Загрузка SSL-сертификата на сервер

Перед загрузкой корневого или пользовательского сертификата на UTM убедитесь, что они отвечают следующим требованиям:

  • Сертификаты должны иметь расширения .pem. Если у вашего сертификата другое расширение, конвертируйте его, изучив статью Конвертация сертификата из формата pkcs12 в формат pem с помощью openssl;

  • В составе сертификата Издатель и Субъект должны содержать поле CN (Common Name, общее имя).Если вы хотите заменить автоматически выпущенную цепочку сертификатов на свою, то при загрузке собственной цепочки сертификатов CN (Общее имя) последнего сертификата в цепочке должно соответствовать домену, для которого сертификат загружается.

  • Цепочка сертификата должна быть валидной и соответствовать структуре:

Приватный ключ
Сертификат на домен (Common Name)
Сертификат из состава бандла vendor-сертификатов (промежуточный сертификат, если есть)
...
Основной (корневой) сертификат

Если сертификат самоподписанный, его структура может содержать всего 2 блока - Приватный ключ и Сертификат на домен (Common Name). Если структура сертификата не валидна, переходите к статье Подготовка SSL-сертификата для загрузки на UTM.

Если вы хотите загрузить сертификат как корневой, удостоверьтесь, что он может выдавать дочерние сертификаты: X509v3 Basic Constraints: CA: TRUE (это можно проверить в открытом ключе сертификата).

Загрузка SSL-сертификата на UTM

Если сертификат удовлетворяет всем перечисленным выше условиям, загрузите его на UTM. Для этого:

1. Перейдите в раздел Сервисы -> Сертификаты -> Загруженные сертификаты. 2. Нажмите Загрузить корневой сертификат. 3. Выберите нужный сертификат.

Загруженный корневой сертификат автоматически переподпишет все пользовательские сертификаты на домены, которые ранее автоматически сгенерировал UTM. Сертификаты Let's Encrypt и сертификаты, купленные у СА и Центров сертификации, переподписаны не будут.

Подготовка SSL-сертификата для загрузки на UTM

При покупке доверенного SSL-сертификата на домен у Certificate Authority или Центра сертификации данные для его установки как правило высылаются электронным письмом в разрозненном виде. Для корректной загрузки сертификаты на домен, промежуточные и корневые сертификаты нужно собрать в один файл в правильном порядке.

Некоторые данные (CSR-запрос и приватный ключ) генерируются только во время покупки SSL-сертификата и не высылаются в письме. Сразу сохраняйте такие данные на своем компьютере.

Корневые (самоподписанные) сертификаты также требуют построения цепочек. Структура таких сертификатов может содержать 2 блока - Приватный ключ и Сертификат на домен (Comon Name) - или более в зависимости от того, есть ли у вас промежуточные сертификаты (из состава бандла vendor-сертификатов).

Для создания корректной цепочки сертификатов выполните действия:

1. Создайте текстовый файл вида:

-----BEGIN PRIVATE KEY-----
.....
.....
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----

2. Добавьте в блок (BEGIN PRIVATE KEY) расшифрованный приватный ключ.

Если Центр сертификации выдал приватный ключ в зашифрованном виде, расшифруйте его с помощью passphrase (фразы-пароля).

3. В каждый из блоков (BEGIN CERTIFICATE) добавьте сертификат. В начало - сертификат на домен, следом - сертификаты из бандла vendor-сертификатов (если они есть), в самый конец - корневой сертификат. Файл должен получить такую структуру:

Приватный ключ
Сертификат на домен
Сертификат из состава бандла vendor-сертификатов (при наличии)
...
Основной (корневой) сертификат

4. Сохраните файл с расширением .pem и загрузите его на UTM.

С общепринятым стандартом создания файла-цепочки сертификатов можно также ознакомиться здесь: https://www.digicert.com/ssl-support/pem-ssl-creation.htm.

Конвертация сертификата из формата pkcs12 в формат pem с помощью openssl

Для конвертации сертификата с помощью openssl на Windows воспользуйтесь ссылкой для загрузки openssl на компьютер и для установки openssl на компьютер.

Для конвертации сертификата из формата pkcs12 в формат pem выполните действия:\

1. Откройте командную строку. 2. Введите команду openssl pkcs12 -in certificate.pkcs12 -out certificate.pem (сконвертирует сертификат в нужный формат), где:

  • certificate.pkcs12 - исходный сертификат который был получен у центра сертификации.

  • certificate.pem - результат конвертации;

3. Откройте полученный файл и убедитесь, что он имеет структуру:

    -----BEGIN CERTIFICATE-----
    ..............
    ..............
    -----END CERTIFICATE-----
    -----BEGIN PRIVATE KEY-----
    ..............
    ..............
    -----END PRIVATE KEY-----

Если в сертификате написано --BEGIN ENCRYPTED PRIVATE KEY--, расшифруйте его, введя в openssl команду openssl rsa -in certificate.pem -out certificate_decoded.pem, где:

  • certificate.pem - файл который был получен после конвертации;

  • certificate_decode.pem - результат расшифровки.

4. Для подготовки сертификата к загрузке воспользуйтесь статьей Подготовка SSL-сертификата для загрузки на UTM.

5. Для загрузки сертификата на UTM воспользуйтесь статьей Загрузка SSL-сертификата на UTM.

Last updated