Профиль клиентского сертификата предназначен для проверки сертификатов, которые предоставляет клиент для аутентификации и получения доступа к приложению, сегменту сети или ресурсу. Проверка состоит из трех действий: получения имени пользователя из соответствующего атрибута в сертификате клиента, проверки иерархии доверия и подлинности сертификата.

В профиле указываются сертификаты УЦ, методы проверки актуальности пользовательских сертификатов, методы выбора имени пользователя для аутентификации.

При выборе режима аутентификации по сертификатам (PKI) указывается сконфигурированный ранее профиль клиентского сертификата, который в дальнейшем можно будет использовать в различных подсистемах UserGate NGFW, например на captive-портале, веб-портале, в VPN, reverse proxy.

Чтобы создать профиль клиентского сертификата:

В разделе Настройки ➜ UserGate ➜ Профили клиентских сертификатов нажмите Добавить и укажите значения следующих параметров.

Наименование	Описание
Название	Название профиля клиентских сертификатов
Описание	Описание профиля (необязательное для заполнения поле)
Получать имя пользователя из	Выбор атрибута сертификата, из которого межсетевой экран будет извлекать имя пользователя, используемое при аутентификации: Common-name — доменное имя или имя узла в поле Subject, для которого предназначен сертификат. Subject altname email — для определения имени пользователя используется адрес электронной почты пользователя, указанный в параметре с префиксом email в расширении SAN (Subject Alternative Name). Principal name — для определения имени пользователя используется параметр Universal Principal Name (UPN), содержащийся в поле otherName в расширении SAN. Если в полях расширения SAN сертификата указано несколько имен UPN или несколько адресов email, используется первое значение, указанное в сертификате
Сертификаты УЦ	Сертификаты корневых и промежуточных удостоверяющих центров, которые участвовали в выдаче сертификатов клиентов. Используются для проверки иерархии доверия к сертификату клиента. Сертификат клиента проверяется на подлинность для каждого сертификата УЦ из списка. Перебор списка идет сверху вниз
Проверка отозванных сертификатов	В списках отозванных сертификатов (CRL) содержатся сертификаты, которые были скомпрометированы либо срок действия которых истек. Такие сертификаты больше не могут использоваться для аутентификации. Возможно установить следующие значения параметра: Не проверять — доступ будет предоставляться вне зависимости от того, является ли сертификат отозванным. Вся цепочка — проверять все сертификаты в иерархии и требовать, чтобы они все были действительными. В профиль в разделе Сертификаты УЦ должны быть добавлены сертификаты корневого и всех промежуточных удостоверяющих центров, которые участвовали в выдаче сертификатов клиентов. Сертификат пользователя — проверять только сертификат клиента. В профиль в разделе Сертификаты УЦ должен быть добавлен сертификат удостоверяющего центра, которым подписан сертификат клиента. Считать валидным, если статус неизвестен — проверять сертификат и, если его статус не удалось определить по каким-то причинам (например, UG NGFW не смог получить CRL), считать сертификат действительным. При этом сертификат в результате проверки может получить статус invalid, если он найден в списке отозванных
Тайм-аут проверки	Дополнительный связанный параметр определяет интервал времени, по истечении которого UserGate NGFW перестает ожидать ответа о статусе сертификата от службы списков отозванных сертификатов. В этом случае сертификат считается подлинным, и при соблюдении прочих условий аутентификация по нему может быть выполнена