Selbst signiertes Zertifikat mit OpenSSL generieren

OpenSSL ist eine Open-Source-Implementierung der SSL- und TLS-Protokolle. Es stellt zusätzlich zur normalen Übertragungsschicht eine Verschlüsselungstransportschicht bereit, sodass sie mit verschiedenen Netzanwendungen und -Services verwoben werden kann.

Vorbereitende Schritte

Um die in diesem Abschnitt beschriebenen Tasks auszuführen, benötigen Sie Zugriff auf die Seite TLS-Profile der Cloud Manager. Weitere Informationen dazu, welche Benutzerrollen Zugriff haben, finden Sie unter Benutzer hinzufügen und Rollen zuordnen.

Informationen zu diesem Vorgang

Das Standard-TLS-Profil in der Cloud Manager hat einen generischen allgemeinen Namen. Bei der Zuordnung eines SSL-Profils zu einem Gateway-Cluster kann es beim Verwenden des Standard-TLS-Profils vorkommen, dass die Anwendung, die die API-Aufrufe durchführt, den Hostnamen mit dem es sich verbinden soll, nicht mit dem vorhandenen Zertifikat verifizieren kann.

In diesem Fall können Sie ein selbst signiertes Zertifikat erstellen, das einen allgemeinen Namen Ihrer Anwendung darstellt, den die Anwendung validieren kann. In diesem Abschnitt erfahren Sie, wie Sie selbst signierte SSL-Zertifikatsanforderungen mit dem OpenSSL-Toolkit erstellen, um HTTPS-Verbindungen zu ermöglichen.

Vorgehensweise

Führen Sie die folgenden Schritte aus, um ein selbst signiertes SSL-Zertifikat mit OpenSSL zu erstellen:

  1. Schreiben Sie den allgemeinen Namen für Ihr SSL-Zertifikat auf. Der allgemeine Name ist ein vollständig qualifizierter Name, der das Zertifikat verwendet. Wenn Sie Dynamic DNS verwenden, sollte der allgemeine Name ein Platzhalterzeichen enthalten, zum Beispiel: *.api.com. Anderenfalls können Sie den Hostnamen oder die IP-Adresse verwenden, die im Gateway-Cluster festgelegt ist (z. B. 192.16.183.131 oder dp1.acme.com).
  2. Führen Sie den folgenden OpenSSL-Befehl aus, um Ihren privaten Schlüssel und das öffentliche Zertifikat zu generieren. Beantworten Sie die Fragen und geben Sie den allgemeinen Namen an, wenn Sie dazu aufgefordert werden. 
    openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
  3. Überprüfen Sie das erstellte Zertifikat: 
    openssl x509 -text -noout -in certificate.pem
  4. Kombinieren Sie Schlüssel und Zertifikat in einem PKCS#12-Paket (P12): 
     openssl pkcs12 -inkey key.pem -in certificate.pem -export -out certificate.p12
  5. Validieren Sie Ihre P2-Datei. 
    openssl pkcs12 -in certificate.p12 -noout -info
  6. Klicken Sie in Cloud Manager auf TLS-Profile.
  7. Klicken Sie auf Hinzufügen und geben Sie Werte in die Felder Anzeigename, Name und optional Beschreibung ein.
  8. Klicken Sie im Abschnitt Vorhandenes Zertifikat auf das Symbol Zertifikat hochladen Symbol 'Zertifikat hochladen'.
  9. Klicken Sie auf Datei auswählen, suchen Sie nach der Zertifikatsdatei, die Sie für die Authentifizierung vorweisen möchten und klicken Sie auf Öffnen.
    Anmerkung:
    • API Connect unterstützt nur die Formatdatei P12 (PKCS12) für das aktuelle Zertifikat.
    • Die P12-Datei muss einen privaten Schlüssel, das öffentliche Zertifikat der Zertifizierungsstelle und alle Zwischenzertifikate zum Unterzeichnen enthalten.
    • Ihre P12-Datei darf höchstens 10 Zwischenzertifikate enthalten.
  10. Geben Sie im Textfeld Kennwort das Kennwort für die Zertifikatsdatei ein.
    Anmerkung: Das vorhandene Zertifikat muss kennwortgeschützt sein.
  11. Klicken Sie auf Hochladen. Das Zertifikat wird ausgefüllt.
  12. Schieben Sie zum Validieren des Zertifikats den Schieberegler Zertifikat anhand der bereitgestellten CAs im Truststore anfordern und validieren in die Position "Ein".
  13. Klicken Sie im Abschnitt Truststore auf das Symbol Zertifikat hochladen Symbol 'Zertifikat hochladen'.
  14. Klicken Sie auf Datei auswählen, suchen Sie nach der Zertifikatsdatei, die Sie für die Authentifizierung vorweisen möchten und klicken Sie auf Öffnen.
  15. Geben Sie im Textfeld Kennwort das Kennwort für die Zertifikatsdatei ein.
  16. Klicken Sie auf Hochladen. Das Zertifikat wird ausgefüllt.
  17. Blenden Sie den Abschnitt "Protokolle" ein, um die SSL- und TLS-Versionen anzuzeigen.
  18. Verwenden Sie die Kontrollkästchen, um die SSL- oder TLS-Version anzugeben.
  19. Klicken Sie auf Speichern.
  20. Klicken Sie in Cloud Manager auf Services.
  21. Klicken Sie im Teilfenster Gateway-Services auf das Symbol Serviceeinstellungen Symbol 'Serviceeinstellungen'.
  22. Wählen Sie im Feld "TLS-Profil" das erforderliche Profil aus und klicken Sie dann auf Service speichern.
Übergeordnetes Thema: TLS-Profile
Zugehörige Tasks:
TLS-Profile
PKCS#12-Datei für die Zertifizierungsstelle generieren
Zeitmarkensymbol Letzte Aktualisierung: 01.11.2017