В составе сертификата Издатель и Субъект должны содержать поле CN (Common Name, общее имя).Если вы хотите заменить автоматически выпущенную цепочку сертификатов на свою, то при загрузке собственной цепочки сертификатов CN (Общее имя) последнего сертификата в цепочке должно соответствовать домену, для которого сертификат загружается.
Цепочка сертификата должна быть валидной и соответствовать структуре:
Приватный ключ
Сертификат на домен (Common Name)
Сертификат из состава бандла vendor-сертификатов (промежуточный сертификат, если есть)
...
Основной (корневой) сертификат
Если сертификат самоподписанный, его структура может содержать всего 2 блока - Приватный ключ и Сертификат на домен (Common Name). Если структура сертификата не валидна, переходите к статье Подготовка SSL-сертификата для загрузки на NGFW.
Если вы хотите загрузить сертификат как корневой, удостоверьтесь, что он может выдавать дочерние сертификаты: X509v3 Basic Constraints: CA: TRUE (это можно проверить в открытом ключе сертификата).
Загрузка SSL-сертификата на NGFW
Если сертификат удовлетворяет всем перечисленным выше условиям, загрузите его на NGFW. Для этого:
1. Перейдите в раздел Сервисы -> Сертификаты -> Загруженные сертификаты.
2. Нажмите Загрузить корневой сертификат.
3. Выберите нужный сертификат.
Загруженный корневой сертификат автоматически переподпишет все пользовательские сертификаты на домены, которые ранее автоматически сгенерировал NGFW. Сертификаты Let's Encrypt и сертификаты, купленные у СА и Центров сертификации, переподписаны не будут.
Если в инфраструктуре компании есть свой корневой центр сертификации, выпустите сертификат с шаблоном Subordinate Certification Authority и загрузите его на Ideco NGFW в качестве корневого. Это позволит выстроить цепочку доверия для автоматически выданных сертификатов до корневого центра сертификации. Пользовательские компьютеры будут доверять сертификатам, выданным на стороне NGFW.
Подготовка SSL-сертификата для загрузки на NGFW
При покупке доверенного SSL-сертификата на домен у Certificate Authority или Центра сертификации данные для его установки как правило высылаются электронным письмом в разрозненном виде. Для корректной загрузки сертификаты на домен, промежуточные и корневые сертификаты нужно собрать в один файл в правильном порядке.
Некоторые данные (CSR-запрос и приватный ключ) генерируются только во время покупки SSL-сертификата и не высылаются в письме. Сразу сохраняйте такие данные на своем компьютере.
Корневые (самоподписанные) сертификаты также требуют построения цепочек. Структура таких сертификатов может содержать 2 блока - Приватный ключ и Сертификат на домен (Comon Name) - или более в зависимости от того, есть ли у вас промежуточные сертификаты (из состава бандла vendor-сертификатов).
Для создания корректной цепочки сертификатов выполните действия:
2. Добавьте в блок (BEGIN PRIVATE KEY) расшифрованный приватный ключ.
Если Центр сертификации выдал приватный ключ в зашифрованном виде, расшифруйте его с помощью passphrase (фразы-пароля).
3. В каждый из блоков (BEGIN CERTIFICATE) добавьте сертификат. В начало - сертификат на домен, следом - сертификаты из бандла vendor-сертификатов (если они есть), в самый конец - корневой сертификат. Файл должен получить такую структуру:
Приватный ключ
Сертификат на домен
Сертификат из состава бандла vendor-сертификатов (при наличии)
...
Основной (корневой) сертификат
4. Сохраните файл с расширением .pem и загрузите его на NGFW.
Если в сертификате написано --BEGIN ENCRYPTED PRIVATE KEY--, расшифруйте его, введя в openssl команду
openssl rsa -in certificate.pem -out certificate_decoded.pem, где:
certificate.pem - файл который был получен после конвертации;
