Создание сертификатов для Device VPN

В статье описан процесс создания сертификатов с использованием OpenSSL для подключения по между Ideco NGFW и Ideco Client. Процесс включает два этапа:

1. Создание корневого сертификата с защищенным приватным ключом.

2. Создание сертификатов для пользовательских устройств на основе этого корневого сертификата.

Создание корневого сертификата

1. Сгенерируйте приватный ключ корневого сертификата, защищенный passphrase:

openssl genrsa -des3 -out ideco-dvpn_root-ca.key 4096

-des3 - приватный ключ зашифрован алгоритмом Triple DES (3DES);
ideco-dvpn_root-ca.key - файл, содержащий приватный ключ.

2. Сгенерируйте корневой сертификат, используя приватный ключ корневого сертификата:

openssl req -x509 -new -sha256 -days 1825 -key ideco-dvpn_root-ca.key -nodes -out ideco-dvpn_root-ca.pem

-nodes - не шифровать приватный ключ сертификата;
-sha256 - использовать алгоритм SHA256 при создании сертификата;
-days 1825 - срок действия сертификата в днях;
ideco-dvpn_root-ca.key - файл, содержащий приватный ключ корневого сертификата;
ideco-dvpn_root-ca.pem - файл, содержащий корневой сертификат.

3. Заполните параметры сертификата:

Common Name (eg, your name or your server's hostname) - обязательная строка для заполнения.

Расшифровка строк

Country Name (2 letter code) [XX] — код страны в формате ISO 3166-1 alpha-2 (например, RU);
State or Province Name (full name) — название региона или области (например, Moscow);
Locality Name (eg, city) [Default City] — название города (например, Saint Petersburg);
Organization Name (eg, company) [Default Company Ltd] — название организации;
Organizational Unit Name (eg, section) [] — название подразделения организации;
Common Name (eg, your name or your server's hostname) [] — наименование сертификата;
Email Address [] — контактный email.

4. Проверьте, что сертификат был успешно создан командой:

openssl x509 -text -noout -in ideco-dvpn_root-ca.pem

Корневой сертификат должен иметь атрибут CA:TRUE;
ideco-dvpn_root-ca.pem - файл, содержащий корневой сертификат.

5. В разделе Пользователи -> Ideco Client в поле Доверенный сертификат загрузите созданый сертификат ideco-dvpn_root-ca.pem без приватного ключа:

После этого корневой сертификат будет необходим для создания пользовательских сертификатов.

Создание пользовательского сертификата для конечного устройства

1. Сгенерируйте приватный ключ без применения шифрования (в дальнейшем незашифрованный ключ размещается в пользовательском пространстве администратора, куда у пользователей не будет доступа):

openssl genrsa -out client1-dvpn.key 4096

client1-dvpn.key - файл, содержащий приватный ключ.

2. Сгенерируйте запрос на выпуск пользовательского сертификата с использованием приватного ключа:

openssl req -new -key client1-dvpn.key -out client1-dvpn.csr

client1-dvpn.key - файл, содержащий приватный ключ;
client1-dvpn.csr - файл, содержащий зашифрованный запрос на выпуск сертификата.

3. Заполните параметры сертификата:

Common Name (eg, your name or your server's hostname) - обязательная строка для заполнения.

Расшифровка строк

Country Name (2 letter code) [XX] — код страны в формате ISO 3166-1 alpha-2 (например, RU);
State or Province Name (full name) — название региона или области (например, Moscow);
Locality Name (eg, city) [Default City] — название города (например, Saint Petersburg);
Organization Name (eg, company) [Default Company Ltd] — название организации;
Organizational Unit Name (eg, section) [] — название подразделения организации;
Common Name (eg, your name or your server's hostname) [] — наименование сертификата;
Email Address [] — контактный email.

4. Создайте файл расширений сертификата для использования в генерации сертификата:

File: client1-dvpn.ext
# client1 certificate
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = client1.lan1.ru

В этом файле используется subjectAltName (SAN) и указывается DNS-имя пользовательского устройства. DNS-имя используется в качестве имени пользователя Device VPN на Ideco NGFW.

openssl x509 -req -in client1-dvpn.csr -CA ideco-dvpn_root-ca.pem -CAkey ideco-dvpn_root-ca.key -CAcreateserial -out client1-dvpn.crt -days 825 -sha256 -extfile client1-dvpn.ext

client1-dvpn.csr - файл, содержащий зашифрованный запрос на выпуск сертификата;
ideco-dvpn_root-ca.pem - файл, содержащий корневой сертификат;
ideco-dvpn_root-ca.key - файл, содержащий приватный ключ корневого сертификата;
client1-dvpn.crt - файл, содержащий пользовательский сертификат.

6. Проверьте, что сертификат был успешно создан командой:

openssl x509 -text -noout -in client1-dvpn.crt

client1-dvpn.crt - файл, содержащий пользовательский сертификат;
Cертификат должен иметь атрибут CA:FALSE и Subject Key Identifier.

7. Объедините приватный ключ и сертификат пользовательского устройства:

cat client1-dvpn.key client1-dvpn.crt > client1-dvpn.pem

client1-dvpn.key - файл, содержащий приватный ключ;
client1-dvpn.crt - файл, содержащий пользовательский сертификат;
client1-dvpn.pem - файл, содержащий пользовательский сертификат с приватным ключом внутри.

8. Сертификат client1-dvpn.pem с приватным ключом внутри, полученный на этом этапе, устанавливается на пользовательском устройстве и используется в параметрах Ideco Client.

PreviousНастройка Device VPN NextБалансировка VPN-подключений

Last updated 29 days ago

Was this helpful?