Загрузка SSL-сертификата на сервер
Перед загрузкой корневого или пользовательского сертификата на NGFW убедитесь, что они отвечают следующим требованиям:
Сертификаты должны иметь расширения .pem. Если у вашего сертификата другое расширение, конвертируйте его, изучив статью Конвертация сертификата из формата pkcs12 в формат pem с помощью openssl;
В составе сертификата Издатель и Субъект должны содержать поле CN (Common Name, общее имя).Если вы хотите заменить автоматически выпущенную цепочку сертификатов на свою, то при загрузке собственной цепочки сертификатов CN (Общее имя) последнего сертификата в цепочке должно соответствовать домену, для которого сертификат загружается.
Цепочка сертификата должна быть валидной и соответствовать структуре:
Если сертификат самоподписанный, его структура может содержать всего 2 блока - Приватный ключ и Сертификат на домен (Common Name). Если структура сертификата не валидна, переходите к статье Подготовка SSL-сертификата для загрузки на UTM.
Если вы хотите загрузить сертификат как корневой, удостоверьтесь, что он может выдавать дочерние сертификаты: X509v3 Basic Constraints: CA: TRUE (это можно проверить в открытом ключе сертификата).
Загрузка SSL-сертификата на NGFW
Если сертификат удовлетворяет всем перечисленным выше условиям, загрузите его на NGFW. Для этого:
1. Перейдите в раздел Сервисы -> Сертификаты -> Загруженные сертификаты. 2. Нажмите Загрузить корневой сертификат. 3. Выберите нужный сертификат.
Загруженный корневой сертификат автоматически переподпишет все пользовательские сертификаты на домены, которые ранее автоматически сгенерировал NGFW. Сертификаты Let's Encrypt и сертификаты, купленные у СА и Центров сертификации, переподписаны не будут.
Last updated