一、获取SSL证书
1.获取证书文件
在您完成申请数安时代GDCA服务器证书的流程后,登录系统将会下载一个压缩文件,使用Apache_IIS_Tomcat_Server里面的文件;
2.获取私钥证书文件
请找到之前提交csr时生成的.key私钥文件,该文件为证书的私钥,后面配置要用到;
3. 证书使用说明
准备证书包文件夹Apache_IIS_Tomcat_Server里面的文件,内有:域名.crt(公钥),issuer.crt(中级CA)。及准备.key文件(私钥)。
二、安装证书
1. 设置名称
如果是导入已经存在的域,则根据之前其他F5上的命名规则填写名称,如果为新建则使用如下命名规则,域名_ssl_版本和根证书_域名_版本,例如:login_ssl_v3和parent_login_v3,Improt Type选择“certificate”, 找到testweb.95105813.cn.crt公钥,选择“Improt”
2. 导入证书的私钥
Key文件为生成csr时生成的文件,如果是导入已经存在的域,则根据之前其他F5上的命名规则填写名称,如果为新建则必须与证书名称相同,例如:证书名称为login_ssl_v3,key的名称也与证书名相同,Improt Type选择“key”, 找到testweb.95105813.cn.key私钥,选择“Improt”
3. 导入CA中级证书
选择Local Traffic-〉SSL Certificates 在 SSL Certificate List 主界面点击右上角“Import”,选择证书包Apache_IIS_Tomcat_Server下的issuer.crt (注:下图ca-bundle.cer是示例的证书)使用“Certificate”方式导入。
导入成功后,F5将自动识别导入的证书为 Certificate Bundle。
4. 配置服务器证书
选择“Local Traffic”-“Vitual Servers”-“Profiles”
选择“Proflie”中,“SSL”下的“Clent”进入“Client SSL Profile”设置
如果您需要为站点配置一个全新的SSL证书,则您需要新建一个 Client SSL Profile。如果您需要为一个已有证书的站点更新服务器证书,则仅需点击已存在的 Profile,进行编辑更新操作即可。
在新建的Profile 中,选择当前Profile所使用的证书(Certificate)、私钥(key),以及在 Chian 处,设置与该证书应用相关联的证书链(之前导入的中级CA证书)。完成后,选择“Update”保存。
在证书成功配置后,需要创建一个443端口的 Virtual Server,并加载上面的 Client SS Profile 对应该站点启用SSL证书。
5. 测试SSL证书
默认的SSL访问端口号为443,如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的站点,防火墙要开放相应的port。
三、服务器证书的备份
保存好收到的证书压缩文件和.key私钥文件即可完成服务器证书的备份操作。
四、服务器证书的恢复
参照步骤“二、安装服务器证书”即可完成恢复操作
