F5-LTM負載均衡部署國密證書

1、F5 對國密的軟硬體支援情況

從14.1開始，F5 正式支援國密的 SSL 解除安裝功能，該功能需要單獨的license。

2、本次部署采用商用測試證書部署

在沃通官網申請免費SM2測試證書，有效期一個月，但需綁定公網域名通路。

2.1、證書下載下傳後，上傳到linux主機上轉換格式，如果報錯更新openssl到指定版本。

Ps:沃通官網下載下傳下來的證書是.crt結尾格式，雖然可以上傳部署但是網站會打不開，需要轉換成pfx或p12格式部署。

2.2、把加密證書和私鑰轉成pfx格式或P12格式，設定密碼。

2.3、把簽名證書和私鑰轉成pfx格式或P12格式，設定密碼。

得到兩個pfx證書檔案

2.4、 下載下傳下來的檔案中有兩個根證書，把他們合并成一個

root.crt用記事本打開把内容複制到intermediate.crt後面。這個是作為證書鍊導入到裝置中，對證書做驗證。
           

2.5、把得到的兩個證書檔案上傳到F5裝置

2.6、把合成後的intermediate.crt證書檔案上傳到F5裝置

3、建立 cipher rule 和 group

對于國密的 SSL 解除安裝， 需要配置特殊的 cipher rule 和 group，具體配置步驟如下：

1) 登入 web 管理界面。
    2) 到 System > Ciphers > Rules 界面；
    3) 在上面界面中選擇 create，完成下面操作：
           

1. 在 Name 中填入自定義的名字；
2. 在 Cipher Suites 中填入 ECC-SM4-SM3
3. 在 DH Group 中填入 SM2P256；
4. 在 Signature Algorithms 中填入 SM2-SM3；
5. 填寫上面三項後，在 Cryptographic Parameters 中自動生成内容；
6. 點選 Finished 完成 cipher rule 的配置；

   

   1. 到 Local Traffic > Ciphers > Groups 界面
   2. 在上面界面中選擇 create，完成下面操作：
      1. 在 Name 中填入自定義的名字；
      2. 在 Available Rules 中選擇相應的 cipher rule；
      3. 然後點選<<，則在 Allow the following 中會出現相應選擇的内容；
      4. 點選 Finished 完成 cipher group 的配置。

         

4、 建立 SSL profile及需要配置相應内容，具體配置如下：

1. 登入 web 管理界面。
2. 到 Local Traffic > Profiles > SSL > Client 界面；
3. 在上面界面中選擇 create，完成下面操作：
   1. 在 Name 中填入自定義的名字；
   2. 在 Configuration 下拉框選擇 Advanced；
   3. 選擇 Certificate Key Chain, Ciphers 和 Options 三項後面的複選框；
   4. 在 Certificate Key Chain 中選擇 add，然後選擇相應的 SM 、chain和 key；

      

   5. 在 Ciphers 項目中選擇在前面建立的 Cipher Group；
   6. 在 Option 中選擇下面的項目：
      • No SSL
      • No DTLS
      • No TLS
      • GMSSLv1.1
   7. 點選 Finished 完成 SSLProfile 的配置。

      

5、 建立 VS 等其他配置

根據業務需求配置 VS 及 Pool 等其他業務資訊，這裡不再贅述。

6、下載下傳國密浏覽器測試通路

下載下傳連結：https://www.mesign.com/zh-cn/browser/index.html
           

通路效果展示：

自簽發國密證書網址：

http://www.cookcode.cc/pfx

https://www.gmcert.org/

證書格式線上轉換網址：

https://www.ssleye.com/ssltool/sm2_pkcs12.html

https://www.chinassl.net/ssltools/convert-ssl.html