Судьба-злодейка приказала долго жить продукту microsoft tmg server, в связи с чем встал вопрос: что брать на замену. Так как у заказчика (да и у многих) сетевая инфраструктура построена на устройствах cisco, и "на входе", в частности, расположились cisco ASA, решено было использовать ironport wsa+ironport esa (email security applaince - почтовый шлюз и антиспам) - которые не так давно перешли в лагерь Циски. Использовались виртуальные решения на базе гипервизора vmware esx - Ironport WSA virtual applaince.
Заметку о развертывании Ironport wsa и esa, о балансировке и отказоустойчивости решений напишу позже. Сейчас же небольшой частный случай - сертификаты.
В своей работе ironport wsa использует 2 комплекта сертификатов (с ключами), ппричем принимает их только в формате .pem
- Сертификат web консоли администрирования
Данный сертификат используется веб-сервером устройства. Как обычно: используется самоподпичный сертификат, который вне тестовой среды рекомендуется менять на кошерный. Службы сертификации построены на сервисах microsoft (windows server CA, 2012). С ним и будем работать.
Запрашиваем сертификат, содержащий имя устройства в common name, альтернативные имена (интерфейсов, у нас использовалось 3) в SAN. Экспортируем сертификат с ключом в .pfx формат.
Далее нам потребуется библиотека openssl. Скачиваем, распаковываем. Открываем сеанс cmd, переходим в каталог openssl. Для простоты команд скопировал исходный сертификат в bin каталог. Выполняем команду
Данная команда создаст в каталоге bin требуемый сертификат, в формате .pem. Следующим шагом будет экспорт ключа
и его расшифровка
Итого на выходе имеем 2 необходимых файла: сертификат и расшифрованный ключ.
Загружаем сертификат в устройство. Подключаемся ssh клиентом к management интерфейсу устройства, логинимся. Выполням команду certconfig, setup. Далее необходимо открыть файл скртификата .pem, скопировать его содержимое (от beggin до end, включая эти префиксы) и вставить как текст в ssh сеанс, после вставки ввести символ точки и нажать ентер. Далее мастер запросит введение ключа. Процедура повторяется, но используется содержимое файла wsa_privkey_unencrypted.pem. Так же ставим точку по завершении, дважды ентер. Выполняем команду commit.
После запуска консоли администрирования должны увидеть новый сертификат.
При "проксировании" https траффика (есть возможность пускать его не через http прокси) устройства ironport могут его расшифровывать, анализировать, и зашифровывать своим сертификатом для пересылки клиентам. Исходя из этого клиентские устройства должны доверять сертификату, которым ironport wsa подписывает траффик, хотя есть возможность использовать самоподписный сертификат для тестовых целей.
Во многом процедура подготовки сертификата схожа с п.1, за исключением самого сертификата - используется корневой сертификат вашего центра CA. В случае, если используется enterprise ca, с использованием корневого центра (rootca, автономный, не входящий в домен, и, согласно best practise - физически выключенный) и выпускающего центра Issues CA, необходимо использовать сертификат выпускающего центра.
Требуется сертификат с ключом, в формате .pfx. Сертификат необходимо сконвкртировать в понятный ironport wsa интерфейс .pem, теми же коммандами, как и в первом п.1. (Сертификат, зашифрованный ключ, расшифрованный ключ).
Загружать сертификат необходимо через консоль администрирования, в разделе security- https proxy.
Писал заметку на ipad, потому ни форматирования, ни картинок :)
Комментариев нет:
Отправить комментарий