Загрузка SSL-сертификата на сервер

Видеоинструкция по загрузке пользовательского и корневого сертификата на Ideco NGFW:

Перед загрузкой корневого или пользовательского сертификата на NGFW убедитесь, что они отвечают требованиям:

  • Сертификаты должны иметь расширения .pem. Если у вашего сертификата другое расширение, конвертируйте его. Как это сделать описано ниже в разделе Конвертация сертификата из формата pkcs12 в формат pem с помощью openssl;

  • В составе сертификата Издатель и Субъект должны содержать поле CN (Common Name, общее имя). При загрузке собственной цепочки сертификатов CN (общее имя) последнего сертификата в цепочке должно соответствовать домену, для которого сертификат загружается;

  • Цепочка сертификата должна быть валидной и соответствовать структуре:

Приватный ключ
Сертификат на домен (Common Name)
Сертификат из состава бандла vendor-сертификатов (промежуточный сертификат, если есть)
...
Основной (корневой) сертификат

Если сертификат самоподписанный, его структура может содержать всего 2 блока - Приватный ключ и Сертификат на домен (Common Name). Если структура сертификата невалидна, переходите к разделу ниже Подготовка SSL-сертификата для загрузки на NGFW.

Если вы хотите загрузить сертификат как корневой, удостоверьтесь, что он может выдавать дочерние сертификаты: X509v3 Basic Constraints: CA: TRUE (это можно проверить в открытом ключе сертификата).

Загрузка SSL-сертификата на NGFW

Если сертификат удовлетворяет всем перечисленным выше условиям, загрузите его на NGFW. Для этого:

1. Перейдите в раздел Сервисы -> Сертификаты -> Загруженные сертификаты.

2. Нажмите Загрузить корневой сертификат.

3. Выберите нужный сертификат.

Загруженный корневой сертификат автоматически переподпишет все пользовательские сертификаты на домены, которые ранее автоматически сгенерировал NGFW. Сертификаты Let's Encrypt и сертификаты, купленные у СА и Центров сертификации, переподписаны не будут.

Подготовка SSL-сертификата для загрузки на NGFW

При покупке доверенного SSL-сертификата на домен у Certificate Authority или Центра сертификации данные для его установки как правило высылаются электронным письмом в разрозненном виде. Для корректной загрузки сертификаты на домен, промежуточные и корневые сертификаты нужно собрать в один файл в правильном порядке.

Некоторые данные (CSR-запрос и приватный ключ) генерируются только во время покупки SSL-сертификата и не высылаются в письме. Сразу сохраняйте такие данные на своем компьютере.

Корневые (самоподписанные) сертификаты также требуют построения цепочек. Структура таких сертификатов может содержать 2 блока - Приватный ключ и Сертификат на домен (Comon Name) - или более в зависимости от того, есть ли у вас промежуточные сертификаты (из состава бандла vendor-сертификатов).

Для создания корректной цепочки сертификатов выполните действия:

1. Создайте текстовый файл вида:

-----BEGIN PRIVATE KEY-----
.....
.....
-----END PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
.....
.....
-----END CERTIFICATE-----

2. Добавьте в блок (BEGIN PRIVATE KEY) расшифрованный приватный ключ.

Если Центр сертификации выдал приватный ключ в зашифрованном виде, расшифруйте его с помощью passphrase (фразы-пароля).

3. В каждый из блоков (BEGIN CERTIFICATE) добавьте сертификат. В начало - сертификат на домен, следом - сертификаты из бандла vendor-сертификатов (если они есть), в самый конец - корневой сертификат. Файл должен получить такую структуру:

Приватный ключ
Сертификат на домен
Сертификат из состава бандла vendor-сертификатов (при наличии)
...
Основной (корневой) сертификат

4. Сохраните файл с расширением .pem и загрузите его на NGFW.

С общепринятым стандартом создания файла-цепочки сертификатов можно также ознакомиться здесь: https://www.digicert.com/ssl-support/pem-ssl-creation.htm.

Конвертация сертификата из формата pkcs12 в формат pem с помощью openssl

Для конвертации сертификата с помощью openssl на Windows воспользуйтесь ссылкой для загрузки openssl на компьютер.

Для конвертации сертификата из формата pkcs12 в формат pem выполните действия:

1. Откройте командную строку.

2. Введите команду openssl pkcs12 -in certificate.pkcs12 -out certificate.pem (сконвертирует сертификат в нужный формат), где:

  • certificate.pkcs12 - исходный сертификат который был получен у центра сертификации;

  • certificate.pem - результат конвертации.

3. Откройте полученный файл и убедитесь, что он имеет структуру:

   -----BEGIN CERTIFICATE-----
   ..............
   ..............
   -----END CERTIFICATE-----
   -----BEGIN PRIVATE KEY-----
   ..............
   ..............
   -----END PRIVATE KEY-----

Если в сертификате написано --BEGIN ENCRYPTED PRIVATE KEY--, расшифруйте его, введя в openssl команду openssl rsa -in certificate.pem -out certificate_decoded.pem, где:

  • certificate.pem - файл который был получен после конвертации;

  • certificate_decode.pem - результат расшифровки.

Last updated