Загрузка своего SSL-сертификата

Подготовка SSL сертификата для загрузки на NGFW VPP

Для загрузки доверенного SSL сертификата, купленного у Certificate Authority или Центра сертификации, выполните действия:

  1. Создайте текстовый файл вида:

-----BEGIN PRIVATE KEY-----
.....
.....
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----

Если Центр сертификации выдал приватный ключ в зашифрованном виде, расшифруйте ключ с помощью passphrase (фразы-пароля) перед добавлением в файл.

  1. Добавьте в блок (BEGIN PRIVATE KEY) расшифрованный приватный ключ.

  2. Добавьте сертификат на домен, сертификаты из бандла vendor-сертификатов, корневой сертификат в каждый из блоков (BEGIN CERTIFICATE).

  3. Проверьте, что файл имеет такую структуру:

Приватный ключ
Сертификат на домен
Сертификат из состава бандла vendor-сертификатов
Сертификат из состава бандла vendor-сертификатов
...
Основной (корневой) сертификат
  1. Сохраните файл с расширением .pem и воспользуйтесь инструкцией по загрузке сертификата на NGFW VPP.

С общепринятым стандартом создания файла-цепочки сертификатов можно также ознакомиться здесь: https://www.digicert.com/ssl-support/pem-ssl-creation.htm.

Создание самоподписанного сертификата c помощью Powershell

  1. Запустите PowerShell от имени администратора.

  2. Сгенерируйте сертификат, выполнив команду:

New-SelfSignedCertificate -DnsName test.ideco.com -TextExtension @("2.5.29.19={text}CA=true") -CertStoreLocation cert:\LocalMachine\My
  • test.ideco.com - домен.

Для просмотра сгенерированного сертификата выполните команду certlm.msc.

  1. Сформируйте пароль для сертификата:

$CertPassword = ConvertTo-SecureString -String “12345” -Force –AsPlainText
  • 12345 - пароль.

  1. Экспортируйте сертификат выполнив команду:

Export-PfxCertificate -Cert cert:\LocalMachine\My\2284919151C5C624341D7B75FE034B00DF6A44FA -FilePath C:\Users\pende\ssl\test.ideco.pfx -Password $CertPassword
  • 2284919151C5C624341D7B75FE034B00DF6A44FA - идентификатор сертификата полученный на шаге 2.

  1. Конвертируйте сертификат в расширение .pem (пример конвертора).

Конвертация сертификата из формата pkcs12 в формат pem с помощью openssl

Для конвертации сертификата с помощью openssl на Windows воспользуйтесь ссылкой для загрузки openssl на компьютер и дляустановки openssl на компьютер.

Для конвертации сертификата из формата pkcs12 в формат pem выполните действия:

  1. Откройте командную строку.

  2. Введите команду openssl pkcs12 -in certificate.pkcs12 -out certificate.pem (сконвертируется сертификат в нужный формат).

  • certificate.pkcs12 - исходный сертификат который был получен у центра сертификации.

  • certificate.pem - результат конвертации;

  1. Откройте полученный файл и убедитесь, что он имеет структуру:

    -----BEGIN CERTIFICATE-----
    ..............
    ..............
    -----END CERTIFICATE-----
    -----BEGIN PRIVATE KEY-----
    ..............
    ..............
    -----END PRIVATE KEY-----

Если в сертификате написано --BEGIN ENCRYPTED PRIVATE KEY--, то расшифруйте его с помощью утилиты openssl. Команда для расшифровки: openssl rsa -in certificate.pem -out certificate_decoded.pem.

  • certificate.pem - файл который был получен после конвертации;

  • certificate_decode.pem - результат расшифровки.

  1. Для подготовки сертификата к загрузке воспользуйтесь статьей Подготовка SSL сертификата для загрузки на NGFW VPP.

  2. Для загрузки сертификата на NGFW VPP воспользуйтесь статьей Загрузка SSL сертификата на NGFW VPP.

Загрузка SSL сертификата на NGFW VPP

Для загрузки подготовленного сертификата на Ideco NGFW VPP выполните действия:

  1. Перейдите в раздел Сервисы -> Сертификаты -> Загруженные сертификаты.

  2. Нажмите Загрузить корневой сертификат.

  3. Выберите сертификат вида:

-----BEGIN PRIVATE KEY-----
.....
.....
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----

Last updated