Сертификаты

Раздел с информацией о создании, загрузке и управлении SSL-сертификатами. Они необходимы, чтобы веб-ресурс работал по защищенному протоколу HTTPS, а браузер не выдавал ошибку безопасности.

Общая информация

В этом разделе отображаются SSL-сертификаты или цепочки сертификатов, список которых формируется следующими модулями:

Модуль обратного проксирования;
VPN-серверы IKEv2 и SSTP;
Веб-интерфейс, веб-аутентификация;
Почта.

Для просмотра основной информации о сертификате нажмите кнопку .

Действующие сертификаты

В таблице Действующие сертификаты отображаются:

Автоматически сгенерированные цепочки сертификатов;
Загруженные цепочки сертификатов, используемые модулями Ideco NGFW.

Если в таблице Действующие сертификаты одна и та же цепочка сертификатов указана в нескольких строках, то она используется несколькими модулями.

Загруженные сертификаты

В таблице Загруженные сертификаты отображаются:

Все загруженные цепочки сертификатов;
Корневой сертификат Ideco NGFW.

Подробная инструкция по загрузке SSL-сертификата в статье.

Логика работы

NGFW позволяет выпустить или загрузить корневые и не корневые (пользовательские) сертификаты.

Корневые сертификаты обязательно должны иметь разрешение выдавать дочерние сертификаты X509v3 Basic Constraints: CA: TRUE. При первоначальной установке и запуске NGFW корневой (самоподписанный) сертификат генерируется автоматически. Его можно скачать, нажав на соответствующую кнопку.

Пользовательские сертификаты - любые сертификаты на домен. Могут быть как подписанными корпоративным корневым сертификатом, так и выданными Certificate Authority (CA) или Центрами сертификации. NGFW автоматически генерирует и подписывает сертификаты на домены, которые вы указываете для модулей.

Процесс выпуска сертификата

Чтобы выпустить сертификат, NGFW выполняет следующие действия:

Создается локальная цепочка сертификатов, подписанная корневым (самоподписанным) сертификатом;
Параллельно с созданием локальной цепочки сертификатов отправляется запрос на выпуск цепочки в Let’s Encrypt;
При успешном выпуске цепочки сертификатов Let’s Encrypt она заменит локальную цепочку;
Если выпуск цепочки сертификатов Let’s Encrypt завершился неудачей, продолжит использоваться локальная цепочка сертификатов.

Если требуется повторить попытку получения сертификата Let’s Encrypt вместо самоподписанного, то нужно нажать на кнопку Перевыпустить в столбце Управление.

Сертификат Let’s Encrypt выпускается на 3 месяца и будет автоматически перевыпущен по окончании срока действия.

Процесс перевыпуска сертификата

Перевыпуск сертификата происходит автоматически при:

Окончании срока действия сертификата;
Перевыпуске или замене корневого сертификата.

Чтобы перевыпустить не корневую цепочку сертификатов, нажмите кнопку в столбце Управление в таблице Действующие сертификаты. UTM попробует актуализировать цепочку следующим образом:

Проверит загруженные сертификаты. Если сертификат найден, то заменит действующую цепочку сертификатов на домен на найденную;
Если для данного домена новые сертификаты не загружались, Ideco NGFW обратится к Let’s Encrypt для выпуска новой цепочки;
Если цепочка от Let’s Encrypt получена, она отобразится в таблице;
Если получить цепочку сертификатов от Let’s Encrypt не удалось, создастся локальная цепочка сертификатов, подписанная корневым сертификатом.

Для перевыпуска корневого сертификата нажмите кнопку напротив соответствующей цепочки в таблице Загруженные сертификаты. UTM заменит ее на автоматически сгенерированный корневой сертификат.

При замене или перевыпуске цепочки корневого сертификата, IPsec-соединения между NGFW перестанут работать (необходимо их пересоздать).

PreviousПодключение Keenetic по SSTP или IPsec NextЗагрузка SSL-сертификата на сервер

Last updated 1 month ago