Создание сертификатов для Device VPN
В статье описан процесс создания сертификатов с использованием OpenSSL для подключения по Device VPN между Ideco NGFW и Ideco Client. Процесс включает в себя два этапа:
1. Создание корневого сертификата с защищенным приватным ключом.
2. Создание сертификатов для пользовательских устройств на основе этого корневого сертификата.
Создание корневого сертификата
1. Сгенерируйте приватный ключ корневого сертификата, защищенный passphrase:
-des3- приватный ключ зашифрован алгоритмом Triple DES (3DES);ideco-dvpn_root-ca.key- файл, содержащий приватный ключ.
2. Сгенерируйте корневой сертификат, используя приватный ключ корневого сертификата:
-nodes- не шифровать приватный ключ сертификата;-sha256- использовать алгоритм SHA256 при создании сертификата;-days 1825- срок действия сертификата в днях;ideco-dvpn_root-ca.key- файл, содержащий приватный ключ корневого сертификата;ideco-dvpn_root-ca.pem- файл, содержащий корневой сертификат.
3. Проверьте, что сертификат был успешно создан командой:
Корневой сертификат должен иметь атрибут
CA:TRUE;ideco-dvpn_root-ca.pem- файл, содержащий корневой сертификат.
4. В разделе Пользователи -> Ideco Client в поле Доверенный сертификат загрузите созданый сертификат ideco-dvpn_root-ca.pem без приватного ключа:
После этого корневой сертификат будет необходим для создания пользовательских сертификатов.
Создание пользовательского сертификата для конечного устройства
1. Сгенерируйте приватный ключ без применения шифрования (в дальнейшем незашифрованный ключ размещается в пользовательском пространстве администратора, куда у пользователей не будет доступа):
client1-dvpn.key- файл, содержащий приватный ключ.
2. Сгенерируйте запрос на выпуск пользовательского сертификата с использованием приватного ключа:
client1-dvpn.key- файл, содержащий приватный ключ;client1-dvpn.csr- файл, содержащий зашифрованный запрос на выпуск сертификата.
3. Создайте файл расширений сертификата для использования в генерации сертификата:
В этом файле используется subjectAltName (SAN) и указывается DNS-имя пользовательского устройства. DNS-имя используется в качестве имени пользователя Device VPN на Ideco NGFW.
4. Сгенерируйте сертификат пользовательского устройства от корневого сертификата для Device VPN. Это может сделать администратор, используя зашифрованный приватный ключ от корневого сертификата для Device VPN:
client1-dvpn.csr- файл, содержащий зашифрованный запрос на выпуск сертификата;ideco-dvpn_root-ca.pem- файл, содержащий корневой сертификат;ideco-dvpn_root-ca.key- файл, содержащий приватный ключ корневого сертификата;client1-dvpn.crt- файл, содержащий пользовательский сертификат.
5. Проверьте, что сертификат был успешно создан командой:
client1-dvpn.crt- файл, содержащий пользовательский сертификат;Cертификат должен иметь атрибут
CA:FALSEиSubject Key Identifier.
6. Объедините приватный ключ и сертификат пользовательского устройства:
client1-dvpn.key- файл, содержащий приватный ключ;client1-dvpn.crt- файл, содержащий пользовательский сертификат;client1-dvpn.pem- файл, содержащий пользовательский сертификат с приватным ключом внутри.
7. Сертификат client1-dvpn.pem с приватным ключом внутри, полученный на этом этапе, устанавливается на пользовательском устройстве и используется в параметрах Ideco Client.
Last updated
