Home / VPN IPSEC / Come creare un certificato di tipo server se non disponiamo di un FQDN e vogliamo usare l'ip della Firewall out

Come creare un certificato di tipo server se non disponiamo di un FQDN e vogliamo usare l'ip della Firewall out

In caso il nome del FW non sia un FQDN (ad esempio: firewall.netwhat.org) ma sia semplicemente l'indirizzo ip della Firewall_out non possiamo creare il certificato tramite il wizard OBJECTSCertificate and PKIAddAdd a Server Certificate ma dobbiamo crearlo tramite CLI in modo da poter inserire il nome del FW tra i nomi alternativi.
Per fare questo andiamo sotto il menu SYSTEMCLI e digitando i seguenti comandi:
  1. PKI CA LIST questo comando ci dà la lista di tutte le CA presenti sul FW, segnamoci il nome della CA che volgiamo usare per creare il certificato di tipo server.
    Qui sotto vediamo un esempio di output:
  2. la CA che vogliamo usare nel nostro caso è netwhat.org quindi digitiamo questo comando per creare il certificato di tipo server:
    PKI CERT CREATE type=Server CN=firewall1.dyndns.org caname=netwhat.org passphrase=netwhatorg shortname="Certificato per auth ipsec con ip " nbdays=3650 ALTNAMES="95.95.95.95"
    Andiamo ora a descrivere i campi più imporanti del comando sopra:
    1. CN è il nome principale che andiamo a dare al certificato
    2. passphrase è la password che abbiamo usato nel momento in cui abbiamo creato la CA e in questo caso la password è netwhatorg
    3. shortname è il nome che visualizzeremo per questo certificato nella webgui quando andremo sotto il menù OBJECTSCertificate and PKI
    4. nbdays è il numero di giorni per cui sarà valido il certificato che stiamo andando a creare(consigliamo di mettere 3650 se stiamo creando questo certificato per la vpn)
    5. ALTNAMES è la lista dei nomi alternativi che possiamo dare al certificato, questo campo è importante perchè ci permette di inserire l'ip della Firewall_out che nel nostro esempio l'ip sarà 95.95.95.95(in questo campo possiamo anche mettere più di un altnames separandoli con ; ecco qui un esempio ALTNAMES="192.168.10.254;95.95.95.95;pluto;*.pippo.it"
      Ecco qui un esempio di cosa vedremo a video quando il certificato di tipo server viene creato:
  3. A questo punto abbiamo creato il nostro certificato e possiamo continuare la procedura  che stavamo seguendo prima.

    Post a comment

    Your Name or E-mail ID (mandatory)

     

    Note: Your comment will be published after approval of the owner.



    		 RSS of this page
    Share

    Author: Netwhat   Version: 1.4   Last Edited By: Netwhat   Modified: 18 May 2016