Профили клиентских сертификатов

ID статьи: 784
Последнее обновление: 15 июл, 2024
Documentation:
Product: NGFW
Version: 7.1.0

Профиль клиентского сертификата позволяет управлять сертификатами для обеспечения безопасности и подтверждения подлинности в сетевых соединениях. В профиле указываются сертификаты УЦ, методы проверки актуальности пользовательских сертификатов, методы выбора имени пользователя для аутентификации. 

Профиль клиентского сертификата используется для валидации предоставленного клиентом сертификата. Сертификат клиента проверяется на валидность для каждого сертификата УЦ из списка.

При выборе режима аутентификации посредством сертификатов (PKI) указывается сконфигурированный ранее профиль клиентского сертификата, который в дальнейшем можно будет использовать в различных подсистемах NGFW, например, Captive-портал, VPN, web-портал, reverse proxy.

Чтобы создать профиль клиентского сертификата, необходимо в разделе Настройки ➜ UserGate ➜ Профили клиентских сертификатов  нажать на кнопку Добавить и указать необходимые параметры:

Наименование

Описание

Название

Название профиля клиентских сертификатов.

Описание

Опциональное описание профиля.

Получать имя пользователя из

Выбор поля в сертификате, по которому определяется имя пользователя, используемое при аутентификации:

  • Common-name —  доменное имя или имя хоста в поле Subject, для которых предназначен сертификат.

  • Subject altname email — для определения имени пользователя используется параметр с префиксом email в расширении SAN (Subject Alternative Name).

  • Principal name — для определения имени пользователя используется параметр Universal Principal Name (UPN), содержащийся в поле otherName в расширении SAN.

Если в полях расширения SAN сертификата указано несколько имен UPN или несколько адресов email, берется первый, указанный в сертификате.

Сертификаты УЦ

Сертификаты УЦ, назначаемые профилю.

Список сертификатов удостоверяющих центров. Используется для валидации предоставленного клиентом сертификата. Сертификат клиента проверяется на валидность для каждого сертификата УЦ из списка. Перебор списка идет сверху вниз.

Проверка отозванных сертификатов

В списках отзыва сертификатов (CRL) содержатся сертификаты, которые были отозваны и больше не могут использоваться. В этот список входят сертификаты, срок действия которых истек или они были скомпрометированы.

Параметр для проверки состояния отзыва сертификатов:

  • Не проверять — не проверять ни один сертификат.

  • Вся цепочка — проверять все сертификаты в цепочке и требовать, чтобы они все были валидными.

  • Сертификат пользователя  — проверять только сертификат клиента.

  • Считать валидным, если статус неизвестен — если проверить CRL не удалось по какой-то причине, то сертификат считается валидным (при этом он всё равно проверяется и может вернуть статус invalid, если сертификат есть в списке отозванных).

Тайм-аут проверки

Интервал времени, по истечению которого NGFW перестает ожидать ответа от службы списков отзыва сертификатов.

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 784
Последнее обновление: 15 июл, 2024
Ревизия: 53
Просмотры: 5207
Комментарии: 0