本指南分步骤说明如何在 F5 产品(即 F5 BIG-IP 和 F5 FirePass SSL VPN)上安装 SSL 证书。 作为奖励,我们还提供了关于如何为 F5 设备购买最佳 SSL 证书的提示。
目录
生成 CSR 代码
CSR(证书签名请求)代码是一个编码文本块,包含您的联系数据,如域名和公司信息。 您需要在 SSL 订购流程中生成该证书,并将其发送给 CA(证书颁发机构)。 除了 CSR,您还将创建私钥。 请妥善保管,因为在安装 SSL 时会用到它。
您有两个选择:
- 使用我们的CSR 生成器自动创建 CSR。
- 请按照我们的教程逐步操作,了解如何在 F5 产品上生成 CSR。
创建 CSR 后,可通过复制 CSR 内容将其下载到系统中。 您可以将其保存到文本文档中,或直接粘贴到 SSL 订单中。 确保包含 –BEGIN CERTIFICATE– 和 –END CERTIFICATE– 标记。
CA 将所有必要的 SSL 文件发送到你的收件箱后,你就可以继续安装 SSL 了。
在 F5 BIG-IP 上安装 SSL 证书
准备所有文件
确保准备好以下文件
- 您的主服务器证书
- 根 CA 证书
- 中间证书
这些文件通常存放在 ZIP 文件夹中。 您需要下载并在设备上解压文件。
安装 SSL 证书
请按照以下步骤进行安装:
- 连接到 F5 BIG-IP 负载平衡器控制台
- Under the Local Traffic menu click on SSL Certificates
- 对于 BIG-IP 13.x 及更高版本,请转至系统 > 证书管理 > 流量证书管理 > SSL 证书列表。
- 对于 BIG-IP 12.x 及更早版本,请转至系统 > 文件管理 > SSL 证书列表。
- 选择导入,然后在导入类型列表中选择证书。
- 在 “证书名称“中,选择 “创建新证书”,然后输入证书的唯一名称
- 对于证书来源,选择上传文件并选择选择文件浏览到文件位置,或选择粘贴文本并将证书纯文本粘贴到文本框中。
- 选择导入。
- 现在,您可以将 SSL 证书与相应的 SSL 配置文件关联起来。
- 接下来,重复步骤3、4和5,上传中间证书。
配置服务器以使用 HTTPS 连接
- 打开 SSL 证书的 SSL配置文件。 如果没有 SSL 配置文件,请从 F5 BIG-IP 控制台创建该配置文件
- 在配置窗口下,从下拉列表中选择高级
- 选择刚刚安装的 SSL 证书。
- 在 “链“下,找到您在前面步骤中指定的中间证书友好名称,然后单击 “保存“然后退出。
恭喜你,现在你知道如何在 F5 BIG-IP 负载均衡器上安装 SSL 证书了。
对于版本低于 9 的 F5 BIG-IP,请按照以下步骤进行安装:
- 准备您的主证书和中间证书。
- 使用 FileZilla 等 FTP 客户端将您的主证书和中间证书从本地设备移动到 F5 BIG-IP 平台。
- 将主证书重命名为your.domain.name.crt,并将其复制到 F5 BIG-IP设备上的/config/bigconfig/ssl.crt/目录中。
- 将intermediate-ca.crt复制到 F5 BIG-IP 设备上的/config/bigconfig/ssl.crt/文件夹中
- 运行以下命令重启代理:
#bigpipe proxy :443 禁用
#bigpipe proxy :443 enable
就是这样。 现在,您的 SSL 证书已在您的平台上运行。
在 F5 FirePass SSL VPN 上安装 SSL 证书
准备所有文件
首先,确保所有必要的 SSL 文件都已准备就绪。 下载包含证书的 ZIP 文件夹,并在设备上解压文件。
安装 SSL 证书
接下来,请按照下面的说明进行操作:
- 登录 F5 FirePass 主机
- 转至设备管理 > 安全 > 证书
- 在 “更新/替换 SSL 服务器证书“选项卡中单击 “安装
- 在 “粘贴 PEM 格式的新证书(用于 Apache + mod_ssl) “框中,粘贴 SSL 证书的加密数据。 您可以使用记事本等任何文本编辑器打开证书。 复制内容时,不要忘记包括页眉和页脚
- 在 “粘贴 PEM 格式的相应加密密钥 “框中,输入私钥的加密数据。 您已生成私钥和 CSR 代码
- 接下来,在 “在此输入密码“字段中,写入您在生成 CSR 时为私钥创建的密码
- 在 “可选择在此放入中间证书链(PEM 格式) “框中,粘贴根证书和中间证书的编码内容,然后单击 “转到“。
注意:如果收到错误信息 “您的证书链无法完全验证“,请参阅本文。
配置网络服务
- 在 F5 FirePass SSL VPN 主机中,单击Web 服务
- 单击 “配置“,然后单击 “添加新服务“。
- 在证书菜单中选择刚刚添加的SSL 证书
- 点击以下序列:更新 > 最终确定> 最终确定 更改 > 应用 更改 > 重新启动
- F5 FirePass SSL VPN 主机将重新启动。
恭喜,您已成功在 F5 FirePass SSL VPN 上安装和配置 SSL 证书。
测试 SSL 安装
在 F5 设备上安装 SSL 证书后,应运行 SSL 扫描,查找配置中的潜在错误或漏洞。 更多信息,请查看我们的文章:测试 SSL 证书的最佳 SSL 工具。
在哪里购买最适合 F5 产品的 SSL 证书?
SSL Dragon 是一家信誉良好的 SSL 供应商,客户支持无可挑剔。 我们与市场上最好的证书颁发机构建立了稳固的合作关系,为所有 SSL 产品提供难以置信的低价。 我们的所有证书都与 F5 BIG-IP 负载均衡器和 F5 FirePass SSL VPN 兼容。
在我们独家 SSL 工具的帮助下,你可以找到最适合你的项目和预算的 SSL 证书。 SSL 向导提供了一种快速有效的方法来确定适合你的 SSL,而高级证书过滤器则允许你按照价格、验证和功能对不同的证书进行分类和比较。
如果你发现任何不准确的地方,或者你对这些 SSL 安装说明有任何细节需要补充,请随时发送反馈到[email protected]。 如果您能提供意见,我们将不胜感激! 谢谢。