Сертификаты

Общая информация

В этом разделе отображаются SSL-сертификаты или цепочки сертификатов, список которых формируется модулем веб-интерфейса, веб-аутентификации.

Для просмотра основной информации о сертификате нажмите кнопку .

Действующие сертификаты

В таблице Действующие сертификаты отображаются:

• Автоматически сгенерированные цепочки сертификатов;

• Загруженные цепочки сертификатов, используемые модулями Ideco NGFW VPP.

Загруженные сертификаты

В таблице Загруженные сертификаты отображаются:

• Все загруженные цепочки сертификатов;

• Корневой сертификат Ideco NGFW VPP.

Логика работы

NGFW VPP позволяет выпустить или загрузить корневые и не корневые (пользовательские) сертификаты.

Корневые сертификаты обязательно должны иметь разрешение выдавать дочерние сертификаты X509v3 Basic Constraints: CA: TRUE. При первоначальной установке и запуске NGFW VPP корневой (самоподписанный) сертификат генерируется автоматически. Его можно скачать, нажав на соответствующую кнопку.

Пользовательские сертификаты - любые сертификаты на домен. Могут быть как подписанными корпоративным корневым сертификатом, так и выданными Certificate Authority (CA) или Центрами сертификации. NGFW VPP автоматически генерирует и подписывает сертификаты на домены, которые вы указываете для модулей.

Процесс выпуска сертификата

Чтобы выпустить сертификат, NGFW VPP выполняет следующие действия:

1. Создает локальную цепочку сертификатов, подписанную корневым (самоподписанным) сертификатом;

2. Параллельно с созданием локальной цепочки сертификатов отправляется запрос на выпуск цепочки в Let’s Encrypt;

3. При успешном выпуске цепочки сертификатов Let’s Encrypt она заменит локальную цепочку;

4. Если выпуск цепочки сертификатов Let’s Encrypt завершился неудачей, продолжит использовать локальную цепочку сертификатов.

Если требуется повторить попытку получения сертификата Let’s Encrypt вместо самоподписанного, то нужно нажать на кнопку Перевыпустить в столбце Управление.

Сертификат Let’s Encrypt выпускается на 3 месяца и будет автоматически перевыпущен по окончании срока действия.

С 17 версии Ideco NGFW VPP автоматически сгенерированные NGFW VPP пользовательские сертификаты выпускаются на 825 дней и будут автоматически перевыпущены по окончании срока действия. В предыдущих версиях срок действия таких сертификатов составлял 10 лет.

Процесс перевыпуска сертификата

Чтобы перевыпустить не корневую цепочку сертификатов, нажмите кнопку в столбце Управление в таблице Действующие сертификаты. NGFW VPP попробует актуализировать цепочку следующим образом:

• Проверит загруженные сертификаты. Если сертификат найден, то заменит действующую цепочку сертификатов на домен на найденную;

• Если для данного домена новые сертификаты не загружались, Ideco NGFW VPP обратится к Let’s Encrypt для выпуска новой цепочки;

• Если цепочка от Let’s Encrypt получена, она отобразится в таблице;

• Если получить цепочку сертификатов от Let’s Encrypt не удалось, продолжит использовать локальную цепочку сертификатов.

Для перевыпуска корневого сертификата нажмите кнопку напротив соответствующей цепочки в таблице Загруженные сертификаты. NGFW VPP заменит ее на автоматически сгенерированный корневой сертификат.

Чтобы перевыпустить локальную цепочку сертификатов, выполните действия:

1. Перейдите в раздел Управление сервером -> Терминал.

2. Перейдите в директорию /var/cache/ideco/cert-backend, выполнив команду:

cd /var/cache/ideco/cert-backend

3. Выведите содержимое директории, выполнив команду ls.

4. Скопируйте название файла сертификата, который требуется перевыпустить. Названия файлов будут иметь вид: test.ideco.ru-self-sign_chain_833bcda78229059d2c2886548c75e9e3.pem , где:

• test.ideco.ru - Доменное имя или IP-адрес, на который выпущен сертификат.

5. Удалите файл, выполнив команду:

rm test.ideco.ru-self-sign_chain_d1f73bf1fcc4d55ca31004ecb13d19b3.pem

6. Перейдите в раздел Сервисы -> Сертификаты -> Действующие сертификаты и перевыпустите сертификат на домен или IP-адрес NGFW VPP, нажав на .

Проверить, перевыпустился ли сертификат на новый срок, можно , нажав на .