UserGate использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.
Для выполнения данных функций UserGate использует различные типы сертификатов:
Наименование |
Описание |
---|---|
SSL веб-консоли |
Используется для создания безопасного HTTPS-подключения администратора к веб-консоли UserGate. |
SSL Captive-портала |
Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации Captive-портала, для отображения страницы блокировки, для отображения страницы Logout Captive-портала и для работы ftp-прокси. Этот сертификат должен быть выпущен со следующими параметрами:
По умолчанию используется подписанный с помощью сертификата инспектирование SSL сертификат, выпущенный для домена auth.captive, со следующими параметрами:
Если администратор не загрузил свой собственный сертификат для обслуживания этой роли, то UserGate самостоятельно в автоматическом режиме перевыпускает данный сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive). |
SSL инспектирование |
Сертификат класса удостоверяющего центра. Он используется для генерации SSL-сертификатов для интернет-хостов, для которых производится перехват HTTPS, SMTPS, POP3S трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный: Subject name = yahoo.com Issuer name = VeriSign Class 3 Secure Server CA - G3, подменяется на Subject name = yahoo.com Issuer name = компания, как она указана в сертификате центра сертификации, заведенного в UserGate. Данный сертификат также используется для создания сертификата по умолчанию для роли SSL Captive-портала. |
SSL инспектирование (промежуточный) |
Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата. |
SSL инспектирование (корневой) |
Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата. |
Пользовательский сертификат |
Сертификат, который назначается пользователю UserGate. Пользователь может быть, как заведен локально, так и получен из LDAP. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси. |
УЦ авторизации веб-консоли |
Удостоверяющий центр авторизации администраторов для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа. |
SAML server |
Используется для работы UserGate с сервером SSO SAML IDP. Подробно о настройке работы UserGate с сервером авторизации SAML IDP смотрите в соответствующем разделе руководства. |
Веб-портал |
Сертификат, используемый для веб-портала. Если данный сертификат не указан явно, то UserGate использует сертификат SSL Captive-портала, выпущенный сертификатом для инспектирования SSL. Подробно о настройке веб-портала смотрите в соответствующем разделе руководства. |
Сертификатов для SSL веб-консоли, SSL Captive-портала и сертификатов SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ авторизации веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.
Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:
Наименование |
Описание |
---|---|
Шаг 1. Создать сертификат |
Нажать на кнопку Создать в разделе Сертификаты. |
Шаг 2. Заполнить необходимые поля |
Указать значения следующих полей:
|
Шаг 3. Указать, для чего будет использован данный сертификат |
После создания сертификата необходимо указать его роль в UserGate. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, инспектирование SSL, УЦ авторизации веб-консоли). В случае, если вы выбрали SSL веб-консоли, UserGate перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат инспектирования SSL начинает работать немедленно после того, как его выбрали. Более детально об инспектировании HTTPS смотрите в главе Инспектирование SSL. |
UserGate позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.
Для экспорта сертификата необходимо:
Наименование |
Описание |
---|---|
Шаг 1. Выбрать сертификат для экспорта |
Выделить необходимый сертификат в списке сертификатов. |
Шаг 2. Экспортировать сертификат |
Выбрать тип экспорта:
|
Примечание
Рекомендуется сохранять сертификат для возможности его последующего восстановления.
Примечание
В целях безопасности UserGate не разрешает экспорт приватных ключей сертификатов.
Примечание
Пользователи могут скачать себе для установки сертификат инспектирования SSL с UserGate по прямой ссылке: http://UserGate_IP:8002/cps/ca
Для импорта сертификата необходимо иметь файлы сертификата и - опционально - приватного ключа сертификата и выполнить следующие действия:
Наименование |
Описание |
---|---|
Шаг 1. Начать импорт |
Нажать на кнопку Импорт. |
Шаг 2. Заполнить необходимые поля |
Указать значения следующих полей:
|