Ideco NGFW
Скачать PDF
vpp-v18
vpp-v18
  • Об Ideco NGFW VPP
  • Общая информация
    • Виды и состав лицензий
    • Системные требования и источники данных
    • Техническая поддержка
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • MY.IDECO
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
  • Настройка Ideco NGFW VPP
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Настройка клиентских машин
      • Авторизация пользователей
        • IP и MAC авторизация
        • Авторизация по подсетям
    • Интеграция с Active Directory/Samba DC
      • Импорт пользователей
      • Аутентификация пользователей AD/Samba DC
        • Настройка сервера Active Directory
        • Настройка клиентских машин
    • ALD Pro
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
      • Ограничение скорости
      • Предотвращение вторжений
      • Объекты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
      • Контент-фильтр
        • Изменение страницы блокировки Контент-фильтра
      • TLS/SSL-инспекция
        • Настройка фильтрации HTTPS
    • Сервисы
      • Сетевые интерфейсы
      • Маршрутизация
      • BGP
      • DNS
      • NTP-сервер
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Системный журнал
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Кластеризация
      • Обновления
        • Настройка кластера
      • Бэкапы
      • Терминал
      • Лицензия
      • Дополнительно
  • Диагностика проблем
    • Проблемы при авторизации пользователей
    • Восстановление пароля администратора
    • Примеры диагностики через терминал
    • Удаленный доступ к серверу
  • changelog
    • Ideco NGFW VPP 18.X
    • ФСТЭК Ideco UTM 16.X
Powered by GitBook
On this page

Was this helpful?

  1. Настройка Ideco NGFW VPP
  2. Сервисы
  3. Сертификаты

Загрузка SSL-сертификата на сервер

PreviousСертификатыNextСоздание самоподписанного сертификата c помощью Powershell

Last updated 6 months ago

Was this helpful?

Перед загрузкой корневого или пользовательского сертификата на NGFW VPP убедитесь, что они отвечают следующим требованиям:

  • Сертификаты должны иметь расширения .pem. Если у вашего сертификата другое расширение, конвертируйте его, изучив статью ;

  • В составе сертификата Издатель и Субъект должны содержать поле CN (Common Name, общее имя).Если вы хотите заменить автоматически выпущенную цепочку сертификатов на свою, то при загрузке собственной цепочки сертификатов CN (Общее имя) последнего сертификата в цепочке должно соответствовать домену, для которого сертификат загружается.

  • Цепочка сертификата должна быть валидной и соответствовать структуре:

Приватный ключ
Сертификат на домен (Common Name)
Сертификат из состава бандла vendor-сертификатов (промежуточный сертификат, если есть)
...
Основной (корневой) сертификат

Если сертификат самоподписанный, его структура может содержать всего 2 блока - Приватный ключ и Сертификат на домен (Common Name). Если структура сертификата не валидна, переходите к статье .

Если вы хотите загрузить сертификат как корневой, удостоверьтесь, что он может выдавать дочерние сертификаты: X509v3 Basic Constraints: CA: TRUE (это можно проверить в открытом ключе сертификата).

Загрузка SSL-сертификата на NGFW VPP

Если сертификат удовлетворяет всем перечисленным выше условиям, загрузите его на NGFW VPP. Для этого:

1. Перейдите в раздел Сервисы -> Сертификаты -> Загруженные сертификаты. 2. Нажмите Загрузить корневой сертификат. 3. Выберите нужный сертификат.

Загруженный корневой сертификат автоматически переподпишет все пользовательские сертификаты на домены, которые ранее автоматически сгенерировал NGFW VPP. Сертификаты Let's Encrypt и сертификаты, купленные у СА и Центров сертификации, переподписаны не будут.

Подготовка SSL-сертификата для загрузки на NGFW VPP

При покупке доверенного SSL-сертификата на домен у Certificate Authority или Центра сертификации данные для его установки, как правило, высылаются электронным письмом в разрозненном виде. Для корректной загрузки сертификаты на домен промежуточные и корневые сертификаты нужно собрать в один файл в правильном порядке.

Некоторые данные (CSR-запрос и приватный ключ) генерируются только во время покупки SSL-сертификата и не высылаются в письме. Сразу сохраняйте такие данные на своем компьютере.

Корневые (самоподписанные) сертификаты также требуют построения цепочек. Структура таких сертификатов может содержать 2 блока - Приватный ключ и Сертификат на домен (Comon Name) - или более в зависимости от того, есть ли у вас промежуточные сертификаты (из состава бандла vendor-сертификатов).

Для создания корректной цепочки сертификатов выполните действия:

1. Создайте текстовый файл вида:

-----BEGIN PRIVATE KEY-----
.....
.....
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----

2. Добавьте в блок (BEGIN PRIVATE KEY) расшифрованный приватный ключ.

Если Центр сертификации выдал приватный ключ в зашифрованном виде, расшифруйте его с помощью passphrase (фразы-пароля).

3. В каждый из блоков (BEGIN CERTIFICATE) добавьте сертификат. В начало - сертификат на домен, следом - сертификаты из бандла vendor-сертификатов (если они есть), в самый конец - корневой сертификат. Файл должен получить такую структуру:

Приватный ключ
Сертификат на домен
Сертификат из состава бандла vendor-сертификатов (при наличии)
...
Основной (корневой) сертификат

4. Сохраните файл с расширением .pem и загрузите его на NGFW VPP.

С общепринятым стандартом создания файла-цепочки сертификатов можно также ознакомиться здесь: .

Конвертация сертификата из формата pkcs12 в формат pem с помощью openssl

Для конвертации сертификата из формата pkcs12 в формат pem выполните действия:\

1. Откройте командную строку. 2. Введите команду openssl pkcs12 -in certificate.pkcs12 -out certificate.pem (сконвертирует сертификат в нужный формат), где:

  • certificate.pkcs12 - исходный сертификат который был получен у центра сертификации.

  • certificate.pem - результат конвертации;

3. Откройте полученный файл и убедитесь, что он имеет структуру:

    -----BEGIN CERTIFICATE-----
    ..............
    ..............
    -----END CERTIFICATE-----
    -----BEGIN PRIVATE KEY-----
    ..............
    ..............
    -----END PRIVATE KEY-----

Если в сертификате написано --BEGIN ENCRYPTED PRIVATE KEY--, расшифруйте его, введя в openssl команду openssl rsa -in certificate.pem -out certificate_decoded.pem, где:

  • certificate.pem - файл который был получен после конвертации;

  • certificate_decode.pem - результат расшифровки.

Для конвертации сертификата с помощью openssl на Windows воспользуйтесь ссылкой для и для .

4. Для подготовки сертификата к загрузке воспользуйтесь статьей .

5. Для загрузки сертификата на NGFW VPP воспользуйтесь статьей .

загрузки openssl на компьютер
установки openssl на компьютер
https://www.digicert.com/ssl-support/pem-ssl-creation.htm
Конвертация сертификата из формата pkcs12 в формат pem с помощью openssl
Подготовка SSL-сертификата для загрузки на UTM
Подготовка SSL-сертификата для загрузки на NGFW VPP
Загрузка SSL-сертификата на NGFW VPP