Создание сертификатов для Device VPN
Last updated
Was this helpful?
Last updated
Was this helpful?
В статье описан процесс создания сертификатов с использованием OpenSSL для подключения по Device VPN между Ideco NGFW и Ideco Client. Процесс включает два этапа:
1. Создание корневого сертификата с защищенным приватным ключом.
2. Создание сертификатов для пользовательских устройств на основе этого корневого сертификата.
1. Сгенерируйте приватный ключ корневого сертификата, защищенный passphrase:
-des3
- приватный ключ зашифрован алгоритмом Triple DES (3DES);
ideco-dvpn_root-ca.key
- файл, содержащий приватный ключ.
2. Сгенерируйте корневой сертификат, используя приватный ключ корневого сертификата:
-nodes
- не шифровать приватный ключ сертификата;
-sha256
- использовать алгоритм SHA256 при создании сертификата;
-days 1825
- срок действия сертификата в днях;
ideco-dvpn_root-ca.key
- файл, содержащий приватный ключ корневого сертификата;
ideco-dvpn_root-ca.pem
- файл, содержащий корневой сертификат.
3. Заполните параметры сертификата:
Common Name (eg, your name or your server's hostname) - обязательная строка для заполнения.
4. Проверьте, что сертификат был успешно создан командой:
Корневой сертификат должен иметь атрибут CA:TRUE
;
ideco-dvpn_root-ca.pem
- файл, содержащий корневой сертификат.
5. В разделе Пользователи -> Ideco Client в поле Доверенный сертификат загрузите созданый сертификат ideco-dvpn_root-ca.pem
без приватного ключа:
После этого корневой сертификат будет необходим для создания пользовательских сертификатов.
1. Сгенерируйте приватный ключ без применения шифрования (в дальнейшем незашифрованный ключ размещается в пользовательском пространстве администратора, куда у пользователей не будет доступа):
client1-dvpn.key
- файл, содержащий приватный ключ.
2. Сгенерируйте запрос на выпуск пользовательского сертификата с использованием приватного ключа:
client1-dvpn.key
- файл, содержащий приватный ключ;
client1-dvpn.csr
- файл, содержащий зашифрованный запрос на выпуск сертификата.
3. Заполните параметры сертификата:
Common Name (eg, your name or your server's hostname) - обязательная строка для заполнения.
4. Создайте файл расширений сертификата для использования в генерации сертификата:
В этом файле используется subjectAltName (SAN) и указывается DNS-имя пользовательского устройства. DNS-имя используется в качестве имени пользователя Device VPN на Ideco NGFW.
5. Сгенерируйте сертификат пользовательского устройства от корневого сертификата для Device VPN. Это может сделать администратор, используя зашифрованный приватный ключ от корневого сертификата для Device VPN:
client1-dvpn.csr
- файл, содержащий зашифрованный запрос на выпуск сертификата;
ideco-dvpn_root-ca.pem
- файл, содержащий корневой сертификат;
ideco-dvpn_root-ca.key
- файл, содержащий приватный ключ корневого сертификата;
client1-dvpn.crt
- файл, содержащий пользовательский сертификат.
6. Проверьте, что сертификат был успешно создан командой:
client1-dvpn.crt
- файл, содержащий пользовательский сертификат;
Cертификат должен иметь атрибут CA:FALSE
и Subject Key Identifier
.
7. Объедините приватный ключ и сертификат пользовательского устройства:
client1-dvpn.key
- файл, содержащий приватный ключ;
client1-dvpn.crt
- файл, содержащий пользовательский сертификат;
client1-dvpn.pem
- файл, содержащий пользовательский сертификат с приватным ключом внутри.
8. Сертификат client1-dvpn.pem
с приватным ключом внутри, полученный на этом этапе, устанавливается на пользовательском устройстве и используется в параметрах Ideco Client.