F5證書配置

幾種格式文件的說明：

csr——>在F5上生成的文件。包含了域名、公司名、部門名、城市、郵箱等信息。

crt/cer——>公鑰，證書文件，由權威證書機構頒發。

key——>私鑰，與csr配套生成，成對使用。

例：

1_root_bundle.crt——>證書鏈（包含證書的樹型結構，追溯至根證書機構）

2_test_wosign.com.crt——>公鑰（證書機構使用私鑰對你的csr進行簽名）

3_test_wosign.com.key——>私鑰（與公鑰配套使用）

SNI功能簡單介紹：

SNI功能使一個ip地址能夠對應多個域名，并綁定不同的證書。需要F5的版本在v11.1.0才能支持。

截圖說明：

設備型號F5-1600  系統版本10.2.4

一、創建csr文件、備份證書、私鑰

創建csr文件：

選擇是否自簽發：

備份證書和私鑰：

二、安裝證書

將證書機構頒發的證書內容（包括“----BEGIN CERTIFICATE-----"和-----END CERTIFICATE-----"）粘貼到記事本中，保存為server.cer文件。

安裝證書文件：

導入成功后的狀態：

添加證書鏈：

將證書簽發郵件中從BEGIIN到END結束的所有證書內容粘貼到記事本中，中間使用回車換行分隔。修改擴展名為ca-bundle.cer文件

三、配置profile關聯證書

服務器證書有2種，一種是F5與客戶端的證書SSL-Client

一種是F5與后臺服務器的證書SSL-Server

F5到客戶端一般認為不安全所以使用證書。F5到后端服務器一般認為是安全的， 一般不用證書。

Parent Profile：信任相同的根證書。多域名對應一個ip需要F5系統版本在11.0

完成后，選擇Update保存。在證書成功配置后，需要創建一個443端口的Virtual Server，并加載上面的Client SSL Profile對應該站點啟用SSL證書。

四、雙向認證的配置

雙向認證部分，要求客戶端出示客戶端的個人證書才能登陸指定頁面。如果沒有對客戶端做強制身份認證，則無需配置雙向認證部分。

在雙向認證時需要配置以下內容：

Trusted Certificate Authorities:客戶端證書的根證書

Client Certificate:這里有兩種模式可以選擇

Require:客戶端必須提交證書，通常采用此方法

Request:客戶端可以提交證書，也可以不提交證書

Advertised Certificate Authorities:在客戶端連接時，服務器發送到客戶端的信息，該信息會使在客戶端彈出的證書選擇列表中只包含選中的根證書所頒發的客戶端證書。如果有中間證書請選擇證書鏈。

完成證書的導入和profile的設置后，還需要在Virtual Server下設定Properties，將虛服務地址和剛才產生的Profile捆綁一下，點擊Update即可完成證書配置。

相互間的邏輯關系是：證書綁定到profile文件中，虛服務調用profile文件。

附F5官網相關文檔鏈接：

https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication