIX-vormingus on kohustuslik.
See on testimiseks saadaval sertifikaadiga zencert.pem, et seda saaks kasutada HTTPS-profiilifarmides.