Funkce externí certifikační autority (CA) je k dispozici velkým podnikům a vládním orgánům, které používají systém Orchestrator v místním nasazení a mají požadavek na použití vlastní certifikační autority (CA) namísto výchozí certifikační autority systému Orchestrator, která je podepsaná svým držitelem. Tato část popisuje, jak aktivovat a konfigurovat externí certifikační autoritu.

Když je nakonfigurována externí certifikační autorita, namísto obdržení požadavku na podpis certifikátu (CSR) systémem Orchestrator a samotného vydání certifikátů zařízení, je systém Orchestrator nucen předat CSR externí certifikační autoritě za účelem vydání certifikátu. Certifikát zařízení bude vrácen zpět do aplikace Orchestrator a poslán do zařízení Edge nebo brány.

Očekává se, že zákazník používající tuto funkci nasadí komerční certifikační autoritu, například z klíče PrimeKey (EJBCA PKI). V některých případech může implementovat vlastní certifikační autoritu.

Od verze 5.1.0 lze nástroj Orchestrator, kde je aktivována externí certifikační autorita, nakonfigurovat s použitím dvou nových režimů, připravených na rozhraní API:

  • Ruční režim poskytuje podporu jakékoliv certifikační autority a poskytuje flexibilitu a kontrolu, když uživatel ručně provádí každý krok v certifikačním procesu.

  • Asynchronní režim poskytuje podporu pro jakoukoli certifikační autoritu se schopností skriptovat ruční kroky a automatizovat opakující se úlohy.

Tyto režimy jsou přidány do synchronního nebo automatického režimu, což byl první režim zavedený ve verzi 4.3.0. Se synchronním režimem je nástroj Orchestrator integrován přímo s externí certifikační autoritou (která pro verzi 4.3.0 a pozdější nabídla PrimeKey EJBCA PKI jako jedinou dostupnou externí certifikační autoritu) a prostřednictvím rozhraní REST API pro požadavek na certifikát, obnovení a odvolání.

Aktivace externí certifikační autority

Funkce externí certifikační autority je aktivována prostřednictvím dvou systémových vlastností. Aktivaci těchto systémových vlastností může provést pouze operátor s rolí primárního uživatele.

Postup

První systémová vlastnost, která musí být aktivována, je ca.external.configuration. Tato vlastnost je vytvořena ručně s typem dat JSON a JSON se vyplní konzistentním způsobem s příkladem, který je uveden níže v části Konfigurace ukázkové externí certifikační autority.

Až po vytvoření a aktivaci ca.external.configuration může operátor aktivovat druhou systémovou vlastnost: ca.external.enable.

  1. V uživatelském rozhraní systému Orchestrator zvolte Systémové vlastnosti (System Properties).
  2. Pomocí vyhledávacího pole na stránce Systémové vlastnosti (System Properties) zadejte ca.external.enable, viz obrázek níže.
  3. Jakmile dojde k nalezení vlastnosti ca.external.enable, klikněte buď na tuto vlastnost, nebo zaškrtněte pole a klikněte na Upravit (Edit).
  4. Změňte vlastnost ca.external.enable na hodnotu True a vyberte možnost Uložit změny (Save Changes), a tak dokončete změnu, jak ukazuje obrázek níže.

    Stránka Systémová vlastnost (System Property) zobrazuje potvrzení, že vlastnost byla úspěšně upravena, a nyní ukáže, že je ca.external.enable rovno True.

Konfigurace externí certifikační autority

Po aktivaci systémové vlastnosti externí certifikační autority může operátor kliknout na možnost Orchestrator > Certifikační autority (Certificate Authorities) a zahájit konfiguraci externí certifikační autority.

Konfiguraci externí certifikační autority lze provést v jednom ze tří režimů:
  1. Automatizovaný (Synchronní) (Automated (Synchronous)): v automatizovaném režimu je podporována pouze jedna externí certifikační autorita: PrimeKey EJBCA PKI.
  2. Ruční (Manual) režim poskytuje podporu jakékoliv certifikační autority a poskytuje flexibilitu a kontrolu, když uživatel ručně provádí každý krok v certifikačním procesu.

  3. Asynchronní (Asynchronous) režim poskytuje podporu pro jakoukoli certifikační autoritu se schopností skriptovat ruční kroky a automatizovat opakující se úlohy.

  1. Na stránce Orchestrator > Certifikační autority (Certificate Authorities) klikněte na možnost + Další CA (Additional CA).
  2. Po kliknutí na možnost + Další CA (Additional CA) se uživatelské rozhraní změní na Typ CA (CA Type) s rozevírací nabídkou s možnostmi Prostřední CA (Intermediate CA)Externí CA (External CA). Klikněte na Externí CA (External CA).

  3. Po kliknutí na možnost externí certifikační autority se obrazovka změní na Přidat externí certifikační autoritu (Add External CA), kde si operátor může vybrat ze tří výše uvedených režimů externí certifikační autority: automatizovaný (synchronní), asynchronní a ruční.

  4. Po výběru režimu certifikační autority se obrazovka Přidat externí CA (Add External CA) změní a umožní dodatečnou konfiguraci externí certifikační autority. Zde operátor vkládá kořenový certifikát CA (CA Root Certificate).

    Zaškrtnutím pole Aktivovat VCO pro dotaz na CRL (Activate VCO to poll for CRL) se operátor rozhodne nechat nástroj Orchestrator provádět kontroly odvolání certifikátu dle seznamu odvolaných certifikátů (CRL). Pokud je tato možnost zaškrtnuta, musí operátor nakonfigurovat dva další parametry:

    1. Interval dotazování do seznamu CRL v minutách (CRL Poll Interval in Minutes) určuje, jak často (v minutách) bude nástroj Orchestrator provádět kontrolu odvolání certifikátu dle nejnovějšího seznamu CRL.
    2. Distribuční bod CRL (CRL Distribution Point) je adresa URL, kde nástroj Orchestrator načte nejnovější seznam CRL.

  5. Jakmile operátor vyplní všechna požadovaná pole, klikne na možnost Uložit (Save).
  6. Po nakonfigurování externí certifikační autority získává operátor nové možnosti – Importovat seznam CRL (Import CRL)Stáhnout seznam CRL (Download CRL).

    Pomocí funkce Importovat seznam CRL (Import CRL), je-li současně nakonfigurována možnost Dotazování nástroje Orchestrator do seznamu CRL (Orchestrator CRL Polling), může operátor provádět dávkové nebo individuální importy a exporty.

    CRL provede ověření po každém importu certifikátů a Orchestrator provede distribuci seznamu CRL do všech zařízení Edge a bran připojených k systému Orchestrator.

Poznámka: Existuje třetí systémová vlastnost: ca.external.caCertificate. Tato vlastnost systému se zobrazí, jakmile je aktivována externí certifikační autorita (CA) a je navázáno připojení k platné externí CA. Tato vlastnost vyžaduje certifikát šifrovaný pomocí zabezpečení PEM (e-mail s vylepšenou ochranou osobních údajů).
Poznámka: Požadavek na podpis certifikátu generovaný zařízením Edge / bránou (CSR) má pouze běžný název (CN). Při podepisování CSR přidá externí CA požadovaný předmět.

Konfigurace ukázkové externí certifikační autority

Tato část uvádí příklad konfigurace pole ca.external.configuration.

{
"integrationType": "SYNCHRONOUS",
"csrDistinguishedName": {
"CN_PID_SN": "VMWare-SDWAN"
},
"synchronous": {
"synchronousIntegrationType": "EJBCA",
"ejbca": {
"serverCaCertificate": "-----BEGIN CERTIFICATE-----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\n+kEK69DlZRNudn4=\n-----END CERTIFICATE-----",
"apiCertificate": "-----BEGIN CERTIFICATE-----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\nGvpl0ZmGVYmond3aBOYu\n-----END CERTIFICATE-----",
"apiKey": "-----BEGIN PRIVATE KEY-----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\nSNV2aPx+2+DGSZEVbuLXviHs\n-----END PRIVATE KEY-----",
"host": "ip-10-81-125-132.us-west-2.compute.internal",
"port": "443",
"distinguishedName": "UID=r-0595a13c153d76ae5,CN=ManagementCA,OU=ami-02a4474c1f74940a8,O=ip-10-81-125-132.us-west-2.compute.internal",
"certificateProfile": "ENDUSER",
"endEntityProfile": "EMPTY"
}
}
}

Monitorování externí certifikační autority

Monitorování certifikátů se provádí na stejné stránce Orchestrator > Certifikační autority (Certificate Authorities).

Stránka Přehled certifikátů (Certificates Summary) poskytuje operátorovi vizuální přehled klíčových indikátorů pro životní cyklus certifikátů. Operátor také v této sekci importuje certifikáty a stahuje CSR.

V části Certifikáty (Certificates) může operátor stáhnout kompletní seznam všech certifikátů Edge nebo bran ve formátu .csv.

Operátor, partner nebo administrátor zákazníka může také prošetřit konkrétní certifikát Edge v části Konfigurace (Configure) > Edge > Přehled (Overview).

Omezení

  • Externí certifikační autoritu lze aktivovat pouze v místním systému Orchestrator, spravovaném jediným zákazníkem. Tato funkce není k dispozici u systémů Orchestrator hostovaných na platformě VMware.
  • V nástroji Orchestrator ve verzi 3.4.0 až 5.0.0 může tato funkce používat jako externí certifikační autoritu pouze klíč PrimeKey EJBCA PKI.