Создание сертификатов с помощью программы XCA

Создание сертификата удостоверяющего центра компании

1. Создать закрытый ключ для сертификата УЦ компании.

Во вкладке Закрытые ключи создайте новый ключ для сертификата УЦ компании. Заполните необходимые параметры ключа и нажмите кнопку Создать.

Созданный закрытый ключ будет отображен во вкладке Закрытые ключи.

2. Создать сертификат УЦ компании.

Для этого перейдите во вкладку Сертификаты, нажмите кнопку Новый сертификат и укажите необходимые данные.

Вкладка Первоисточник:

• Алгоритм подписи: SHA 256.

• Шаблон для нового сертификата: шаблон по умолчанию для УЦ (CA – Certificate authority).

После заполнения нажмите Применить всё.

Во вкладке Субъект заполните данные на сертификат и в выберите созданный ранее закрытый ключ.

Во вкладке Расширение укажите тип базового контейнера: Центр Сертификации.

Проверьте, что во вкладке Область применения ключа в разделе X509v3 Key Usage включены параметры Certificate Sign и CRL Sign.

Во вкладке Netscape можно убрать выбранные типы шаблона CA.

Далее нажмите кнопку OK: сертификат создан. Сертификат отобразится во вкладке Сертификаты.

3. Экспортировать созданные сертификат УЦ и закрытый ключ для импорта в UserGate (для этого нажмите на кнопку Экспорт во вкладках Сертификаты и Закрытые ключи, соответственно).

4. Импортировать сертификат CA и закрытый ключ в UserGate

Перейдите в раздел UserGate ➜ Сертификаты и нажмите Импорт. Укажите:

• Название сертификата.

• Файл сертификата: загрузите созданный сертификат УЦ компании.

• Приватный ключ: загрузите закрытый ключ.

После сохранения, назначьте сертификату роль SSL инспектирование.

5. На рабочих станциях импортируйте сертификат УЦ в доверенные корневые центры сертификации.

Создание SSL-сертификата captive-портала

1. Создать новый закрытый ключ. Процесс создания закрытого ключа аналогичен созданию ключа для УЦ (Создание сертификата удостоверяющего центра компании п. 1 – 2).

2. Создать запрос на получение сертификата.

Перейдите во вкладку Запрос на получение сертификата и, нажав на кнопку Новый запрос, создайте запрос. Укажите необходимые данные.

Во вкладке Первоисточник укажите.

• Шаблон для нового сертификата: TLS_server.

• Алгоритм подписи: SHA 256.

Далее нажмите на кнопку Применить всё.

Во вкладке Субъект заполните персональные данные субъекта и выберите созданный для этого сертификата закрытый ключ. В поле commonName введите одно из имён домена captive-портала.

Во вкладке Расширение добавьте записи доменов captive-портала с типом DNS в поле X509v3 Subject Alternative Name, нажав кнопку Редактировать.

Чекбокс Copy Common Name скопирует в альтернативные имена сертификата домен auth.test1.net. Для сохранения введенных имен нажмите Применить.

Во вкладке Область применения ключа проверьте: в разделе X509v3 Key Usage должны быть включены параметры Digital Signature, Non Repudiation и Key Encipherment.

Во вкладке Netscape оставьте значения пустыми.

Далее сохраните запрос (нажмите OK). Запрос отобразится во вкладке Запросы на получение сертификата.

3. Подписать сертификат.

Выделите запрос и в контекстном меню выберите Подписать.

Во вкладке Первоисточник в поле Использовать этот сертификат для подписи выберите сертификат УЦ (CA) и нажмите OK для подписания сертификата.

Новый сертификат, подписанный удостоверяющим центром, отобразится во вкладке Сертификаты.

4. Экспортировать сертификат и его закрытый ключ.

Для этого нажмите на кнопку Экспорт во вкладках Сертификаты и Закрытые ключи, соответственно.

5. Импортировать сертификат и его закрытый ключ в UserGate.

Во вкладке UserGate ➜ Сертификаты импортируйте в UserGate данный сертификат и его закрытый ключ (аналогично п. 4 в разделе Создание сертификата удостоверяющего центра компании). Назначьте сертификату роль SSL captive-портала.

Создание SSL-сертификата веб-консоли

1. Создать новый закрытый ключ. Процесс создания закрытого ключа аналогичен созданию ключа для УЦ (Создание сертификата удостоверяющего центра компании п. 1 – 2).

2. Создать запрос на получение сертификата.

Перейдите во вкладку Запрос на получение сертификата и, нажав на кнопку Новый запрос, создайте запрос. Укажите необходимые данные.

Во вкладке Первоисточник укажите.

• Шаблон для нового сертификата: TLS_server.

• Алгоритм подписи: SHA 256.

Далее нажмите на кнопку Применить всё.

Во вкладке Субъект заполните персональные данные субъекта и выберите созданный для этого сертификата закрытый ключ. В поле commonName введите FQDN имя сервера UserGate.

Многие браузеры сертификат сайта и доменное имя сопоставляют по Subject Alternative Name: во вкладке Расширение установите значение DNS:copycn в Subject Alternative Name.

Проверьте, что во вкладке Область применения ключа в разделе X509v3 Key Usage включены параметры Digital Signature, Non Repudiation и Key Encipherment.

Во вкладке Netscape оставьте значения пустыми.

Нажмите ОК: запрос на сертификат создан.

3. Подписать сертификат.

Выделите запрос и в контекстном меню выберите Подписать.

Во вкладке Первоисточник в поле Использовать этот сертификат для подписи выберите сертификат УЦ (CA) и нажмите OK для подписания сертификата.

Новый сертификат, подписанный УЦ, отобразится во вкладке Сертификаты.

4. Экспортировать сертификат и его закрытый ключ.

Для этого нажмите на кнопку Экспорт во вкладках Сертификаты и Закрытые ключи, соответственно.

5. Импортировать сертификат и его закрытый ключ в UserGate.

Во вкладке UserGate ➜ Сертификаты импортируйте в UserGate данный сертификат и его закрытый ключ (аналогично п. 4 в разделе Создание сертификата удостоверяющего центра компании). Назначьте сертификату роль SSL веб-консоли.