ID статьи: 1765
Последнее обновление: 19 ноя, 2024
Product: DCFW Version: 8.x Technology: Identification and Authentication
Генерация сертификатов на Linux с использованием OpenSSLПример генерации сертификатов в ОС Linux с помощью библиотеки OpenSSL на основе самоподписанного корневого сертификата. Действия на стороне VPN-сервера1. Создать самоподписанный корневой сертификат rootCA.
где rootCA.pem — это корневой сертификат. Проверить, что сертификат корневой (в выводе должна быть строка: CA:TRUE):
2. На основе корневого сертификата создать сертификат для VPN-сервера.
где server-key.pem — это приватный ключ. Для генерации запроса на выпуск сертификата создать файл openssl-server.cnf с данными для запроса сертификата. Пример заполненного данными файла:
Создать запрос на выпуск сертификата с учетом данных из созданного выше файла openssl-server.cnf. На этом этапе прописывается секция Subject сертификата:
Подписать запрос корневым сертификатом. На этом этапе прописывается секция X509v3 extentions сертификата:
где server-cert.pem — это сертификат VPN-сервера. 3. Импортировать сертификат VPN-сервера в консоли администратора DCFW, исполняющего роль VPN-сервера. Для этого перейти в раздел UserGate ➜ Сертификаты и нажать кнопку Импортировать. В открывшемся окне указать название сертификата и добавить сгенерированные файлы сертификата VPN-сервера (sever-cert.pem) и приватного ключа (server-key.pem). 4. Импортировать корневой сертификат в консоли администратора DCFW, исполняющего роль VPN-сервера. Для этого перейти в раздел UserGate ➜ Сертификаты и нажать кнопку Импортировать. В открывшемся окне указать название сертификата и добавить сгенерированный файл самоподписанного корневого сертификата (rootCA.pem) без указания приватного ключа. 5. Создать профиль клиентских сертификатов в консоли администратора DCFW, исполняющего роль VPN-сервера. Для этого перейти в раздел UserGate ➜ Профили клиентских сертификатов и нажать кнопку Добавить. В открывшемся окне указать название профиля, добавить импортированный на предыдущем шаге корневой сертификат и выбрать поле для авторизации Commоn-name или Subject alt name для получения имени пользователя. 6. На этапе настройки VPN будет необходимо создать профиль безопасности VPN. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов. Для создания профиля безопасности VPN-сервера в консоли администратора DCFW, исполняющего роль VPN-сервера необходимо перейти в раздел VPN ➜ Серверные профили безопасности и нажать кнопку Добавить. В открывшемся окне указать необходимые параметры профиля безопасности (подробнее смотрите в разделе Настройка VPN). При использовании протокола IKEv2 для организации VPN необходимо указать импортированный в пункте 3 сертификат VPN-сервера и профиль пользовательского сертификата, созданного в пункте 5, если в качестве режима аутентификации будет указан PKI. Действия на стороне VPN-клиента1. Создать сертификат для VPN-клиента. Для генерации запроса на выпуск сертификата для VPN-клиента создать файл openssl-client.cnf с данными для запроса сертификата. Пример заполненного данными файла:
Поле subjectAltName используется, если в Профиле клиентского сертификата поле для получения имени пользователя будет указано, как Subject alt name. Сгенерировать приватный ключ для VPN-клиента:
Создать запрос на выпуск сертификата с учетом данных из созданного выше файла openssl-client.cnf и подписать его корневым сертификатом:
3. Для использования в клиентах с ОС Windows в сценарии Remote Access VPN создать файл client.pfx, содержащий закрытый ключ и сертификат пользователя. Файл загружается в Windows и используется для подключения к VPN.
4. Файл client.pfx импортировать в Windows и расположить в разделе Локальный компьютер, хранилище — Личное. 5. Для использования клиентского сертификата на стороне узла — VPN-клиента в сценарии Site-to-Site VPN c IKEv2 необходимо импортировать созданный сертификат VPN-клиента. Для этого в консоли администратора DCFW, исполняющего роль VPN-клиента перейти в раздел UserGate ➜ Сертификаты и нажать кнопку Импортировать. В открывшемся окне указать название сертификата и добавить сгенерированные файлы сертификата VPN-клиента (client-cert.crt) и приватного ключа (client-key.pem). Далее, на этапе настройки VPN при создании клиентского профиля безопасности VPN необходимо перейти в раздел VPN ➜ Клиентские профили безопасности и нажать кнопку Добавить. В открывшемся окне указать необходимые параметры профиля безопасности (подробнее смотрите в разделе Настройка VPN). При использовании протокола IKEv2 для организации VPN необходимо в поле Сертификат клиента указать импортированный ранее сертификат VPN-клиента. Генерация сертификатов Центром Сертификации Microsoft ServerПример генерации сертификатов Центром Сертификации Microsoft Server для сценария Remote Access VPN. 1. Выпустить Центром Сертификации корневой сертификат (rootCA). 2. Выпустить на основе корневого сертификата (rootCA) сертификат VPN-сервера.
Действия на стороне VPN-сервера1. Импортировать корневой сертификат (rootCA) в консоли администратора DCFW, исполняющего роль VPN-сервера. Для этого перейти в раздел UserGate ➜ Сертификаты и нажать кнопку Импортировать. 2. Импортировать сертификат VPN-сервера в консоли администратора DCFW, исполняющего роль VPN-сервера. Для этого перейти в раздел UserGate ➜ Сертификаты и нажать кнопку Импортировать. 3. Создать профиль клиентского сертификата в консоли администратора DCFW, исполняющего роль VPN-сервера. Для этого перейти в раздел UserGate ➜ Профили клиентских сертификатов и нажать кнопку Добавить. В открывшемся окне указать название профиля, добавить импортированный ранее корневой сертификат и выбирать поле для авторизации Commоn-name или Subject alt name для получения имени пользователя. 4. В разделе VPN ➜ Серверные профили безопасности добавить в Remote access VPN profile:
Действия на стороне VPN-клиента1. Запросить сертификат на клиентской машине согласно созданному раннее шаблону пользовательского сертификата. 2. Полученный сертификат расположить в репозиторий Локальный компьютер, хранилище — Личное.
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 1765
Последнее обновление: 19 ноя, 2024
Ревизия: 3
Просмотры: 3
Комментарии: 0
Теги
|