BLOG

Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 9)

Posted on by Dương Nguyễn

2 Certificate Management

Chứng chỉ được quản lý từ System > Cert Manager, trên tab Certificates. Từ màn hình này Certificates có thể được thêm, chỉnh sửa, xuất hoặc xóa.

2.1 Create a new Certificate

Để tạo chứng chỉ mới, hãy bắt đầu các quá trình như sau:

  • Từ System > Cert Manager chọn tab Certificates.
    • Click Add/Sign để tạo một chứng chỉ mới.
    Descriptive name Nhập tên mô tả cho chứng chỉ. Điều này được sử dụng làm nhãn cho chứng chỉ này trong toàn bộ GUI.
    Method  Chọn phương pháp phù hợp nhất để tạo chứng chỉ. Có 3 tuỳ chọn sau đây:
    • Import an Existing Certificate
    • Create an Internal Certificate
    • Create a Certificate Signing Request

Import an Existing Certificate

Nếu bạn có một chứng chỉ từ bên ngoài và bạn muốn import nó vào, thì bạn có thể lựa chọn phương thức Import an Existing Certificate. Điều này có ích khi bạn có chứng chỉ từ một hệ thống khác hoặc là chứng chỉ được cấp bởi bên thứ ba.

  • Certificate data Trường này bắt buộc phải nhập. Nó thường được chứa trong một tệp kết thúc bằng .crt.
  • Private key data Yêu cầu bắt buộc phải nhập. Nó thường được chứa trong một tệp kết thúc bằng .key.
  • Click Save để lưu

pfsense 15 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 9)

Nếu gặp bất kỳ lỗi nào, hãy làm theo hướng dẫn trên màn hình để giải quyết chúng.

Create an Internal Certificate

Các phương pháp phổ biến nhất được sử dụng đó là Create an Internal Certificate. Điều này sẽ làm cho một certificate mới bằng cách sử dụng một trong các Certificate authority hiện đang có.

  • Chọn Certificate Authority  mà chứng chỉ này sẽ được ký. Chỉ có một CA có một private key mới có thể có trong danh sách này, vì private key cần thiết để cho CA ký chứng nhận.
  • Key length Chọn độ mạnh của  chứng chỉ về việc mã hoá. Key càng dài thì càng an toàn. Các key dài hơn tốn thời gian sử lý của CPU hơn, nên là không phải lúc nào cũng để key có giá trị lớn nhất. Giá trị mặc định 2048 là lựa chọn căn bằng tốt nhất.
  • Digest Algorithm Hiện tại, các tốt nhất là sử dụng thuật toán mạnh hơn SHA1. SHA256 là lựa chọn tốt.
  • Certificate Type Lựa chọn một CA trung gian. Chứng chỉ được tạo theo cách này sẽ phụ thuộc vào CA đã chọn.
  • Distinguished name Nhập tên giá trị Distinguished name cho các thông số được cá nhân hóa trong chứng chỉ.
  • Ở phần Lifetime lựa chọn số ngày mà CA sẽ có hiệu lực. Thời lượng phụ thuộc vào sở thích cá nhân và chính sách trang web. Changing the CA frequently is more secure. Theo mặc định, GUI gợi ý sử dụng 3650 ngày, tức là khoảng 10 năm.
  • Common Name (CN) Dùng trong nội bộ để xác định CA
  • Country Code Đây là chọn quốc gia của bạn, tên quốc gia sẽ được viết tắt. Ví dụ, Việt Nam sẽ là VN
  • State or Province Tiếu bang hoặc tỉnh, trường này có thế bỏ trống
  • City Thành phố đang sinh sống, trường này có thể bỏ trống
  • Organization Tên tổ chức hoặc cơ quan, có thể là tên công ty, trường này có thể bỏ trống
  • Organizational Unit Đơn vị tổ chức, trường này có thể bỏ trống
  • Click Save để lưu

pfsense 16 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 9)

Nếu gặp bất kỳ lỗi nào, hãy làm theo hướng dẫn trên màn hình để giải quyết chúng. Sau đó cố gắng lưu lại.

Create a Certificate Signing Request

Lựa chọn phương thức Create a Certificate Signing Request  để tạo ra một tập tin yêu cầu mới có thể được gửi vào một ca bên thứ ba để được đăng ký. Điều này sẽ được sử dụng để lấy chứng chỉ từ root certificate authority đáng tin cậy.

pfsense 17 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 9)

2.2 Export a Certificate

Từ System > Cert Manager chọn tab Certificates, ở đây danh sách các certificates sẽ được liệt kê. Cetificate và/hoặc private key của nó có thể được export. Để export certificate, click icon Export Cetificate ở đầu phía bên trái, để export key click vào icon Export Key ngay bên cạnh icon Export Cetificate. Để export certificate CA, certificate và private key, nó sẽ chứa cùng nhau trong file PKCS#12, click icon Export P12 nằm phía bên phải ngay cạnh icon  Export Key.

Các tệp sẽ tải xuống với tên mô tả của chứng chỉ để làm tên tệp và phần đuôi .crt cho certificate và .key cho Private Key hoặc .p12 cho file PKCS # 12.

pfsense 18 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 9)

2.3 Remove a Certificate

Để remove CA, đầu tiên ta cần xoá các Users, Server đang dùng CA đó trước

  • Kiểm tra các khu vực có thể sử dụng chứng chỉ, chẳng hạn như tùy chọn WebGUI, OpenVPN, IPsec và packages
  • Xóa các mục nhập bằng chứng chỉ hoặc chọn chứng chỉ khác cho các user
  • Từ System > Cert Manager chọn tab Certificates
  • Ở trong danh sách hiển thị hãy tìm chứng chỉ cần xoá
  • Click icon delete nó nằm ở cuối hàng của chứng chỉ đó
  • Click OK trên hộp thoại để xác nhận.

pfsense 19 - Certificate Management- Tiếp (Tìm Hiểu Về PfSense Phần 9)

Nếu xuất hiện lỗi, hãy làm theo hướng dẫn trên màn hình để khắc phục sự cố rồi thử lại.

 

Dương Nguyễn

0 0 đánh giá
Article Rating
Theo dõi
Thông báo của
guest

0 Comments
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận
0
Rất thích suy nghĩ của bạn, hãy bình luận.x