Ideco NGFW
Скачать PDF
v7.9
v7.9
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Системные требования
    • Подготовка к установке
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Подключение к провайдеру
      • Подключение по Ethernet
      • Подключение по PPPoE
      • Подключение по PPTP (VPN)
      • Подключение по L2TP (VPN)
      • Подключение по 3G, 4G (LTE)
      • Одновременное подключение к нескольким провайдерам
    • Управление пользователями
      • Дерево пользователей
      • Управление учетными записями пользователей
      • Настройка учетных записей пользователей
      • Интеграция с Active Directory
        • Ввод сервера в домен
        • Импорт пользователей
        • Авторизация пользователей
          • Скрипты автоматической авторизации/разавторизации
      • Пользователи терминального сервера
      • Wi-Fi сети
    • Типы авторизации
      • Авторизация по IP-адресу
      • Авторизация по PPPoE
      • Авторизация по PPTP
      • Веб-авторизация
      • Single Sign-On аутентификация через Active Directory
      • Авторизация через Ideco Agent
    • Публикация ресурсов
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка почтового релея для публикации сервера в локальной сети
      • Портмаппинг (проброс портов, DNAT)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Доступ из внешней сети без NAT
      • Доступ до внешних ресурсов без авторизации
    • Мониторинг
      • Пересылка системных сообщений
      • SNMP
      • Интеграция с Zabbix
    • Правила доступа
      • Файрвол
      • Контроль приложений
        • Описание протоколов
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
      • Объекты
      • Администраторы
        • Удаленный доступ по SSH
      • Пользовательские квоты
      • Защита от bruteforce-атак
    • Сервисы
      • Маршрутизация
      • Обнаружение устройств
      • Профили выхода в Интернет
      • Прокси
        • Подключение к внешним ICAP-сервисам
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси-сервером
      • Почтовый сервер
        • Подготовка к настройке почтового сервера
        • Настройка почтового сервера
        • Настройка почтовых клиентов
        • Web-почта
        • Переадресация почты (почтовые алиасы)
        • Дополнительные возможности и антиспам
        • Настройка почтового релея
        • Fetchmail
        • Рекомендации по защите сервера
        • Схема фильтрации почтового трафика
      • Обратный прокси
        • Протестированные CMS
        • Web Application Firewall
      • DNS
      • DHCP
      • Туннельные протоколы VPN
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение пользователей
            • Подключение устройств
          • OpenVPN
          • PPTP VPN
          • Подключение Keenetic по SSTP
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM с использованием OpenVPN
          • Подключение Kerio Control к Ideco UTM по IPSec
        • Подключение пользователей (client-to-site)
          • IPSec IKEv2
            • Скрипт автоматического создания пользовательских подключений по IPSec IKEv2
          • SSTP
            • Скрипт автоматического создания пользовательских подключений по SSTP
            • Подключение Wi-Fi роутеров Keenetic
          • L2TP/IPSec
            • Скрипт автоматического создания пользовательских подключений по L2TP/IPSec
          • PPTP
          • Особенности маршрутизации и организации доступа
          • Веб-кабинет пользователя
          • Инструкция по запуску PowerShell-скриптов
            • Инструкция по созданию подключения в Windows 7
      • Дополнительно
    • Отчеты
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Обслуживание сервера
      • Обновление сервера
      • Удаленный доступ для управления сервером
      • Регистрация сервера
      • Резервное копирование и восстановление данных
      • Режим удаленного помощника
  • Популярные рецепты
    • Популярные рецепты
      • Проверка настроек фильтрации с помощью security.ideco.ru
      • Что делать если ваш IP попал в черные списки DNSBL
      • Настройка программы Proxifier для прямых подключений к прокси-серверу
      • Установка доверенного SSL сертификата на сервер
      • Доступ в удаленные сети через роутер в локальной сети
      • Перенос данных и настроек на другой сервер
      • Выбор аппаратной платформы для Ideco UTM
      • Восстановление пароля администратора
        • Для версий 6.0 - 7.6
      • Особенности подключения через ADSL-модем
      • Использование ics_tune.sh
      • Блокировка популярных ресурсов
      • Что делать если не работает Интернет
  • Changelog
    • Версия Ideco UTM 7.Х.Х
Powered by GitBook
On this page
  • Зашифрованный приватный ключ
  • Инструкция по созданию сертификата на OC Windows.

Was this helpful?

  1. Популярные рецепты
  2. Популярные рецепты

Установка доверенного SSL сертификата на сервер

После покупки доверенного SSL сертификата у CA в Интернет (Certificate Authority) перед помещением его на Ideco UTM, вам нужно создать текстовый файл вида:

-----BEGIN PRIVATE KEY-----
.....
.....
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----

Этот файл состоит из двух логических блоков: блок с приватным ключом и блок сертификатов, состоящий из корневого сертификата, сертификата на домен и vendor-сертификатов. Файл начинается с блока с приватным ключом, ниже следует блок с сертификатами, которые вам пришлет CA. Будьте внимательны: помимо корневого и сертификата на домен, CA, скорее всего, вышлет и дополнительные vendor-сертификаты, так называемый bundle сертификат, состоящий из нескольких дополнительных сертификатов в одном файле (бандле). Эту связку сертификатов нужно обязательно добавить после основного сертификата, выданного на ваш домен. Порядок блоков в файле можно представить так:

Приватный ключ
Сертификат на домен
Сертификат из состава бандла vendor-сертификатов
Сертификат из состава бандла vendor-сертификатов
...
Основной (корневой) сертификат

После этого вы можете поместить полученный файл с приватным ключом и сертификатом на UTM через веб-интерфейс. Это осуществляется в разделе Сервисы -> Почтовый сервер -> Общие -> SSL-сертификат для SMTP, IMAP, POP3.

Чтобы добавить доверенный сертификат для веб-интерфейса почтового сервера, нужно изменить файл сертификата в правиле для публикации веб-почты в разделе Сервисы -> Обратный Прокси.

Зашифрованный приватный ключ

Поддерживается только стандартный формат приватного ключа: незашифрованный (decrypted) PEM. Такой ключ начинается со строки:

-----BEGIN RSA PRIVATE KEY-----

Бывает, что CA выдает зашифрованный (encrypted) с помощью passphrase (фразы-пароля) приватный ключ. В таком случае вам нужно расшифровать (конвертировать) зашифрованный ключ в обычный, используя утилиту openssl или, если CA предоставляет другие инструменты для этого, воспользоваться ими. Список параметров вызова openssl для конвертации ключа в незашифрованный вид зависит от технологии шифрования ключа у CA и должен быть описан в инструкции по установке сертификата от CA. Поместить и использовать на сервере Ideco UTM зашифрованный приватный ключ нельзя.

Инструкция по созданию сертификата на OC Windows.

-----BEGIN CERTIFICATE-----
..............
..............
-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----
..............
..............
-----END ENCRYPTED PRIVATE KEY-----

или такую структуру:

-----BEGIN CERTIFICATE-----
..............
..............
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
..............
..............
-----END RSA PRIVATE KEY-----

Если в сертификате написано BEGIN ENCRYPTED PRIVATE KEY, то нужно его расшифровать с помощью утилиты openssl. Команда: openssl rsa -in certificate.pem -out certificate_decoded.pem. certificate.pem - файл который вы получили после конвертации на шаге Г certificate_decode.pem - результат раcшифровки Если в сертификате написано BEGIN RSA PRIVATE KEY, то файл сертификата уже расшифрован и можно приступать к следующему пункту. 4. Создайте пустой файл с расширением pem (my_certificate.pem). 5. Откройте его с помощью текстового редактора (например блокнот). 6. Откройте файл который у вас получился на третьем шаге (certificate_decode.pem). Из этого файла нужно скопировать текст (это приватный ключ):

-----BEGIN RSA PRIVATE KEY-----
..............
..............
-----END RSA PRIVATE KEY-----

Вставить скопированный текст в файл который вы создавали на четвёртом шаге (my_certificate.pem). 7. Перейдите в файл который у вас получился на третьем шаге (certificate_decode.pem). Из этого файла нужно скопировать текст (сертификат вашего домена):

-----BEGIN CERTIFICATE-----
..............
..............
-----END CERTIFICATE-----

Вставить скопированный текст в файл который вы создавали на четвёртом шаге (my_certificate.pem). 8. CA помимо вашего сертификата должен был выслать вам bundle сертификат (их может быть несколько) и корневой сертификат, если этих сертификатов у вас нет, то их можно скачать в интернете или запросить у вашего CA. 9. Из bundle сертификатов и корневого сертификата нужно будет скопировать текст вида:

-----BEGIN CERTIFICATE-----
..............
..............
-----END CERTIFICATE-----

Вставить скопированный текст в файл который вы создавали на четвёртом шаге (my_certificate.pem). В начале нужно будет вставить текст из bundle сертификатов, а в самом конце текст корневого сертификата. 10. В итоге у вас получится файл из блоков:

Приватный ключ
Сертификат на домен
Сертификат из состава бандла vendor-сертификатов
Сертификат из состава бандла vendor-сертификатов
.........
Корневой сертификат

11. Получившийся файл загрузить в UTM. Это осуществляется в разделе Сервисы -> Почтовый сервер -> Общие -> SSL-сертификат для SMTP, IMAP, POP3.

PreviousНастройка программы Proxifier для прямых подключений к прокси-серверуNextДоступ в удаленные сети через роутер в локальной сети

Last updated 3 years ago

Was this helpful?

С общепринятым стандартом создания файла-цепочки сертификатов можно также ознакомиться здесь:

1. Скачать программу openssl. Ссылка на программу: 2. Установить openssl. Инструкция по установке: 3. Если файл сертификата в формате pkcs12: (если в формате pem, то можно сразу переходить к подпункту Д) а. Поместить этот файл в директорию C:\OpenSSL-Win64\bin (т.е. в ту папку куда установлена программа openssl). б. Открыть командную строку. в. В командной строке перейти в директорию где установлена openssl. г. Ввести команду openssl pkcs12 -in certificate.pkcs12 -out certificate.pem (с помощью этой команды вы сконвертируйте сертификат в нужный формат). certificate.pkcs12 - исходный сертификат который вы получили у центра сертификации (далее CA) certificate.pem - результат конвертации д. Открыть полученный файл (например в блокноте). е. Файл имеет следующую структуру:

https://www.digicert.com/ssl-support/pem-ssl-creation.htm
http://slproweb.com/products/Win32OpenSSL.html
http://iljin-oleg.blogspot.com/2012/12/openssl-openssl-ssl-secure-socket-layer.html