Использование корпоративного УЦ для создания сертификата SSL дешифрования

Если в компании уже существует внутренний УЦ или цепочка удостоверяющих центров, то можно указать в качестве сертификата SSL-дешифрования сертификат, созданный внутренним УЦ. В случае, если внутренний УЦ является доверяемым для всех пользователей компании, то перехват SSL будет происходить незаметно, пользователи не будут получать предупреждение о подмене сертификата.

Рассмотрим более подробно процедуру настройки UTM. Допустим, что в организации используется внутренний УЦ на базе Microsoft Enterprise CA, интегрированный в Active Directory. Структура УЦ следующая:

Корневой УЦ Root CA

Выписанный корневым УЦ промежуточный УЦ Sub CA1












Выписанный Sub CA1 промежуточный УЦ Sub CA2

Необходимо выписать с помощью Sub CA2 сертификат для UserGate UTM и настроить его в качестве сертификата SSL дешифрования. Для выполнения этой задачи следует выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать CSR-запрос на создание сертификата в UTM

Нажать на кнопку СоздатьàНовый CSR. Заполнить необходимые поля и создать CSR. Будет создан приватный ключ и файл запроса. С помощью кнопки Экспорт необходимо скачать файл запроса

Шаг 2. Создать сертификат на основе подготовленного CSR

В Microsoft CA создать сертификат на основе полученного на предыдущем шаге CSR-файла с помощью утилиты certreq:

certreq.exe -submit -attrib "CertificateTemplate:SubCA" HTTPS_csr.pem

или с помощью веб-консоли Microsoft CA. Обратитесь к документации Microsoft за более подробной информацией. По окончании процедуры вы получите сертификат (публичный ключ), подписанный УЦ Sub CA2

Шаг 3. Скачать полученный сертификат

Скачать созданный сертификат (публичный ключ) из веб-консоли Microsoft CA

Шаг 4. Загрузить сертификат в созданный ранее CSR

В UserGate UTM выбрать созданный ранее CSR и нажать кнопку Редактировать. Загрузить файл сертификата и нажать Сохранить

Шаг 5. Указать тип сертификата -- SSL-дешифрование

В UserGate UTM выбрать созданный ранее CSR и нажмите кнопку Редактировать. Укажите в поле Используется -- SSL-дешифрование

Шаг 6. Скачать сертификаты для промежуточных УЦ (Sub CA1 и Sub CA2)

В веб-консоли Microsoft CA выбрать и скачать сертификаты (публичные ключи) для УЦ Sub CA1 и Sub CA2

Шаг 7. Загрузить сертификаты Sub CA1 и Sub CA2 в UTM

С помощью кнопки Импорт загрузить скачанные на предыдущем шаге сертификаты для Sub CA1 и Sub CA2

Шаг 8. Установить тип - SSL-дешифрование (промежуточный) для сертификатов Sub CA1 и Sub CA2

В UserGate UTM выбрать загруженные сертификаты и нажать кнопку Редактировать. Указать в поле Используется -- SSL дешифрование (промежуточный) для обоих сертификатов