Juniper ScreenOS 換憑證

雖然說已經有官方說明了,但是我實際操作的時候還是有遇到一點狀況。

我要用自簽發的 CA 來簽 ScreenOS 的憑證。

ScreenOS 似乎不吃 wildcard certificate, 就是簽發給 *.example.com 這種的(Common Name 是 *.example.com ),它會把它認成 CA 。

所以必須要從 ScreenOS 那邊產生 CSR 再用 CA 去簽 CSR ,產生憑證檔 (CRT) ,然後將 CRT 匯進 ScreenOS 裏面。

第一步當然就是匯入自己的 CA ,從 Objects->Certificate 那邊上傳就好。

然後產生 CSR ,點 New ,填入各項資訊,特別注意:

  1. Organization 這一欄必須跟 CA 相同
  2. Key Pair Information 最好選 RSA (DSA 我沒試過),不然用(FreeBSD 的 openssl ) 簽署的時候會叫錯誤

儲存 CSR ,用這個指令簽署 CSR :

# openssl x509 -req -days 2190 -in juniper.csr -CA cnmc-ca.crt -CAkey cnmc-ca.key \
-CAserial cnmc-ca.srl -out juniper.crt

將 juniper.crt 上傳給 Juniper ,它應該會自己認出這是 Local 的憑證。

這樣就可以了。

註:這是當時 openssl 的錯誤訊息:

Signature verification error
43940:error:0D0C50A1:asn1 encoding routines:ASN1_item_verify:unknown message digest algorithm:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/asn1/a_verify.c:146:

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 變更 )

Twitter picture

You are commenting using your Twitter account. Log Out / 變更 )

Facebook照片

You are commenting using your Facebook account. Log Out / 變更 )

Google+ photo

You are commenting using your Google+ account. Log Out / 變更 )

連結到 %s