Установка доверенного SSL сертификата на сервер
После покупки доверенного SSL сертификата у CA в Интернет (Certificate Authority) перед помещением его на Ideco UTM, вам нужно создать текстовый файл вида:
-----BEGIN PRIVATE KEY-----
.....
.....
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
Этот файл состоит из двух логических блоков: блок с приватным ключом и блок сертификатов, состоящий из корневого сертификата, сертификата на домен и vendor-сертификатов. Файл начинается с блока с приватным ключом, ниже следует блок с сертификатами, которые вам пришлет CA. Будьте внимательны: помимо корневого и сертификата на домен, CA, скорее всего, вышлет и дополнительные vendor-сертификаты, так называемый bundle сертификат, состоящий из нескольких дополнительных сертификатов в одном файле (бандле). Эту связку сертификатов нужно обязательно добавить �после основного сертификата, выданного на ваш домен. Порядок блоков в файле можно представить так:
Приватный ключ
Сертификат на домен
Сертификат из состава бандла vendor-сертификатов
Сертификат из состава бандла vendor-сертификатов
...
Основной (корневой) сертификат
После этого вы можете поместить полученный файл с приватным ключом и сертификатом на UTM через веб-интерфейс. Это осуществляется в разделе Сервисы -> Почтовый сервер -> Общие -> SSL-сертификат для SMTP, IMAP, POP3.
Чтобы добавить доверенный сертификат для веб-интерфейса почтового сервера, нужно изменить файл сертификата в правиле для публикации веб-почты в разделе Сервисы -> Обратный Прокси.
С общепринятым стандартом создания файла-цепочки сертификатов можно также ознакомиться здесь: https://www.digicert.com/ssl-support/pem-ssl-creation.htm
Поддерживается только стандартный формат приватного ключа: незашифрованный (decrypted) PEM. Такой ключ начинается со строки:
-----BEGIN RSA PRIVATE KEY-----
Бывает, что CA выдает зашифрованный (encrypted) с помощью passphrase (фразы-пароля) приватный ключ. В таком случае вам нужно расшифровать (конвертировать) зашифрованный ключ в обычный, используя утилиту openssl или, если CA предоставляет другие инструменты для этого, воспользоваться ими. Список параметров вызова openssl для конвертации ключа в незашифрованный вид зависит от технологии шифрования ключа у CA и должен быть описан в инструкции по установке сертификата от CA. Поместить и использовать на сервере Ideco UTM зашифрованный приватный ключ нельзя.
1. Скачать программу openssl. Ссылка на программу: http://slproweb.com/products/Win32OpenSSL.html
2. Установить openssl. Инструкция по установке: http://iljin-oleg.blogspot.com/2012/12/openssl-openssl-ssl-secure-socket-layer.html
3. Если файл сертификата в формате pkcs12: (если в формате pem, то можно сразу переходить к подпункту Д)
а. Поместить этот файл в директорию C:\OpenSSL-Win64\bin (т.е. в ту папку куда установлена программа openssl).
б. Открыть командную строку.
в. В командной строке перейти в директорию где установлена openssl.
г. Ввести команду openssl pkcs12 -in certificate.pkcs12 -out certificate.pem (с помощью этой команды вы сконвертируйте сертификат в нужный формат).
certificate.pkcs12 - исходный сертификат который вы получили у центра сертификации (далее CA)
certificate.pem - результат конвертации
д. Открыть полученный файл (например в блокноте).
е. Файл имеет следующую структуру:
-----BEGIN CERTIFICATE-----
..............
..............
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
..............
..............
-----END ENCRYPTED PRIVATE KEY-----
или такую структуру:
-----BEGIN CERTIFICATE-----
..............
..............
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
..............
..............
-----END RSA PRIVATE KEY-----
Если в сертификате написано BEGIN ENCRYPTED PRIVATE KEY, то нужно его расшифровать с помощью утилиты openssl.
Команда: openssl rsa -in certificate.pem -out certificate_decoded.pem.
certificate.pem - файл который вы получили после конвертации на шаге Г
certificate_decode.pem - результат раcшифровки
Если в сертификате написано BEGIN RSA PRIVATE KEY, то файл сертификата уже расшифрован и можно приступать к следующему пункту.
4. Создайте пустой файл с расширением pem (my_certificate.pem).
5. Откройте его с помощью текстового редактора (например блокнот).
6. Откройте файл который у вас получился на третьем шаге (certificate_decode.pem). Из этого файла нужно скопировать текст (это приватный ключ):
-----BEGIN RSA PRIVATE KEY-----
..............
..............
-----END RSA PRIVATE KEY-----
Вставить скопированный текст в файл который вы создавали на четвёртом шаге (my_certificate.pem).
7. Перейдите в файл который у вас получился на третьем шаге (certificate_decode.pem). Из этого файла нужно скопировать текст (сертификат вашего домена):
-----BEGIN CERTIFICATE-----
..............
..............
-----END CERTIFICATE-----
Вставить скопированный текст в файл который вы создавали на четвёртом шаге (my_certificate.pem).
8. CA помимо вашего сертификата должен был выслать вам bundle сертификат (их может быть несколько) и корневой сертификат, если этих сертификатов у вас нет, то их можно скачать в интернете или запросить у вашего CA.
9. Из bundle сертификатов и корневого сертификата нужно будет скопировать текст вида:
-----BEGIN CERTIFICATE-----
..............
..............
-----END CERTIFICATE-----
Вставить скопированный текст в файл который вы создавали на четвёртом шаге (my_certificate.pem). В начале нужно будет вставить текст из bundle сертификатов, а в самом конце текст корневого сертификата.
10. В итоге у вас получится файл из блоков:
Приватный ключ
Сертификат на до�мен
Сертификат из состава бандла vendor-сертификатов
Сертификат из состава бандла vendor-сертификатов
.........
Корневой сертификат
11. Получившийся файл загрузить в UTM. Это осуществляется в разделе Сервисы -> Почтовый сервер -> Общие -> SSL-сертификат для SMTP, IMAP, POP3.