Создание сертификатов для Device VPN
Last updated
Was this helpful?
Last updated
Was this helpful?
В статье описан процесс создания сертификатов с использованием OpenSSL для подключения по между Ideco NGFW и Ideco Client. Процесс включает два этапа:
1. Создание корневого сертификата с защищенным приватным ключом.
2. Создание сертификатов для пользовательских устройств на основе этого корневого сертификата.
1. Сгенерируйте приватный ключ корневого сертификата, защищенный passphrase:
-des3
- приватный ключ зашифрован алгоритмом Triple DES (3DES);
ideco-dvpn_root-ca.key
- файл, содержащий приватный ключ.
2. Сгенерируйте корневой сертификат, используя приватный ключ корневого сертификата:
-nodes
- не шифровать приватный ключ сертификата;
-sha256
- использовать алгоритм SHA256 при создании сертификата;
-days 1825
- срок действия сертификата в днях;
ideco-dvpn_root-ca.key
- файл, содержащий приватный ключ корневого сертификата;
ideco-dvpn_root-ca.pem
- файл, содержащий корневой сертификат.
3. Заполните параметры сертификата:
Common Name (eg, your name or your server's hostname) - обязательная строка для заполнения.
4. Проверьте, что сертификат был успешно создан командой:
Корневой сертификат должен иметь атрибут CA:TRUE
;
ideco-dvpn_root-ca.pem
- файл, содержащий корневой сертификат.
5. В разделе Пользователи -> Ideco Client в поле Доверенный сертификат загрузите созданый сертификат ideco-dvpn_root-ca.pem
без приватного ключа:
После этого корневой сертификат будет необходим для создания пользовательских сертификатов.
1. Сгенерируйте приватный ключ без применения шифрования (в дальнейшем незашифрованный ключ размещается в пользовательском пространстве администратора, куда у пользователей не будет доступа):
client1-dvpn.key
- файл, содержащий приватный ключ.
2. Сгенерируйте запрос на выпуск пользовательского сертификата с использованием приватного ключа:
client1-dvpn.key
- файл, содержащий приватный ключ;
client1-dvpn.csr
- файл, содержащий зашифрованный запрос на выпуск сертификата.
3. Заполните параметры сертификата:
Common Name (eg, your name or your server's hostname) - обязательная строка для заполнения.
4. Создайте файл расширений сертификата для использования в генерации сертификата:
В этом файле используется subjectAltName (SAN) и указывается DNS-имя пользовательского устройства. DNS-имя используется в качестве имени пользователя Device VPN на Ideco NGFW.
client1-dvpn.csr
- файл, содержащий зашифрованный запрос на выпуск сертификата;
ideco-dvpn_root-ca.pem
- файл, содержащий корневой сертификат;
ideco-dvpn_root-ca.key
- файл, содержащий приватный ключ корневого сертификата;
client1-dvpn.crt
- файл, содержащий пользовательский сертификат.
6. Проверьте, что сертификат был успешно создан командой:
client1-dvpn.crt
- файл, содержащий пользовательский сертификат;
Cертификат должен иметь атрибут CA:FALSE
и Subject Key Identifier
.
7. Объедините приватный ключ и сертификат пользовательского устройства:
client1-dvpn.key
- файл, содержащий приватный ключ;
client1-dvpn.crt
- файл, содержащий пользовательский сертификат;
client1-dvpn.pem
- файл, содержащий пользовательский сертификат с приватным ключом внутри.
8. Сертификат client1-dvpn.pem
с приватным ключом внутри, полученный на этом этапе, устанавливается на пользовательском устройстве и используется в параметрах Ideco Client.
5. Сгенерируйте сертификат пользовательского устройства от . Это может сделать администратор, используя зашифрованный от корневого сертификата для Device VPN: