Создание сертификатов для Device VPN

PreviousНастройка Device VPN NextБалансировка VPN-подключений

Last updated 7 days ago

Was this helpful?

Создание сертификатов для Device VPN

В статье описан процесс создания сертификатов с использованием OpenSSL для подключения по Device VPN между Ideco NGFW и Ideco Client. Процесс включает два этапа:

1. Создание корневого сертификата с защищенным приватным ключом.

2. Создание сертификатов для пользовательских устройств на основе этого корневого сертификата.

Создание корневого сертификата

1. Сгенерируйте приватный ключ корневого сертификата, защищенный passphrase:

openssl genrsa -des3 -out ideco-dvpn_root-ca.key 4096

-des3 - приватный ключ зашифрован алгоритмом Triple DES (3DES);
ideco-dvpn_root-ca.key - файл, содержащий приватный ключ.

2. Сгенерируйте корневой сертификат, используя приватный ключ корневого сертификата:

openssl req -x509 -new -sha256 -days 1825 -key ideco-dvpn_root-ca.key -nodes -out ideco-dvpn_root-ca.pem

-nodes - не шифровать приватный ключ сертификата;
-sha256 - использовать алгоритм SHA256 при создании сертификата;
-days 1825 - срок действия сертификата в днях;
ideco-dvpn_root-ca.key - файл, содержащий приватный ключ корневого сертификата;
ideco-dvpn_root-ca.pem - файл, содержащий корневой сертификат.

3. Заполните параметры сертификата:

Common Name (eg, your name or your server's hostname) - обязательная строка для заполнения.

Расшифровка строк

Country Name (2 letter code) [XX] — код страны в формате ISO 3166-1 alpha-2 (например, RU);
State or Province Name (full name) — название региона или области (например, Moscow);
Locality Name (eg, city) [Default City] — название города (например, Saint Petersburg);
Organization Name (eg, company) [Default Company Ltd] — название организации;
Organizational Unit Name (eg, section) [] — название подразделения организации;
Common Name (eg, your name or your server's hostname) [] — наименование сертификата;
Email Address [] — контактный email.

4. Проверьте, что сертификат был успешно создан командой:

openssl x509 -text -noout -in ideco-dvpn_root-ca.pem

Корневой сертификат должен иметь атрибут CA:TRUE;
ideco-dvpn_root-ca.pem - файл, содержащий корневой сертификат.

5. В разделе Пользователи -> Ideco Client в поле Доверенный сертификат загрузите созданый сертификат ideco-dvpn_root-ca.pem без приватного ключа:

После этого корневой сертификат будет необходим для создания пользовательских сертификатов.

Создание пользовательского сертификата для конечного устройства

1. Сгенерируйте приватный ключ без применения шифрования (в дальнейшем незашифрованный ключ размещается в пользовательском пространстве администратора, куда у пользователей не будет доступа):

openssl genrsa -out client1-dvpn.key 4096

client1-dvpn.key - файл, содержащий приватный ключ.

2. Сгенерируйте запрос на выпуск пользовательского сертификата с использованием приватного ключа:

openssl req -new -key client1-dvpn.key -out client1-dvpn.csr

client1-dvpn.key - файл, содержащий приватный ключ;
client1-dvpn.csr - файл, содержащий зашифрованный запрос на выпуск сертификата.

3. Заполните параметры сертификата:

Common Name (eg, your name or your server's hostname) - обязательная строка для заполнения.

Расшифровка строк

Country Name (2 letter code) [XX] — код страны в формате ISO 3166-1 alpha-2 (например, RU);
State or Province Name (full name) — название региона или области (например, Moscow);
Locality Name (eg, city) [Default City] — название города (например, Saint Petersburg);
Organization Name (eg, company) [Default Company Ltd] — название организации;
Organizational Unit Name (eg, section) [] — название подразделения организации;
Common Name (eg, your name or your server's hostname) [] — наименование сертификата;
Email Address [] — контактный email.

4. Создайте файл расширений сертификата для использования в генерации сертификата:

File: client1-dvpn.ext
# client1 certificate
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = client1.lan1.ru

В этом файле используется subjectAltName (SAN) и указывается DNS-имя пользовательского устройства. DNS-имя используется в качестве имени пользователя Device VPN на Ideco NGFW.

5. Сгенерируйте сертификат пользовательского устройства от корневого сертификата для Device VPN. Это может сделать администратор, используя зашифрованный приватный ключ от корневого сертификата для Device VPN:

openssl x509 -req -in client1-dvpn.csr -CA ideco-dvpn_root-ca.pem -CAkey ideco-dvpn_root-ca.key -CAcreateserial -out client1-dvpn.crt -days 825 -sha256 -extfile client1-dvpn.ext

client1-dvpn.csr - файл, содержащий зашифрованный запрос на выпуск сертификата;
ideco-dvpn_root-ca.pem - файл, содержащий корневой сертификат;
ideco-dvpn_root-ca.key - файл, содержащий приватный ключ корневого сертификата;
client1-dvpn.crt - файл, содержащий пользовательский сертификат.

6. Проверьте, что сертификат был успешно создан командой:

openssl x509 -text -noout -in client1-dvpn.crt

client1-dvpn.crt - файл, содержащий пользовательский сертификат;
Cертификат должен иметь атрибут CA:FALSE и Subject Key Identifier.

7. Объедините приватный ключ и сертификат пользовательского устройства:

cat client1-dvpn.key client1-dvpn.crt > client1-dvpn.pem

client1-dvpn.key - файл, содержащий приватный ключ;
client1-dvpn.crt - файл, содержащий пользовательский сертификат;
client1-dvpn.pem - файл, содержащий пользовательский сертификат с приватным ключом внутри.

8. Сертификат client1-dvpn.pem с приватным ключом внутри, полученный на этом этапе, устанавливается на пользовательском устройстве и используется в параметрах Ideco Client.

PreviousНастройка Device VPN NextБалансировка VPN-подключений

Last updated 7 days ago

Was this helpful?

1. Создание корневого сертификата с защищенным приватным ключом.

2. Создание сертификатов для пользовательских устройств на основе этого корневого сертификата.

Создание корневого сертификата

1. Сгенерируйте приватный ключ корневого сертификата, защищенный passphrase:

openssl genrsa -des3 -out ideco-dvpn_root-ca.key 4096

-des3 - приватный ключ зашифрован алгоритмом Triple DES (3DES);
ideco-dvpn_root-ca.key - файл, содержащий приватный ключ.

2. Сгенерируйте корневой сертификат, используя приватный ключ корневого сертификата:

openssl req -x509 -new -sha256 -days 1825 -key ideco-dvpn_root-ca.key -nodes -out ideco-dvpn_root-ca.pem

-nodes - не шифровать приватный ключ сертификата;
-sha256 - использовать алгоритм SHA256 при создании сертификата;
-days 1825 - срок действия сертификата в днях;
ideco-dvpn_root-ca.key - файл, содержащий приватный ключ корневого сертификата;
ideco-dvpn_root-ca.pem - файл, содержащий корневой сертификат.

3. Заполните параметры сертификата:

Common Name (eg, your name or your server's hostname) - обязательная строка для заполнения.

Расшифровка строк

Country Name (2 letter code) [XX] — код страны в формате ISO 3166-1 alpha-2 (например, RU);
State or Province Name (full name) — название региона или области (например, Moscow);
Locality Name (eg, city) [Default City] — название города (например, Saint Petersburg);
Organization Name (eg, company) [Default Company Ltd] — название организации;
Organizational Unit Name (eg, section) [] — название подразделения организации;
Common Name (eg, your name or your server's hostname) [] — наименование сертификата;
Email Address [] — контактный email.

4. Проверьте, что сертификат был успешно создан командой:

openssl x509 -text -noout -in ideco-dvpn_root-ca.pem

Корневой сертификат должен иметь атрибут CA:TRUE;
ideco-dvpn_root-ca.pem - файл, содержащий корневой сертификат.

После этого корневой сертификат будет необходим для создания пользовательских сертификатов.

Создание пользовательского сертификата для конечного устройства

openssl genrsa -out client1-dvpn.key 4096

client1-dvpn.key - файл, содержащий приватный ключ.

2. Сгенерируйте запрос на выпуск пользовательского сертификата с использованием приватного ключа:

openssl req -new -key client1-dvpn.key -out client1-dvpn.csr

client1-dvpn.key - файл, содержащий приватный ключ;
client1-dvpn.csr - файл, содержащий зашифрованный запрос на выпуск сертификата.

3. Заполните параметры сертификата:

Common Name (eg, your name or your server's hostname) - обязательная строка для заполнения.

Расшифровка строк

Country Name (2 letter code) [XX] — код страны в формате ISO 3166-1 alpha-2 (например, RU);
State or Province Name (full name) — название региона или области (например, Moscow);
Locality Name (eg, city) [Default City] — название города (например, Saint Petersburg);
Organization Name (eg, company) [Default Company Ltd] — название организации;
Organizational Unit Name (eg, section) [] — название подразделения организации;
Common Name (eg, your name or your server's hostname) [] — наименование сертификата;
Email Address [] — контактный email.

4. Создайте файл расширений сертификата для использования в генерации сертификата:

File: client1-dvpn.ext
# client1 certificate
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = client1.lan1.ru

В этом файле используется subjectAltName (SAN) и указывается DNS-имя пользовательского устройства. DNS-имя используется в качестве имени пользователя Device VPN на Ideco NGFW.

openssl x509 -req -in client1-dvpn.csr -CA ideco-dvpn_root-ca.pem -CAkey ideco-dvpn_root-ca.key -CAcreateserial -out client1-dvpn.crt -days 825 -sha256 -extfile client1-dvpn.ext

client1-dvpn.csr - файл, содержащий зашифрованный запрос на выпуск сертификата;
ideco-dvpn_root-ca.pem - файл, содержащий корневой сертификат;
ideco-dvpn_root-ca.key - файл, содержащий приватный ключ корневого сертификата;
client1-dvpn.crt - файл, содержащий пользовательский сертификат.

6. Проверьте, что сертификат был успешно создан командой:

openssl x509 -text -noout -in client1-dvpn.crt

client1-dvpn.crt - файл, содержащий пользовательский сертификат;
Cертификат должен иметь атрибут CA:FALSE и Subject Key Identifier.

7. Объедините приватный ключ и сертификат пользовательского устройства:

cat client1-dvpn.key client1-dvpn.crt > client1-dvpn.pem

client1-dvpn.key - файл, содержащий приватный ключ;
client1-dvpn.crt - файл, содержащий пользовательский сертификат;
client1-dvpn.pem - файл, содержащий пользовательский сертификат с приватным ключом внутри.