Installer un certificat pour Axway CFT
Ces instructions sont valables pour les serveurs Axway CFT. Le
principe d'obtention d'un certificat serveur SSL pour CFT est (authentification serveur uniquement ou mutuelle):
- Générer une clef privée et un CSR avec openSSL
- Obtenir un certificat chez TBS CERTIFICATS
- Convertir les éléments en fichiers binaires DER
- Importer les éléments dans la base PKI de TransferCFT
- Configurer le SSL dans TransferCRT
1a- Récupérez les certificats
Retournez dans le répertoire où vous avez généré la clef privée.Téléchargez les fichiers indiqués dans l'email de livraison:
- A: votre certificat serveur
- B: chaque élément de la chaine de certification
1b- Convertir les certificats
CFT veut que les certificats soient au format binaire DER. Ceci nécessite une conversion. Pour chaque fichier .crt ou .cer fourni, faites:openssl x509 -in FIC.crt -outform DER -out FIC.der
1c- Convertir la clef privée
CFT veut la clef privée au format DER. Il faut convertir:openssl rsa -in FIC.key -outform DER -out FIC.key.der
2- Importer les éléments dans la base PKI de TransferCFT
Ici débute la partie configuration de CFT pour utiliser le certificat. Nous vous conseillons de vérifier avec un spécialiste CFT la marche exacte à suivre. En résumé il faut : Initialiser la base PKI avec:PKIUTIL pkifile fname=$CFTPKU, mode=createSi le fichier existe déjà, la commande échouera.
Ensuite il faut importer chaque certificat avec la commande
PKIUTIL pkicerIl faut vous reporter à la documentation du produit pour passer les paramètres exacts pour chaque certificat, notamment la paramètre itype qui prend les valeurs ROOT ou INTER ou USER.
Pour vérifier que vous avez bien tout, utilisez la commande
PKIUTIL listpki
3- Configurer le SSL dans TransferCFT
Le principe de la configuration consiste à- Définir le protocole avec le mot clef cftprot, ligne ssl=
- Définir le profil SSL serveur avec le mot clef cftssl
- Activer le SSL serveur dans TransferCRT en rajoutant dans les paramètres généraux (cftparam) le protocole défini 2 lignes plus haut dans le mot clef prot
- Définir le profil SSL client avec le mot clef cftssl
- Activer le SSL client en appelant le profil SSL client créé ci-dessus dans un profil de partenaire avec cftpart, ligne ssl=
Dernière modification le 18/08/2020 07:34:43 --- [Chercher]