|
1.业务需求 1)AD发布内网的国密加密web服务,外网主动访问内网虚拟服务时,负载需要解密; 2)AD发布外网的非加密web服务,内网主动访问外网虚拟服务时,负载需要使用国密证书加密; 2.证书处理与导入2.1 证书申请:1.创建证书申请CSR,注意公钥类型选SM2; 如果填了私钥密码要记录下; 2.点击提交,会生成证书请求,点击导出 3. 导出的压缩包,包含证书请求CSR和对应的私钥文件,给到证书申请机构就可以申请证书了(本文申请的国密证书) 2.2 证书整理1、证书说明: 这里从机构反馈的有下列几个文件(不一定都是下列形式): 1)xxx-ssl证书.txt :该文件包含由根据csr文件申请的签名证书、加密证书、加密私钥(有些机构可能直接就发的cer证书和key私钥) 2)PBCCRC_SM2_CA_ROOT_TEST.cer : 上级证书,证书链要用 3)PBCCRC_SM2_Operation_CA_T.cer : 上级证书,证书链要用 4)xxxSSL证书-测试环境.csr :csr证书请求, 就是我们创建的,机构又发回来了 5)注意事项.txt :自行查看,机构给的说明 2、证书整理: 1)将“xxx-ssl证书.txt” 中的签名证书、加密证书、加密私钥 拆分出来(分别把三段内容复制粘贴到左边三个文件中),有时候对方会直接给左边三个文件,就不涉及拆分了,但是有格式要求 2)证书拆分格式(取决于负载支持的标准格式): 签名证书: 使用base64格式(64个字符换行),证书开头结尾使用“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----” 加密证书:使用base64格式(64个字符换行),证书开头结尾使用“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----” 加密秘钥:整行复制进去即可,无需换行,无需加开头结尾(本次基于7.0.26R3的格式要求) 2.3 卸载证书导入1.需要的几个文件: 1)签名证书私钥:创建CSR时,导出的(导出包含CSR文件和私书) 2)签名证书:机构侧提供 3)加密证书:机构侧提供 4)加密私钥:即加密证书私钥,机构侧提供 5)证书链PBCCRC_SM2_CA_ROOT_TEST.cer与PBCCRC_SM2_Operation_CA_T.cer: 机构侧提 2.导入证书: 按照如下提示顺序导入 1)上传签名证书私钥,上传的时候,只会如下提示“上传文件成功”,这里注意创建CSR的时候如果有填过“私钥密码”,那么点击上传后还会要求你填私钥密码 2)签名证书上传,这里涉及到证书链: -查看证书链的方式: -双击签名证书.cer,查看颁发者是PBCCRC_SM2_Operation_CA_T, -双击PBCCRC_SM2_Operation_CA_T.cer查看颁发者是PBCCRC_SM2_CA_ROOT_TEST, -双击PBCCRC_SM2_CA_ROOT_TEST.cer,查看颁发者是PBCCRC_SM2_CA_ROOT_TEST,也就是自己 由上可知证书链为: PBCCRC_SM2_CA_ROOT_TEST->PBCCRC_SM2_Operation_CA_T->9.24.15.101(文件名:签名证书.cer) 依据上述证书链依次上传证书,上传后,如下图呈树状结构 3)导入加密证书私钥:导入后有如下提示 4)导入加密证书,加密证书一般不校验证书链,故直接导入加密证书即可 5)点击提交后,将生成加密证书和签名证书 2.4 加密证书导入在CA证书测直接导入签名证书以及他的上级证书即可,这里不再赘述,可参考2.3章节中导入签名证书部分 3.虚拟服务配置3.1 SSL卸载1.创建SSL卸载策略:选择创建好的加密证书与签名证书,勾选国密,算法注意要选上SM国密算法,其他参数默认即可 2. 虚拟服务配置:服务类型选https,并调用SSL卸载策略 3.2 SSL加密1.创建加密策略:选择签名证书、加密证书,选择国密协议,注意选择SM国密算法,调用CA证书 2.配置虚拟服务:选择http服务,配置加密策略 4.业务测试略 ,如果业务不通,抓包关注下TLS握手协商过程是否正常,这里不做赘述; | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
