Ideco NGFW
Скачать PDF
v16
v16
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Cистемные требования и источники обновления данных Ideco NGFW
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • Личный кабинет my.ideco
    • Настройка программно-аппаратных комплексов Ideco NGFW
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
        • Личный кабинет пользователя
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • VPN-подключение
        • Двухфакторная аутентификация
        • Подключение по PPTP
        • Подключение по PPPoE
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Личный кабинет пользователя
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
      • Интеграция с Active Directory/Samba DC
        • Ввод сервера в домен
        • Аутентификация пользователей AD/Samba DC
        • Скрипты автоматической разавторизации
        • Импорт пользователей
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Логирование
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий Контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
        • Журнал
        • Правила
        • Исключения из правил
        • Настройки
      • Исключения
      • Объекты
      • Квоты
    • Сервисы
      • Сетевые интерфейсы
        • Настройка Локального Ethernet
        • Настройка Внешнего Ethernet
        • Настройка подключения по PPTP
        • Настройка подключения по L2TP
        • Настройка подключения по PPPoE
        • Подключение по 3G и 4G
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
        • NextDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение по IPsec между двумя Ideco NGFW
        • Подключение Ideco NGFW и Mikrotik
        • Подключение Cisco IOS к Ideco NGFW по IPsec
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Трафик
      • Журнал событий
      • Журнал веб-доступа
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Центральная консоль
        • Установка
        • Политики и объекты
          • Политики безопасности
          • Объекты
        • Сервисы
          • Сертификаты
        • Отчеты и журналы
        • Управление сервером
      • Кластеризация
      • Автоматическое обновление сервера
      • Резервное копирование
      • Терминал
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Cоздание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подключение к сертифицированным Ideco EX и настройка Ideco NGFW
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco NGFW
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка cовместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
  • API
    • Описание хендлеров
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила Forward
  • changelog
    • Ideco NGFW 16.X
    • ФСТЭК Ideco UTM 16.X
    • Ideco Center 16.X
Powered by GitBook
On this page
  • Общая информация
  • Действующие сертификаты
  • Загруженные сертификаты
  • Логика работы
  • Процесс выпуска сертификата
  • Процесс перевыпуска сертификата

Was this helpful?

  1. Настройка
  2. Сервисы

Сертификаты

Раздел с информацией о создании, загрузке и управлении SSL-сертификатами. Они необходимы, чтобы веб-ресурс работал по защищенному протоколу HTTPS, а браузер не выдавал ошибку безопасности.

PreviousПодключение Keenetic по SSTP или IPsecNextЗагрузка SSL-сертификата на сервер

Last updated 8 months ago

Was this helpful?

Общая информация

В этом разделе отображаются SSL-сертификаты или цепочки сертификатов, список которых формируется следующими модулями:

Для просмотра основной информации о сертификате нажмите кнопку .

Действующие сертификаты

В таблице Действующие сертификаты отображаются:

  • Автоматически сгенерированные цепочки сертификатов;

  • Загруженные цепочки сертификатов, используемые модулями Ideco NGFW.

Если в таблице Действующие сертификаты одна и та же цепочка сертификатов указана в нескольких строках, то она используется несколькими модулями.

Загруженные сертификаты

В таблице Загруженные сертификаты отображаются:

  • Все загруженные цепочки сертификатов;

  • Корневой сертификат Ideco NGFW.

Логика работы

NGFW позволяет выпустить или загрузить корневые и не корневые (пользовательские) сертификаты.

Корневые сертификаты обязательно должны иметь разрешение выдавать дочерние сертификаты X509v3 Basic Constraints: CA: TRUE. При первоначальной установке и запуске NGFW корневой (самоподписанный) сертификат генерируется автоматически. Его можно скачать, нажав на соответствующую кнопку.

Пользовательские сертификаты - любые сертификаты на домен. Могут быть как подписанными корпоративным корневым сертификатом, так и выданными Certificate Authority (CA) или Центрами сертификации. NGFW автоматически генерирует и подписывает сертификаты на домены, которые вы указываете для модулей.

Процесс выпуска сертификата

Чтобы выпустить сертификат, NGFW выполняет следующие действия:

1. Создает локальную цепочку сертификатов, подписанную корневым (самоподписанным) сертификатом.

2. Параллельно с созданием локальной цепочки сертификатов отправляется запрос на выпуск цепочки в Let’s Encrypt.

Условия автоматического выпуска сертификатов Let's Encrypt:

  • Наличие доменного имени, зарегистрированного на статический белый IP-адрес, который назначен на внешний интерфейс Ideco NGFW;

  • Открытый 80 TCP-порт на внешнем интерфейсе. После установки Ideco NGFW 80 TCP-порт по умолчанию открыт во внешнюю сеть.

3. При успешном выпуске цепочки сертификатов Let’s Encrypt заменяет локальную цепочку.

4. Если выпуск цепочки сертификатов Let’s Encrypt завершился неудачей, продолжит использовать локальную цепочку сертификатов.

Сертификат Let’s Encrypt выпускается на 3 месяца и будет автоматически перевыпущен по окончании срока действия.

Процесс перевыпуска сертификата

  • Проверит загруженные сертификаты. Если сертификат найден, то заменит действующую цепочку сертификатов на домен на найденную;

  • Если для данного домена новые сертификаты не загружались, Ideco NGFW обратится к Let’s Encrypt для выпуска новой цепочки;

  • Если цепочка от Let’s Encrypt получена, она отобразится в таблице;

  • Если получить цепочку сертификатов от Let’s Encrypt не удалось, продолжит использовать локальную цепочку сертификатов.

Чтобы перевыпустить локальную цепочку сертификатов, выполните действия:

1. Перейдите в раздел Управление сервером -> Терминал.

2. Перейдите в директорию /var/cache/ideco/cert-backend, выполнив команду:

cd /var/cache/ideco/cert-backend

3. Выведите содержимое директории, выполнив команду ls.

4. Скопируйте название файла сертификата, который требуется перевыпустить. Названия файлов будут иметь вид: test.ideco.ru-self-sign_chain_833bcda78229059d2c2886548c75e9e3.pem , где:

  • test.ideco.ru - Доменное имя или IP-адрес, на который выпущен сертификат.

5. Удалите файл, выполнив команду:

rm test.ideco.ru-self-sign_chain_d1f73bf1fcc4d55ca31004ecb13d19b3.pem

Подробная инструкция по загрузке SSL-сертификата в .

Если требуется повторить попытку получения сертификата Let’s Encrypt вместо самоподписанного, то нужно нажать на кнопку Перевыпустить в столбце Управление.

Чтобы перевыпустить не корневую цепочку сертификатов, нажмите кнопку в столбце Управление в таблице Действующие сертификаты. NGFW попробует актуализировать цепочку следующим образом:

Для перевыпуска корневого сертификата нажмите кнопку напротив соответствующей цепочки в таблице Загруженные сертификаты. NGFW заменит ее на автоматически сгенерированный корневой сертификат.

При замене или перевыпуске цепочки корневого сертификата, между NGFW перестанут работать (необходимо их пересоздать).

6. Перейдите в раздел Сервисы -> Сертификаты -> Действующие сертификаты и перевыпустите сертификат на домен или IP-адрес NGFW, нажав на .

Проверить, перевыпустился ли сертификат на новый срок, можно, нажав на .

статье
IPsec-соединения