Os equipamentos F5 BIG-IP, em diversos cenários, dependem dos certificados SSL internos para que a sincronização de informações entre eles seja realizada corretamente.
Por padrão, os certificados pré-instalados têm uma validade de 1 ano partindo da data de instalação do equipamento, ou seja, após este período podem ocorrer problemas nesta sincronização…
Os equipamentos F5 BIG-IP, em diversos cenários, dependem dos certificados SSL internos para que a sincronização de informações entre eles seja realizada corretamente.
Por padrão, os certificados pré-instalados têm uma validade de 1 ano partindo da data de instalação do equipamento, ou seja, após este período podem ocorrer problemas nesta sincronização que nem sempre são simples de ser diagnosticados.
Neste artigo veremos como gerar certificados auto-assinados (self-signed) com validade de 10 anos (ou mais) para que estas sincronizações tenham uma vida útil maior.
2. Conteúdo
Deve-se utilizar a linha de comando (CLI) pra criar os certificados auto-assinados que expirem num período diferente do padrão. Para isso, devem ser executados os seguintes procedimentos:
1. Criando um certificado auto-assinado e a chave privada;
2. Alterando o certificado auto-assinado para uma requisição de certificado;
3. Especificando uma data de expiração diferente
2.1. Criando um certificado auto-assinado e a chave privada
Para criar um certificado auto-assinado e uma chave privada, digite o seguinte comando:
gencert -n -h -c <País> -s -t -o <Organização> -u
Por exemplo:
gencert -n f5test -h f5test.test.com -c US -s WA -t Seattle -o "F5 Test" -u "Test Unit" 1024
Nota: é necessário aspas duplas para argumentos com múltiplas palavras Digitando este comando será criado uma chave e um certificado chamados f5test.key e f5test.crt armazenados no diretório /config/ssl/ssl.key/ e config/ssl/ssl.crt/ respectivamente.
2.2. Alterando o certificado auto-assinado para uma requisição de certificado
Para alterar o certificado auto-assinado para uma requisição de assinatura de certificado (CSR – certificate signing request), execute os seguintes procedimentos:
1. Vá ao diretorio /config/ssl/ssl.crt através do comando:
cd /config/ssl/ssl.crt
2. Altere o recém-criado certificado auto-assinado para requisição de assinatura de certificado (CSR – certificate signing request) através do comando:
openssl x509 -x509toreq -in .crt -out .csr -signkey /config/ssl/ssl.key/.key
Por exemplo:
openssl x509 -x509toreq -in f5test.crt -out f5test.csr -signkey /config/ssl/ssl.key/f5test.key
Digitando este comando converterá o certificado em uma CSR, que permitirá o ajuste no tempo de expiração.
2.3. Especificando uma data de expiração diferente
Para determinar uma data de expiração para o novo CRS criado, digite o comando:
openssl x509 -req -in .csr -signkey /config/ssl/ssl.key/.key -days <# de dias> -out .crt
Nota: substitua <# de dias> pela quantidade de dias que deseja para o certificado Por exemplo, se deseja criar um certificado válido por dois anos, digite o comando:
openssl x509 -req -in .csr -signkey /config/ssl/ssl.key/.key -days 730 -out .crt
O novo certificado auto-assinado criado com a data de expiração desejada será armazenado no diretorio /config/ssl/ssl.crt/. Adicionalmente, você pode utilizar a tabela de referencia abaixo para selecionar a quantidade de dias para a validade desejada ao certificado
Ano (s) | Quantidade de dias |
1 | 365 |
2 | 730 |
5 | 1825 |
10 | 3650 |
Tabela 2 1: Quantidade de dias por ano
Por exemplo, se deseja criar um certificado válido por dez anos, digite o comando:
openssl x509 -req -in f5test.csr -signkey /config/ssl/ssl.key/f5test.key -days 3650 -out f5test.crt
2.4. Renovar o certificado existente para mais 10 anos
Pode-se simplesmente renovar o certificado existente pelo período desejado, mantendo-se a chave privada atual, através dos seguintes comandos:
cd /config/httpd/conf/ssl.crt
openssl x509 -x509toreq -in server.crt -out server.csr -signkey /config/httpd/conf/ssl.key/server.keyopenssl x509 -req -in server.csr -signkey /config/httpd/conf/ssl.key/server.key -days 3650 -out server.crtcat /config/httpd/conf/ssl.crt/server.crt >> /config/big3d/client.crtbigstart restart httpd
3. Conclusão
Com os simples comando acima a duração dos certificados SSL pode ser facilmente extendida para que não haja necessidade de manutenção periódica com tanta frequência nos equipamentos F5 BIG-IP. Nota: utilizar um certificado SSL com uma expiração estendida aumenta a janela de vulnerabilidade para o certificado, pois os certificados SSL auto-assinados não podem ser revogados pelos métodos atuais como as Certificate Revocation List (CRL). Maiores detalhes podem ser encontrados no artigo da F5 Networks:
• SOL4146: Creating a self-signed certificate that expires in a different value than the default value of 10 years http://support.f5.com/kb/en-us/solutions/public/4000/100/sol4146.html?sr=23556578