Product: DCFW
Version: 8.x
Общие сведения
UserGate DCFW использует защищенный протокол HTTPS для управления устройством, а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.
Для выполнения данных функций DCFW использует различные типы сертификатов:
|
Наименование
|
Описание
|
|
SSL веб-консоли
|
Используется для создания безопасного HTTPS-подключения администратора к веб-консоли DCFW.
|
|
SSL Captive-портала
|
Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации Captive-портала, для отображения страницы блокировки, для отображения страницы Logout Captive-портала и для работы ftp-прокси. Этот сертификат должен быть выпущен со следующими параметрами:
-
Subject name — значение, установленное для домена Домен Auth captive-портала, определенного на странице Настройки.
-
Subject Alternative names — необходимо указать все домены, для которых используется данный сертификат, как они заданы на странице Настройки:
-
домен Auth сaptive-портала.
-
домен Logout сaptive-портала.
-
домен страницы блокировки.
-
домен FTP поверх HTTP.
-
домен для веб-портала, указанный в настройках веб-портала.
По умолчанию используется подписанный с помощью сертификата инспектирование SSL сертификат, выпущенный для домена auth.captive, со следующими параметрами:
-
Subject name = auth.captive
-
Sunject alternative names = auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive
Если администратор не загрузил свой собственный сертификат для обслуживания этой роли, то DCFW самостоятельно в автоматическом режиме перевыпускает данный сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive).
Примечание Если администратор использует отдельный сертификат для домена Captive-портала, то он обязательно должен в сертификате в расширении Subject Alternative name добавить не только свой домен Auth captive-портала, но также и фиксированный домен cert.captive. Если cert.captive не добавить, то при аутентификации через сертификат в браузере будет выдаваться ошибка безопасности.
|
|
Пользовательский сертификат
|
Сертификат, который назначается пользователю DCFW. Пользователь может быть, как заведен локально, так и получен из LDAP. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси.
|
|
УЦ для авторизации в веб-консоли
|
Сертификат удостоверяющего центра для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа.
|
|
SAML server
|
Используется для работы DCFW с сервером SSO SAML IDP. Подробно о настройке работы DCFW с сервером авторизации SAML IDP смотрите в соответствующем разделе руководства.
|
Сертификатов для SSL веб-консоли, SSL Captive-портала может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ для авторизации в веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.
Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:
|
Наименование
|
Описание
|
|
Шаг 1. Создать сертификат
|
Нажать на кнопку Создать в разделе Сертификаты.
|
|
Шаг 2. Заполнить необходимые поля
|
Указать значения следующих полей:
-
Название — название сертификата, под которым он будет отображен в списке сертификатов.
-
Описание — описание сертификата.
-
Страна — страна, в которой выписывается сертификат.
-
Область или штат — область или штат, в котором выписывается сертификат.
-
Город — город, в котором выписывается сертификат.
-
Название организации — название организации, для которой выписывается сертификат.
-
Common name — имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров.
-
E-mail — email вашей компании.
|
|
Шаг 3. Указать, для чего будет использован данный сертификат
|
После создания сертификата необходимо указать его роль в DCFW. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, УЦ для авторизации в веб-консоли). В случае, если вы выбрали SSL веб-консоли, DCFW перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата.
|
DCFW позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.
Для экспорта сертификата необходимо:
|
Наименование
|
Описание
|
|
Шаг 1. Выбрать сертификат для экспорта
|
Выделить необходимый сертификат в списке сертификатов.
|
|
Шаг 2. Экспортировать сертификат
|
Выбрать тип экспорта:
-
Экспорт сертификата — экспортирует данные сертификата в der-формате без экспортирования приватного ключа сертификата. Используйте файл, полученный в результате экспорта сертификата для инспектирования SSL, для установки его в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом читайте в приложении Установка сертификата локального удостоверяющего центра.
-
Экспорт CSR — экспортирует CSR сертификата, например, для подписи его удостоверяющим центром.
|
ПримечаниеРекомендуется сохранять сертификат для возможности его последующего восстановления.
ПримечаниеВ целях безопасности UserGate не разрешает экспорт приватных ключей сертификатов.
ПримечаниеПользователи могут скачать себе для установки сертификат инспектирования SSL с UserGate по прямой ссылке: http://UserGate_IP:8002/cps/ca
Для импорта сертификата необходимо иметь файлы сертификата и — опционально — приватного ключа сертификата и выполнить следующие действия:
|
Наименование
|
Описание
|
|
Шаг 1. Начать импорт
|
Нажать на кнопку Импорт.
|
|
Шаг 2. Заполнить необходимые поля
|
Указать значения следующих полей:
-
Название — название сертификата, под которым он будет отображен в списке сертификатов.
-
Описание — описание сертификата.
-
Файл сертификата: загрузите файл, содержащий данные сертификата.
-
Приватный ключ: загрузите файл, содержащий приватный ключ сертификата.
-
Пароль для приватного ключа, если таковой требуется.
-
Цепочка сертификатов – файл, содержащий сертификаты вышестоящих центров сертификации, которые участвовали в создании сертификата. Необязательное поле.
|
