Demo Starten

Erstellen Sie ein vertrauenswürdiges TLS-Zertifikat über die REST-API

In der Standardeinstellung Sensoren und Konsolen fügen Sie ein selbstsigniertes TLS-Zertifikat hinzu. Sie können jedoch die Sicherheit und Leistung Ihres Systems verbessern, indem Sie ein vertrauenswürdiges Zertifikat hinzufügen, das von einer Zertifizierungsstelle (CA) signiert wurde. Sie können die Anfrage zur Zertifikatsignierung erstellen, um sie über die ExtraHop REST-API an Ihre CA zu senden. Nachdem Sie das signierte Zertifikat erhalten haben, können Sie es auch Ihrem hinzufügen Sensor oder Konsole über die REST-API.

Before you begin

Hinweis:Sie können die Verfahren in diesem Thema auch über die Administrationseinstellungen ausführen. Weitere Informationen finden Sie in den folgenden Themen:

Erstellen Sie eine Anfrage zum Signieren eines TLS-Zertifikats

Um ein signiertes TLS-Zertifikat zu erstellen, müssen Sie eine Anfrage zur Zertifikatsignierung an eine vertrauenswürdige CA senden.

  1. Navigieren Sie in einem Browser zum REST API Explorer.
    Die URL ist der Hostname oder die IP-Adresse Ihres Sensor oder Konsole, gefolgt von /api/v1/explore/. Wenn Ihr Hostname beispielsweise seattle-eda ist, lautet die URL https://seattle-eda/api/v1/explore/.
  2. Klicken Sie API-Schlüssel eingeben und fügen Sie dann Ihren API-Schlüssel ein oder geben Sie ihn in das API-Schlüssel Feld.
  3. Klicken Sie Autorisieren und klicken Sie dann Schliessen.
  4. Klicken Sie ExtraHop und klicken Sie dann Anfrage für Post/Extrahop/SSLCert/Signierung.
  5. Klicken Sie Probiere es aus.
    Das JSON-Schema wird automatisch dem hinzugefügt Parameter für die Signierung von SSL-Zertifikaten Parameter-Textfeld.
  6. In der Parameter für die Signierung von SSL-Zertifikaten Parameter-Textfeld, geben Sie die Felder für die Zertifikatsignierungsanforderung an.
    1. In der common_name Feld, ersetzen string mit dem vollqualifizierten Domänenname Ihres Sensor oder Ihrer Konsole.
    2. In der subject_alternative_names Feld, fügen Sie einen oder mehrere alternative Domainnamen oder IP-Adressen für Ihren Sensor oder Ihre Konsole hinzu.
      Hinweis:Das subject_alternative_names Feld ist erforderlich. Wenn Ihr System nur einen Domänenname hat, duplizieren Sie den Wert aus dem common_name Feld. Sie müssen mindestens einen alternativen Betreff mit dem folgenden Typ angeben dns, aber für zusätzliche alternative Namen kann der Typ auf gesetzt werden ip oder dns.
    3. Optional: In der email_address Feld, ersetzen string mit der E-Mail-Adresse des Zertifikatsinhabers.
    4. Optional: In der organization_name Feld, ersetzen string mit dem eingetragenen Firmennamen Ihrer Organisation.
    5. Optional: In der country_code Feld, ersetzen string mit dem 2-stelligen ISO-Ländercode des Landes, in dem sich Ihre Organisation befindet.
    6. Optional: In der state_or_province_name Feld, ersetzen string mit dem Namen des Bundesstaates oder in dem sich Ihre Organisation befindet.
    7. Optional: In der locality_name Feld, ersetzen string mit dem Namen der Stadt, in der sich Ihre Organisation befindet.
    8. Optional: In der organizational_unit_name Feld, ersetzen string mit dem Namen Ihrer Abteilung innerhalb Ihrer Organisation.
    Das Wert Der Abschnitt sollte dem folgenden Beispiel ähneln:
    {
  "subject": {
    "common_name": "example.com",
    "email_address": "admin@example.com",
    "organization_name": "Example",
    "country_code": "US"
  },
  "subject_alternative_names": [
    {
      "name": "www.example.com",
      "type": "dns"
    }
  ]
}
  7. Klicken Sie Anfrage senden um die Signieranforderung zu erstellen.
    In der Antwort des Servers Abschnitt, der Antworttext zeigt die Signieranforderung in der pem Feld.

Nächste Maßnahme

Senden Sie die Signaturanfrage an Ihre CA, um Ihr signiertes TLS-Zertifikat zu erstellen.
Wichtig:Die Signieranforderung enthält Escape-Sequenzen, die Zeilenumbrüche (\n) darstellen. Ersetzen Sie jede Instanz von\ndurch einen Zeilenumbruch, bevor Sie die Anfrage an Ihre CA senden. Sie können die PEM-Anfrage manuell in einem Texteditor oder automatisch über ein JSON-Analyseprogramm ändern, wie im folgenden Beispielbefehl gezeigt:
echo '<json_output>' | python -c 'import sys, json; print json.load(sys.stdin)["pem"]'

Ersetzen Sie die <json_output> Variable mit der gesamten JSON-Zeichenfolge, die im Abschnitt Response Body zurückgegeben wird.

Fügen Sie Ihrem Sensor oder Ihrer Konsole ein vertrauenswürdiges TLS-Zertifikat hinzu

Sie können Ihrem ein TLS-Zertifikat hinzufügen, das von einer vertrauenswürdigen CA signiert wurde Sensor oder Konsole über den REST API Explorer.

  1. Navigieren Sie in einem Browser zum REST API Explorer.
    Die URL ist der Hostname oder die IP-Adresse Ihres Sensor oder Konsole, gefolgt von /api/v1/explore/. Wenn Ihr Hostname beispielsweise seattle-eda ist, lautet die URL https://seattle-eda/api/v1/explore/.
  2. klicken API-Schlüssel eingeben und fügen Sie dann Ihren API-Schlüssel ein oder geben Sie ihn in das API-Schlüssel Feld.
  3. klicken Autorisieren und klicken Sie dann Schliessen.
  4. klicken ExtraHop und klicken Sie dann PUT/ExtraHop/SSLCERT.
  5. klicken Probiere es aus.
  6. In der Zertifikat und Schlüssel Feld, fügen Sie das TLS-Zertifikat ein.
    Das Zertifikat sollte dem folgenden Text ähneln:
    -----BEGIN CERTIFICATE-----
a0O8zvV4MlDhWX4e0VyvGAJx+9d4AqQB4Czy/P7z36CmHe2Y7PPdVSeWHNCQoJ0g
CnO42u2V9YKNFYRQejIJv8CxGVJKsdfV0iP0WnCvpZXkaBOYIrDvE5xn010WPUls
6qe3mCXsUK87i++mYuVDA1U0A5YVXRO2OOWIWy7P+MCU/cR/op3Jpekng2cxN4qD
FqGbtRpLdCuJ/xGWL1FFRHBg76+TbO+pxgZhiCtHYXfMKIaoPmDwsAqEtLbizz1W
mbMig9hs4QNcJ+aMNSnTZpkbeBR4a2nkGnQoYvnFOXV/nWzvfHmI4ydSH9g4I8qt
4ArqFepInvm70n07FYAKL6Mdd1i+7ieo9AqckltVzzKFzkakHm04214wtsYmle94
4HqIJ7p7NH5maXxttXMzHFlArbnjHWCl0gIv8lAu+IvLJ8aiGAb3zqveNz6ZAZ5j
PGAUsP+dVYV/8VjvqhkiP/1jWzUHwzpdlHbcD8qOkAF41fnbv+2EXqFJ096JSSiU
rqeJpgNuH3LbkT0KORAiLoGLMZKEKxF+3OpLVD7ox7NQh9pMdZlB8tcTbTmsvD8T
3L2tMVZssqYOANcidtd17t72VW4hzQURT1me5tGWxpN6od/q6B+FIvRq/7Vq0UE1
c2AG/om5UN/Vj3pUjXzq/B1IWUS9TicRcKdl5wrKEkPUGjK4w1R/87bj5HSn8nyd
lMCcOpLTokHj0B5+8O1ylNhVXNPlj3eY0n6OQOdClBqTDM0/4sB3XgeC/pjpleU3
3uot+wM/GoN/Dqb1LPt3BNpUQuCzSfmGSSOXiWELsEhz3ix/36a9eUWjfhmtPsW5
dne5Lf+G7cf+ebsRTb7R89GmgKzTpUl1KAzKINAebkT6WrWWljugpA0BcfANjS6o
mik4ZbY8d54UtA17evprr2+8UotIgVIrCbfLgA2DY8QOTCBYIFKJ3GZAedqRK9Sm
I2qdaB6QBczYNaVYSeCsBdHHw1+h7dBeqdUUwYKtmPW96/djj/6vJSXh9/UX/3c0
eqXG36w/lqJAYu8QtAydJsVC85IzqzikkX0f0KE315Doginpg59yix9dHD2sxLb1
X39BRpLkZ9nvW6ke2YHU/VKBVIxqSslukGoTUIcUtPJrtMQOwCi/EQQXbPK9a2pW
K51938h6OuLjNbDTFuxfhE4zITWHTgyAs2MNVR9+uDUiVJclX+CIPjhZzjyPqmD6
6uh8Sr3zndOMabqDquo69rMQyvclF0xOUMVgUw1Rb8Y=
-----END CERTIFICATE-----
    Hinweis:Wenn Sie möchten, dass das Zertifikat mit Ihrem eigenen privaten Schlüssel signiert wird, können Sie Ihren Schlüssel nach dem TLS-Zertifikat einfügen, getrennt durch einen Zeilenumbruch. Wir empfehlen jedoch, keinen eigenen Schlüssel anzugeben. Standardmäßig signiert der Sensor oder die Konsole das Zertifikat mit dem privaten Schlüssel auf dem System.
  7. klicken Anfrage senden um das Zertifikat hinzuzufügen.
Last modified 2024-09-26