Einrichten einer zertifikatbasierten Authentifizierung für HTTP

Wenn Sie HTTP verwenden, müssen Sie ein Zertifikat verwenden, das von einer Zertifizierungsstelle (CA) ausgestellt wurde. Es kann kein selbst signiertes Zertifikat sein, da es von einer Zertifizierungsstelle validiert werden muss.

Informationen zu dieser Task

Wichtig: Wenn Sie ein QRadar on Cloud -Benutzer (QRoC) sind, wenden Sie sich an den IBM Support und öffnen Sie einen Supportfall, um diese zertifikatbasierte Authentifizierung zu konfigurieren, wenn der Zielcollector die Konsole oder der Ereignisprozessor ist.

Vorbereitende Schritte

Bevor Sie PKCS12 zur Verwendung mit HTTP importieren, benötigen Sie PKCS12, die den privaten Zertifikatsschlüssel, das Endpunktzertifikat und alle erforderlichen Zwischenzertifikate enthält. Stamm-CAs können in die Kette eingeschlossen werden, sind aber nicht obligatorisch.

Wenn Sie über einen privaten Schlüssel und ein Zertifikat anstelle eines PKCS12 -Zertifikats verfügen, müssen Sie die folgenden Schritte ausführen, um sie in ein PKCS12 -Zertifikat zu konvertieren:

  1. Suchen Sie den privaten Schlüssel des Endpunktzertifikats, der in der Codierung PKCS1 im PEM-Format vorliegt. Die Datei heißt certificate.key. Der private Schlüssel muss mit BEGIN RSA PRIVATE KEY beginnen und mit END RSA PRIVATE KEYenden.
    Tipp: Wenn Ihr Schlüssel das PEM-Format hat, aber mit einem BEGIN PRIVATE KEY -Header anstelle von BEGIN RSA PRIVATE KEYbeginnt, hat er die PKCS8 -Codierung und muss in die PKCS1 -Codierung konvertiert werden, bevor Sie fortfahren.
  2. Suchen Sie die Zertifikatskette im PEM-Format, wobei jedes Zertifikat in der folgenden Reihenfolge in der Datei chain.crt angehängt wird. Das Endpunktzertifikat muss zuerst angegeben werden, gefolgt von einem oder mehreren Zwischenzertifikaten nach Bedarf.
    Wichtig: Wenn Ihr Zertifikat direkt von einer Stammzertifizierungsstelle ausgegeben wird, müssen Sie lediglich das Endpunktzertifikat bereitstellen.
  3. Erstellen Sie das Zertifikat PKCS12 mit den Dateien certificate.key und chain.crt , indem Sie den folgenden Befehl ausführen:
    openssl pkcs12 -export -out myserver.mycompany.net.p12 -inkey certificate.key -in chain.crt
  4. Erstellen Sie ein Exportkennwort, um den privaten Schlüssel im Container PKCS12 zu schützen. Das Kennwort wird verwendet, um das Zertifikat in den QRadar -Keystore zu importieren.
  5. Überprüfen Sie die Details des Zertifikats mit dem folgenden Befehl:
    keytool -list -v -keystore myserver.mycompany.net.p12 -storetype PKCS12
Sie können PKCS12 jetzt importieren, um es mit HTTP zu verwenden.