UserGate UTM использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.
Для выполнения данных функций UserGate UTM использует различные типы сертификатов:
|
Наименование |
Описание |
|
SSL веб-консоли |
Используется для создания безопасного HTTPS-подключения администратора к веб-консоли UserGate UTM |
|
SSL Captive-портала |
Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации Captive-портала. Этот сертификат должен быть выпущен для домена Домен Auth Captive-портала, определенного на странице Настройки. По умолчанию используется самоподписанный сертификат, выпущенный для домена auth.captive (значение по умолчанию для Домен Auth Captive-портала) |
|
SSL дешифрование |
Используется для генерации SSL-сертификатов для хостов интернет, для которых производится перехват HTTPS, SMTPS, POP3S трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный |
|
SSL дешифрование (промежуточный) |
Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для SSL дешифрования. Для корректной работы необходим только публичный ключ сертификата |
|
УЦ авторизации веб-консоли |
Удостоверяющий центр авторизации администраторов для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа |
Сертификатов для SSL веб-консоли, SSL Captive-портала и сертификатов SSL дешифрования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ авторизации веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.
Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:
|
Наименование |
Описание |
|
Шаг 1. Создать сертификат |
Нажать на кнопку Создать в разделе Сертификаты |
|
Шаг 2. Заполнить необходимые поля |
Указать значения следующих полей: * Название -- название сертификата, под которым он будет отображён в списке сертификатов * Описание -- описание сертификата * Страна -- укажите страну, в которой выписывается сертификат * Область или штат -- укажите область или штат, в котором выписывается сертификат * Город -- укажите город, в котором выписывается сертификат * Название организации -- укажите название организации, для которой выписывается сертификат * Common name -- укажите имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров * E-mail -- укажите e-mail вашей компании |
|
Шаг 3. Указать, для чего будет использован данный сертификат |
После создания сертификата необходимо указать его роль в UserGate UTM. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, SSL дешифрование, УЦ авторизации веб-консоли). В случае, если вы выбрали SSL веб-консоли, UserGate UTM перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат SSL дешифрования начинает работать немедленно после того, как его выбрали. Более детально о дешифровании HTTPS смотрите в главе Настройка дешифрования HTTPS |
UserGate UTM позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.
Для экспорта сертификата необходимо:
|
Наименование |
Описание |
|
Шаг 1. Выбрать сертификат для экспорта |
Выделить необходимый сертификат в списке сертификатов |
|
Шаг 2. Экспортировать сертификат |
Выбрать тип экспорта: * Экспорт сертификата -- экспортирует данные сертификата в der-формате без экспортирования приватного ключа сертификата. Используйте файл, полученный в результате экспорта сертификата SSL-дешифрования, для установки его в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом читайте в приложении №1 * Экспорт ключа -- экспортирует приватный ключ сертификата |
Важно! Рекомендуется сохранять сертификат и ключ сертификата для возможности его последующего восстановления.
Важно! Пользователи могут скачать себе для установки сертификат SSL дешифрования с UserGate UTM по прямой ссылке: https://UserGateUTM_IP:8001/storage/DownloadCACert
Необходимо разрешить доступ к сервису Консоль администрирования для зоны, в которой пользователи будут скачивать сертификат.
Для импорта сертификата необходимо иметь файлы сертификата и опционально приватного ключа сертификата и выполнить следующие действия:
|
Наименование |
Описание |
|
Шаг 1. Начать импорт |
Нажмите на кнопку Импорт |
|
Шаг 2. Заполните необходимые поля |
Указать значения следующих полей: * Название -- название сертификата, под которым он будет отображён в списке сертификатов * Описание -- описание сертификата * Загрузите файл, содержащий данные сертификата * Загрузите файл, содержащий приватный ключ сертификата |