Lancer la Démo

Créez un certificat SSL fiable via l'API REST

Par défaut, capteurs et consoles inclure un certificat SSL auto-signé. Toutefois, vous pouvez améliorer la sécurité et les performances de votre système en ajoutant un certificat fiable signé par une autorité de certification (CA). Vous pouvez créer la demande de signature de certificat à envoyer à votre autorité de certification via l'API REST ExtraHop. Après avoir reçu le certificat signé, vous pouvez également l'ajouter à votre sonde ou console via l'API REST.

Before you begin

Remarque :Vous pouvez également exécuter les procédures décrites dans cette rubrique via les paramètres d'administration. Pour plus d'informations, consultez les rubriques suivantes :

Création d'une demande de signature de certificat SSL

Pour créer un certificat SSL signé, vous devez envoyer une demande de signature de certificat à une autorité de certification approuvée.

Important :L'explorateur d'API REST n'est pas disponible sur Reveal (x) 360.
  1. Dans un navigateur, accédez à l'explorateur d'API REST.
    L'URL est le nom d'hôte ou l'adresse IP de votre sonde ou console, suivi de /api/v1/explore/. Par exemple, si votre nom d'hôte est seattle-eda, l'URL est https://seattle-eda/api/v1/explore/.
  2. Cliquez Entrez la clé d'API puis collez ou saisissez votre clé d'API dans le Clé d'API champ.
  3. Cliquez Autoriser puis cliquez sur Fermer.
  4. Cliquez Hop supplémentaire puis cliquez sur Poste/ExtraHop/Certificat SSL/Demande de signature.
  5. Cliquez Essayez-le.
    Le schéma JSON est automatiquement ajouté au Paramètres de demande de signature de certificat SSL zone de texte des paramètres.
  6. Dans le Paramètres de demande de signature de certificat SSL zone de texte des paramètres, spécifiez les champs de demande de signature de certificat.
    1. Dans le common_name champ, remplacer string avec le nom de domaine complet de votre sonde ou de votre console.
    2. Dans le subject_alternative_names champ, ajoutez un ou plusieurs noms de domaine ou adresses IP alternatifs pour votre sonde ou votre console.
      Remarque :Le subject_alternative_names ce champ est obligatoire. Si votre système ne possède qu'un seul nom de domaine, dupliquez la valeur du common_name champ. Vous devez inclure au moins un autre nom de sujet dont le type est défini sur dns, mais d'autres noms alternatifs peuvent avoir le type défini sur ip ou dns.
    3. Facultatif : Dans le email_address champ, remplacer string avec l'adresse e-mail du propriétaire du certificat.
    4. Facultatif : Dans le organization_name champ, remplacer string avec le nom légal enregistré de votre organisation.
    5. Facultatif : Dans le country_code champ, remplacer string avec le code de pays ISO à 2 caractères du pays dans lequel se trouve votre organisation.
    6. Facultatif : Dans le state_or_province_name champ, remplacer string avec le nom de l'État ou dans lequel votre organisation est située.
    7. Facultatif : Dans le locality_name champ, remplacer string avec le nom de la ville dans laquelle se trouve votre organisation.
    8. Facultatif : Dans le organizational_unit_name champ, remplacer string avec le nom de votre département au sein de votre organisation.
    Le Valeur la section doit ressembler à l' exemple suivant :
    {
  "subject": {
    "common_name": "example.com",
    "email_address": "admin@example.com",
    "organization_name": "Example",
    "country_code": "US"
  },
  "subject_alternative_names": [
    {
      "name": "www.example.com",
      "type": "dns"
    }
  ]
}
  7. Cliquez Envoyer une demande pour créer la demande de signature.
    Dans le Réponse du serveur section, la Organisme de réponse affiche la demande de signature dans pem champ.

Que faire ensuite

Envoyez la demande de signature à votre autorité de certification pour créer votre certificat SSL signé.
Important :La demande de signature contient des séquences d'échappement qui représentent des sauts de ligne (\n). Remplacez chaque instance de\npar un saut de ligne avant d'envoyer la demande à votre autorité de certification. Vous pouvez modifier la demande PEM manuellement dans un éditeur de texte ou automatiquement via un utilitaire d'analyse JSON, comme illustré dans l'exemple de commande suivant :
echo '<json_output>' | python -c 'import sys, json; print json.load(sys.stdin)["pem"]'

Remplacez le <json_output> variable avec la chaîne JSON entière renvoyée dans la section Response Body.

Ajoutez un certificat SSL fiable à votre sonde ou à votre console

Vous pouvez ajouter un certificat SSL signé par une autorité de certification de confiance à votre sonde ou console via l'explorateur d'API REST.

  1. Dans un navigateur, accédez à l'explorateur d'API REST.
    L'URL est le nom d'hôte ou l'adresse IP de votre sonde ou console, suivi de /api/v1/explore/. Par exemple, si votre nom d'hôte est seattle-eda, l'URL est https://seattle-eda/api/v1/explore/.
  2. Cliquez Entrez la clé d'API puis collez ou saisissez votre clé d'API dans Clé d'API champ.
  3. Cliquez Autoriser puis cliquez sur Fermer.
  4. Cliquez Hop supplémentaire puis cliquez sur PUT/ExtraHop/SSL Cert.
  5. Cliquez Essayez-le.
  6. Dans le Certificat et clé dans ce champ, collez le certificat SSL.
    Le certificat doit ressembler au texte suivant :
    -----BEGIN CERTIFICATE-----
a0O8zvV4MlDhWX4e0VyvGAJx+9d4AqQB4Czy/P7z36CmHe2Y7PPdVSeWHNCQoJ0g
CnO42u2V9YKNFYRQejIJv8CxGVJKsdfV0iP0WnCvpZXkaBOYIrDvE5xn010WPUls
6qe3mCXsUK87i++mYuVDA1U0A5YVXRO2OOWIWy7P+MCU/cR/op3Jpekng2cxN4qD
FqGbtRpLdCuJ/xGWL1FFRHBg76+TbO+pxgZhiCtHYXfMKIaoPmDwsAqEtLbizz1W
mbMig9hs4QNcJ+aMNSnTZpkbeBR4a2nkGnQoYvnFOXV/nWzvfHmI4ydSH9g4I8qt
4ArqFepInvm70n07FYAKL6Mdd1i+7ieo9AqckltVzzKFzkakHm04214wtsYmle94
4HqIJ7p7NH5maXxttXMzHFlArbnjHWCl0gIv8lAu+IvLJ8aiGAb3zqveNz6ZAZ5j
PGAUsP+dVYV/8VjvqhkiP/1jWzUHwzpdlHbcD8qOkAF41fnbv+2EXqFJ096JSSiU
rqeJpgNuH3LbkT0KORAiLoGLMZKEKxF+3OpLVD7ox7NQh9pMdZlB8tcTbTmsvD8T
3L2tMVZssqYOANcidtd17t72VW4hzQURT1me5tGWxpN6od/q6B+FIvRq/7Vq0UE1
c2AG/om5UN/Vj3pUjXzq/B1IWUS9TicRcKdl5wrKEkPUGjK4w1R/87bj5HSn8nyd
lMCcOpLTokHj0B5+8O1ylNhVXNPlj3eY0n6OQOdClBqTDM0/4sB3XgeC/pjpleU3
3uot+wM/GoN/Dqb1LPt3BNpUQuCzSfmGSSOXiWELsEhz3ix/36a9eUWjfhmtPsW5
dne5Lf+G7cf+ebsRTb7R89GmgKzTpUl1KAzKINAebkT6WrWWljugpA0BcfANjS6o
mik4ZbY8d54UtA17evprr2+8UotIgVIrCbfLgA2DY8QOTCBYIFKJ3GZAedqRK9Sm
I2qdaB6QBczYNaVYSeCsBdHHw1+h7dBeqdUUwYKtmPW96/djj/6vJSXh9/UX/3c0
eqXG36w/lqJAYu8QtAydJsVC85IzqzikkX0f0KE315Doginpg59yix9dHD2sxLb1
X39BRpLkZ9nvW6ke2YHU/VKBVIxqSslukGoTUIcUtPJrtMQOwCi/EQQXbPK9a2pW
K51938h6OuLjNbDTFuxfhE4zITWHTgyAs2MNVR9+uDUiVJclX+CIPjhZzjyPqmD6
6uh8Sr3zndOMabqDquo69rMQyvclF0xOUMVgUw1Rb8Y=
-----END CERTIFICATE-----
    Remarque :Si vous souhaitez que le certificat soit signé avec votre propre clé privée, vous pouvez inclure votre clé après le certificat SSL, en la séparant par un saut de ligne. Toutefois, nous vous recommandons de ne pas spécifier votre propre clé ; par défaut, la sonde ou la console signent le certificat avec la clé privée du système.
  7. Cliquez Envoyer une demande pour ajouter le certificat.
Last modified 2023-11-07