Загрузка SSL-сертификата на сервер
Last updated
Last updated
Видеоинструкция по загрузке пользовательского и корневого сертификата на Ideco NGFW:
Перед загрузкой корневого или пользовательского сертификата на NGFW убедитесь, что они отвечают требованиям:
Сертификаты должны иметь расширения .pem. Если у вашего сертификата другое расширение, конвертируйте его. Как это сделать описано ниже в разделе Конвертация сертификата из формата pkcs12 в формат pem с помощью openssl;
В составе сертификата Издатель и Субъект должны содержать поле CN (Common Name, общее имя). При загрузке собственной цепочки сертификатов CN (общее имя) последнего сертификата в цепочке должно соответствовать домену, для которого сертификат загружается;
Цепочка сертификата должна быть валидной и соответствовать структуре:
Если сертификат самоподписанный, его структура может содержать всего 2 блока - Приватный ключ и Сертификат на домен (Common Name). Если структура сертификата невалидна, переходите к разделу ниже Подготовка SSL-сертификата для загрузки на NGFW.
Если вы хотите загрузить сертификат как корневой, удостоверьтесь, что он может выдавать дочерние сертификаты: X509v3 Basic Constraints: CA: TRUE (это можно проверить в открытом ключе сертификата).
Если сертификат удовлетворяет всем перечисленным выше условиям, загрузите его на NGFW. Для этого:
1. Перейдите в раздел Сервисы -> Сертификаты -> Загруженные сертификаты.
2. Нажмите Загрузить корневой сертификат.
3. Выберите нужный сертификат.
Загруженный корневой сертификат автоматически переподпишет все пользовательские сертификаты на домены, которые ранее автоматически сгенерировал NGFW. Сертификаты Let's Encrypt и сертификаты, купленные у СА и Центров сертификации, переподписаны не будут.
Если в инфраструктуре компании есть свой корневой центр сертификации, выпустите сертификат с шаблоном Subordinate Certification Authority и загрузите его на Ideco NGFW в качестве корневого. Это позволит выстроить цепочку доверия для автоматически выданных сертификатов до корневого центра сертификации. Пользовательские компьютеры будут доверять сертификатам, выданным на стороне NGFW.