Сертификаты
Раздел с информацией о создании, загрузке и управлении SSL-сертификатами. Они необходимы, чтобы веб-ресурс работал по защищенному протоколу HTTPS, а браузер не выдавал ошибку безопасности.
Last updated
Раздел с информацией о создании, загрузке и управлении SSL-сертификатами. Они необходимы, чтобы веб-ресурс работал по защищенному протоколу HTTPS, а браузер не выдавал ошибку безопасности.
Last updated
В этом разделе отображаются SSL-сертификаты или цепочки сертификатов, список которых формируется модулями:
Для просмотра основной информации о сертификате нажмите кнопку .
В таблице Действующие сертификаты отображаются:
Автоматически сгенерированные цепочки сертификатов;
Загруженные цепочки сертификатов, используемые модулями Ideco NGFW.
Если в таблице Действующие сертификаты одна и та же цепочка сертификатов указана в нескольких строках, то она используется несколькими модулями.
В таблице Загруженные сертификаты отображаются:
Все загруженные цепочки сертификатов;
Корневой сертификат Ideco NGFW.
Подробная инструкция по загрузке SSL-сертификата в статье.
NGFW позволяет выпустить или загрузить корневые и не корневые (пользовательские) сертификаты.
Корневые сертификаты обязательно должны иметь разрешение выдавать дочерние сертификаты X509v3 Basic Constraints: CA: TRUE. При первоначальной установке и запуске NGFW корневой (самоподписанный) сертификат генерируется автоматически. Его можно скачать, нажав на соответствующую кнопку.
Пользовательские сертификаты - любые сертификаты на домен. Могут быть как подписанными корпоративным корневым сертификатом, так и выданными Certificate Authority (CA) или Центрами сертификации. NGFW автоматически генерирует и подписывает сертификаты на домены, которые вы указываете для модулей.
Чтобы выпустить сертификат, NGFW выполняет следующие действия:
1. Создает локальную цепочку сертификатов, подписанную корневым (самоподписанным) сертификатом.
2. Параллельно с созданием локальной цепочки сертификатов отправляет запрос на выпуск цепочки в Let’s Encrypt.
Условия автоматического выпуска сертификатов Let's Encrypt:
Наличие доменного имени, зарегистрированного на статический белый IP-адрес, который назначен на внешний интерфейс Ideco NGFW;
Открытый 80 TCP-порт на внешнем интерфейсе. После установки Ideco NGFW 80 TCP-порт по умолчанию открыт во внешнюю сеть.
Если при соблюдении перечисленных выше условий сертификат Let’s Encrypt не выпускается автоматически, перейдите в раздел Управление сервером -> Терминал веб-интерфейса NGFW и воспользуйтесь командой:
Команда для просмотра логов:
3. При успешном выпуске цепочки сертификатов Let’s Encrypt заменяет локальную цепочку.
4. Если выпуск цепочки сертификатов Let’s Encrypt завершился неудачей, продолжает использовать локальную цепочку сертификатов.
Сертификат Let’s Encrypt выпускается на 3 месяца и будет автоматически перевыпущен по окончании срока действия.
С 17 версии Ideco NGFW автоматически сгенерированные NGFW пользовательские сертификаты выпускаются на 825 дней и будут автоматически перевыпущены по окончании срока действия. В предыдущих версиях срок действия таких сертификатов составлял 10 лет.
Проверит загруженные сертификаты. Если сертификат найден, то заменит действующую цепочку сертификатов на домен на найденную;
Если для данного домена новые сертификаты не загружались, Ideco NGFW обратится к Let’s Encrypt для выпуска новой цепочки;
Если цепочка от Let’s Encrypt получена, она отобразится в таблице;
Если получить цепочку сертификатов от Let’s Encrypt не удалось, продолжит использовать локальную цепочку сертификатов.
Для работы Ideco Client под MacOS необходимо, чтобы срок действия сертификата на домен или IP-адрес NGFW, введенный в разделе Пользователи -> Ideco Client не превышал 825 дней.
Чтобы перевыпустить локальную цепочку сертификатов, выполните действия:
1. Перейдите в раздел Управление сервером -> Терминал.
2. Перейдите в директорию /var/cache/ideco/cert-backend, выполнив команду:
3. Выведите содержимое директории, выполнив команду ls.
4. Скопируйте название файла сертификата, который требуется перевыпустить. Названия файлов будут иметь вид:
test.ideco.ru-self-sign_chain_833bcda78229059d2c2886548c75e9e3.pem, где test.ideco.ru - доменное имя или IP-адрес, на который выпущен сертификат.
5. Удалите файл, выполнив команду:
Если требуется повторить попытку получения сертификата Let’s Encrypt вместо самоподписанного, то нужно нажать на кнопку Перевыпустить в столбце Управление.
Чтобы перевыпустить не корневую цепочку сертификатов, нажмите кнопку в столбце Управление в таблице Действующие сертификаты. NGFW будет актуализировать цепочку следующим образом:
Для перевыпуска корневого сертификата нажмите кнопку напротив соответствующей цепочки в таблице Загруженные сертификаты. NGFW заменит ее на автоматически сгенерированный корневой сертификат.
При замене/перевыпуске корневого сертификата в разделе Сертификаты, IPsec-подключения перестанут работать. Для восстановления соединения вам потребуется заменить сертификат в свойствах подключения. Для этого перейдите в раздел Сервисы -> IPsec и нажмите на с нужным подключением.
Проверить, что срок действия загруженного пользовательского или сгенерированного NGFW сертификата не превышает 825 дней, можно в разделе Сервисы -> Сертификаты -> Действующие сертификаты, нажав на .
6. Перейдите в раздел Сервисы -> Сертификаты -> Действующие сертификаты и перевыпустите сертификат на домен или IP-адрес NGFW, нажав на .
Проверить, перевыпустился ли сертификат на новый срок, можно , нажав на .