F5證書配置

幾種格式文件的說明：

csr——>在F5上生成的文件。包含了域名、公司名、部門名、城市、郵箱等信息。

crt/cer——>公鑰，證書文件，由權(quán)威證書機(jī)構(gòu)頒發(fā)。

key——>私鑰，與csr配套生成，成對使用。

例：

1_root_bundle.crt——>證書鏈（包含證書的樹型結(jié)構(gòu)，追溯至根證書機(jī)構(gòu)）

2_test_wosign.com.crt——>公鑰（證書機(jī)構(gòu)使用私鑰對你的csr進(jìn)行簽名）

3_test_wosign.com.key——>私鑰（與公鑰配套使用）

SNI功能簡單介紹：

SNI功能使一個(gè)ip地址能夠?qū)?yīng)多個(gè)域名，并綁定不同的證書。需要F5的版本在v11.1.0才能支持。

截圖說明：

設(shè)備型號F5-1600  系統(tǒng)版本10.2.4

一、創(chuàng)建csr文件、備份證書、私鑰

創(chuàng)建csr文件：

選擇是否自簽發(fā)：

備份證書和私鑰：

二、安裝證書

將證書機(jī)構(gòu)頒發(fā)的證書內(nèi)容（包括“----BEGIN CERTIFICATE-----"和-----END CERTIFICATE-----"）粘貼到記事本中，保存為server.cer文件。

安裝證書文件：

導(dǎo)入成功后的狀態(tài)：

添加證書鏈：

將證書簽發(fā)郵件中從BEGIIN到END結(jié)束的所有證書內(nèi)容粘貼到記事本中，中間使用回車換行分隔。修改擴(kuò)展名為ca-bundle.cer文件

三、配置profile關(guān)聯(lián)證書

服務(wù)器證書有2種，一種是F5與客戶端的證書SSL-Client

一種是F5與后臺服務(wù)器的證書SSL-Server

F5到客戶端一般認(rèn)為不安全所以使用證書。F5到后端服務(wù)器一般認(rèn)為是安全的， 一般不用證書。

Parent Profile：信任相同的根證書。多域名對應(yīng)一個(gè)ip需要F5系統(tǒng)版本在11.0

完成后，選擇Update保存。在證書成功配置后，需要?jiǎng)?chuàng)建一個(gè)443端口的Virtual Server，并加載上面的Client SSL Profile對應(yīng)該站點(diǎn)啟用SSL證書。

四、雙向認(rèn)證的配置

雙向認(rèn)證部分，要求客戶端出示客戶端的個(gè)人證書才能登陸指定頁面。如果沒有對客戶端做強(qiáng)制身份認(rèn)證，則無需配置雙向認(rèn)證部分。

在雙向認(rèn)證時(shí)需要配置以下內(nèi)容：

Trusted Certificate Authorities:客戶端證書的根證書

Client Certificate:這里有兩種模式可以選擇

Require:客戶端必須提交證書，通常采用此方法

Request:客戶端可以提交證書，也可以不提交證書

Advertised Certificate Authorities:在客戶端連接時(shí)，服務(wù)器發(fā)送到客戶端的信息，該信息會使在客戶端彈出的證書選擇列表中只包含選中的根證書所頒發(fā)的客戶端證書。如果有中間證書請選擇證書鏈。

完成證書的導(dǎo)入和profile的設(shè)置后，還需要在Virtual Server下設(shè)定Properties，將虛服務(wù)地址和剛才產(chǎn)生的Profile捆綁一下，點(diǎn)擊Update即可完成證書配置。

相互間的邏輯關(guān)系是：證書綁定到profile文件中，虛服務(wù)調(diào)用profile文件。

附F5官網(wǎng)相關(guān)文檔鏈接：

https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication