Blog Agility

Criando Certificados SSL de 10 anos no BIG-IP

Criando Certificados SSL de 10 anos no BIG-IP

Os equipamentos F5 BIG-IP, em diversos cenários, dependem dos certificados SSL internos para que a sincronização de informações entre eles seja realizada corretamente.

Por padrão, os certificados pré-instalados têm uma validade de 1 ano partindo da data de instalação do equipamento, ou seja, após este período podem ocorrer problemas nesta sincronização…

Os equipamentos F5 BIG-IP, em diversos cenários, dependem dos certificados SSL internos para que a sincronização de informações entre eles seja realizada corretamente.

Por padrão, os certificados pré-instalados têm uma validade de 1 ano partindo da data de instalação do equipamento, ou seja, após este período podem ocorrer problemas nesta sincronização que nem sempre são simples de ser diagnosticados.

Neste artigo veremos como gerar certificados auto-assinados (self-signed) com validade de 10 anos (ou mais) para que estas sincronizações tenham uma vida útil maior.

2. Conteúdo

Deve-se utilizar a linha de comando (CLI) pra criar os certificados auto-assinados que expirem num período diferente do padrão. Para isso, devem ser executados os seguintes procedimentos:

1. Criando um certificado auto-assinado e a chave privada;
2. Alterando o certificado auto-assinado para uma requisição de certificado;
3. Especificando uma data de expiração diferente

2.1. Criando um certificado auto-assinado e a chave privada

Para criar um certificado auto-assinado e uma chave privada, digite o seguinte comando:

gencert -n -h -c <País> -s -t -o <Organização> -u

Por exemplo:

gencert -n f5test -h f5test.test.com -c US -s WA -t Seattle -o "F5 Test" -u "Test Unit" 1024

Nota: é necessário aspas duplas para argumentos com múltiplas palavras Digitando este comando será criado uma chave e um certificado chamados f5test.key e f5test.crt armazenados no diretório /config/ssl/ssl.key/ e config/ssl/ssl.crt/ respectivamente.

2.2. Alterando o certificado auto-assinado para uma requisição de certificado

Para alterar o certificado auto-assinado para uma requisição de assinatura de certificado (CSR – certificate signing request), execute os seguintes procedimentos:

1. Vá ao diretorio /config/ssl/ssl.crt através do comando:

cd /config/ssl/ssl.crt

2. Altere o recém-criado certificado auto-assinado para requisição de assinatura de certificado (CSR – certificate signing request) através do comando:

openssl x509 -x509toreq -in .crt -out .csr -signkey /config/ssl/ssl.key/.key

Por exemplo:

openssl x509 -x509toreq -in f5test.crt -out f5test.csr -signkey /config/ssl/ssl.key/f5test.key

Digitando este comando converterá o certificado em uma CSR, que permitirá o ajuste no tempo de expiração.

2.3. Especificando uma data de expiração diferente

Para determinar uma data de expiração para o novo CRS criado, digite o comando:

openssl x509 -req -in .csr -signkey /config/ssl/ssl.key/.key -days <# de dias> -out .crt

Nota: substitua <# de dias> pela quantidade de dias que deseja para o certificado Por exemplo, se deseja criar um certificado válido por dois anos, digite o comando:

openssl x509 -req -in .csr -signkey /config/ssl/ssl.key/.key -days 730 -out .crt

O novo certificado auto-assinado criado com a data de expiração desejada será armazenado no diretorio /config/ssl/ssl.crt/. Adicionalmente, você pode utilizar a tabela de referencia abaixo para selecionar a quantidade de dias para a validade desejada ao certificado

Ano (s) Quantidade de dias
1 365
2 730
5 1825
10 3650

Tabela 2 1: Quantidade de dias por ano

Por exemplo, se deseja criar um certificado válido por dez anos, digite o comando:

openssl x509 -req -in f5test.csr -signkey /config/ssl/ssl.key/f5test.key -days 3650 -out f5test.crt

2.4. Renovar o certificado existente para mais 10 anos

Pode-se simplesmente renovar o certificado existente pelo período desejado, mantendo-se a chave privada atual, através dos seguintes comandos:

cd /config/httpd/conf/ssl.crt

openssl x509 -x509toreq -in server.crt -out server.csr -signkey /config/httpd/conf/ssl.key/server.keyopenssl x509 -req -in server.csr -signkey /config/httpd/conf/ssl.key/server.key -days 3650 -out server.crtcat /config/httpd/conf/ssl.crt/server.crt >> /config/big3d/client.crtbigstart restart httpd

3. Conclusão

Com os simples comando acima a duração dos certificados SSL pode ser facilmente extendida para que não haja necessidade de manutenção periódica com tanta frequência nos equipamentos F5 BIG-IP. Nota: utilizar um certificado SSL com uma expiração estendida aumenta a janela de vulnerabilidade para o certificado, pois os certificados SSL auto-assinados não podem ser revogados pelos métodos atuais como as Certificate Revocation List (CRL). Maiores detalhes podem ser encontrados no artigo da F5 Networks:

• SOL4146: Creating a self-signed certificate that expires in a different value than the default value of 10 years http://support.f5.com/kb/en-us/solutions/public/4000/100/sol4146.html?sr=23556578