Сертификаты
Раздел с информацией о создании, загрузке и управлении SSL-сертификатами. Они необходимы, чтобы веб-ресурс работал по защищенному протоколу HTTPS, а браузер не выдавал ошибку безопасности.
Last updated
Раздел с информацией о создании, загрузке и управлении SSL-сертификатами. Они необходимы, чтобы веб-ресурс работал по защищенному протоколу HTTPS, а браузер не выдавал ошибку безопасности.
Last updated
В этом разделе отображаются SSL-сертификаты или цепочки сертификатов, список которых формируется следующими модулями:
Для просмотра основной информации о сертификате нажмите кнопку .
В таблице Действующие сертификаты отображаются:
Автоматически сгенерированные цепочки сертификатов;
Загруженные цепочки сертификатов, используемые модулями Ideco NGFW.
Если в таблице Действующие сертификаты одна и та же цепочка сертификатов указана в нескольких строках, то она используется несколькими модулями.
В таблице Загруженные сертификаты отображаются:
Все загруженные цепочки сертификатов;
Корневой сертификат Ideco NGFW.
Подробная инструкция по загрузке SSL-сертификата в статье.
NGFW позволяет выпустить или загрузить корневые и не корневые (пользовательские) сертификаты.
Корневые сертификаты обязательно должны иметь разрешение выдавать дочерние сертификаты X509v3 Basic Constraints: CA: TRUE. При первоначальной установке и запуске NGFW корневой (самоподписанный) сертификат генерируется автоматически. Его можно скачать, нажав на соответствующую кнопку.
Пользовательские сертификаты - любые сертификаты на домен. Могут быть как подписанными корпоративным корневым сертификатом, так и выданными Certificate Authority (CA) или Центрами сертификации. NGFW автоматически генерирует и подписывает сертификаты на домены, которые вы указываете для модулей.
Чтобы выпустить сертификат, NGFW выполняет следующие действия:
1. Создает локальную цепочку сертификатов, подписанную корневым (самоподписанным) сертификатом.
2. Параллельно с созданием локальной цепочки сертификатов отправлет запрос на выпуск цепочки в Let’s Encrypt.
Условия автоматического выпуска сертификатов Let's Encrypt:
Наличие доменного имени, зарегистрированного на статический белый IP-адрес, который назначен на внешний интерфейс Ideco NGFW;
Открытый 80 TCP-порт на внешнем интерфейсе. После установки Ideco NGFW 80 TCP-порт по умолчанию открыт во внешнюю сеть.
3. При успешном выпуске цепочки сертификатов Let’s Encrypt заменяет локальную цепочку.
4. Если выпуск цепочки сертификатов Let’s Encrypt завершился неудачей, продолжает использовать локальную цепочку сертификатов.
Сертификат Let’s Encrypt выпускается на 3 месяца и будет автоматически перевыпущен по окончании срока действия.
С 17 версии Ideco NGFW автоматически сгенерированные NGFW пользовательские сертификаты выпускаются на 825 дней и будут автоматически перевыпущены по окончании срока действия. В предыдущих версиях срок действия таких сертификатов составлял 10 лет.
Проверит загруженные сертификаты. Если сертификат найден, то заменит действующую цепочку сертификатов на домен на найденную;
Если для данного домена новые сертификаты не загружались, Ideco NGFW обратится к Let’s Encrypt для выпуска новой цепочки;
Если цепочка от Let’s Encrypt получена, она отобразится в таблице;
Если получить цепочку сертификатов от Let’s Encrypt не удалось, продолжит использовать локальную цепочку сертификатов.
Для работы Ideco Client под MacOS необходимо, чтобы срок действия сертификата на домен или IP-адрес NGFW, введенный в разделе Пользователи -> Ideco Client не превышал 825 дней.
Чтобы перевыпустить локальную цепочку сертификатов, выполните действия:
1. Перейдите в раздел Управление сервером -> Терминал.
2. Перейдите в директорию /var/cache/ideco/cert-backend
, выполнив команду:
3. Выведите содержимое директории, выполнив команду ls
.
4. Скопируйте название файла сертификата, который требуется перевыпустить. Названия файлов будут иметь вид:
test.ideco.ru-self-sign_chain_833bcda78229059d2c2886548c75e9e3.pem
, где test.ideco.ru
- доменное имя или IP-адрес, на который выпущен сертификат.
5. Удалите файл, выполнив команду:
Если требуется повторить попытку получения сертификата Let’s Encrypt вместо самоподписанного, то нужно нажать на кнопку Перевыпустить в столбце Управление.
Чтобы перевыпустить не корневую цепочку сертификатов, нажмите кнопку в столбце Управление в таблице Действующие сертификаты. NGFW попробует актуализировать цепочку следующим образом:
Для перевыпуска корневого сертификата нажмите кнопку напротив соответствующей цепочки в таблице Загруженные сертификаты. NGFW заменит ее на автоматически сгенерированный корневой сертификат.
При замене/перевыпуске корневого сертификата в разделе Сертификаты, IPsec-подключения перестанут работать. Для восстановления соединения вам потребуется заменить сертификат в свойствах подключения. Для этого перейдите в раздел Сервисы -> IPsec и нажмите на с нужным подключением.
Проверить, что срок действия загруженного пользовательского или сгенерированного NGFW сертификата не превышает 825 дней, можно в разделе Сервисы -> Сертификаты -> Действующие сертификаты, нажав на .
6. Перейдите в раздел Сервисы -> Сертификаты -> Действующие сертификаты и перевыпустите сертификат на домен или IP-адрес NGFW, нажав на .
Проверить, перевыпустился ли сертификат на новый срок, можно , нажав на .