安全 : Cisco IronPort Encryption Appliance

CSR的IEA 2048位关键支持在IEA配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述如何生成2048个证书签名请求的(CSR)位关键支持在思科IronPort加密设备(IEA)。

贡献用Kishore Yerramreddy, Cisco TAC工程师。

配置

大多证书权限(CA)陈述一明确请求有所有CSR生成与一密钥对长度2048位。默认情况下, IEA版本6.5使用1024个位密钥长度密钥对产生。为了强制IEA生成一密钥对长度2048,请使用keytool命令如描述此处。

生成证书

  1. 登陆对IEA CLI

  2. 在主菜单,请键入x为了丢弃到shell。

  3. 变成root用户:
    $ su -


  4. 执行keytool为了创建一新的keystore :
        # /usr/local/postx/server/jre/bin/keytool -genkey -alias <server alias>
    -keyalg RSA -keysize 2048 -keystore <name the new keystore>

            *alias should be what the server is known as externally when customers
    log into the device
            *When prompted for password use a easily remembered password
            *Enter in all requested information when prompted for the certificate
    request, make special note of the next question:
            --- What is your first and last name?
            [Unknown]: server1.example.com
                    *For this question enter in the fully qualified domain name
    of the system
            *The name of the newkeystore should be in the format <name>.keystore
    where name should include the current date
                Example:  enterpriseks20130108.keystore




  5. 执行keytool为了创建CSR文件:
    # /usr/local/postx/server/jre/bin/keytool -certreq -keyalg RSA -alias <server alias>
    -file <servername>.csr -keystore <name of the new keystore>




  6. 提供CSR文件给认证机关为了生成证书。保证您提交它作为Apache Web服务器Certficate署名请求。
  7. 在您接收从CA后的.cer文件,请继续对以下步骤。

导入证书

注意:使用的密码,当您生成CSR时必须匹配keystore密码为了这些步骤能工作。 如果CSR创建的箱外,输入的密码必须匹配keystore密码为了这些步骤能工作。

您必须正确地串连证书

  1. 必须从在文本编辑接收从CA一起然后合并的CER文件解压缩每个CA证书。

    注意:从Microsoft Windows计算机是最容易执行的这。其他操作系统工作,但是更难解压缩。
        按此顺序必须串连证书: 1.Domain 2.半成品3.Root



    1. 双击为了打开证书文件(.CER文件),然后单击证书路径选项卡:



    2. 从中级证书路径开始,点击详细信息选项卡,单击“Copy”到文件,然后名称它1.CER

       

    3. 选择Base-64编码X.509(.CER)



    4. 为最高级CA重复,并且命名它2.CER

    5. 为服务器证书重复,并且命名它3.CER

    6. 请使用文本编辑(不是记事本,但是良好notepad++工作)为了打开全部三个X.CER文件和按顺序(1在顶部,和3结合他们在底部) :





      注意:不应该有在证书和没有空线路之间的空线路在底部。



    7. 保存作为<servername>.CER

    8. 上传<servername>.CER文件对IEA在与FTP或SCP的/home/admin/ <servername.cer>

    9. 复制/home/admin/ <servername.cer>对/usr/local/postx/server/conf :





  2. 请使用IEA GUI为了导入证书[密钥和证书|设置的SSL]。

    注意:Keystore = [Install Directory] /conf/enterprisenamestore.keystore或您的keystore文件目前的名字。

    证书= /usr/local/postx/server/conf/NEWCERT.CER



    1. 检查托拉斯CA Certs

    2. 点击进口证明书





  3. (可选--如果必须创建一新的keystore)。从IEA GUI,请告诉IEA使用新的keystore :

    1. 选择配置|Web服务器和代理|web 服务器|连接监听程序|HTTPS

    2. 输入路径到新的keystore文件:

      示例: ${postx.home}/conf/2013_5_13.keystore
             



  4. 部署更改并且重新启动SMTP适配器。

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。



Document ID: 117964