4.5.1. Использование корпоративного УЦ для создания сертификата инспектирования SSL

Если в компании уже существует внутренний УЦ или цепочка удостоверяющих центров, то можно указать в качестве сертификата для инспектирования SSL сертификат, созданный внутренним УЦ. В случае, если внутренний УЦ является доверяемым для всех пользователей компании, то перехват SSL будет происходить незаметно, пользователи не будут получать предупреждение о подмене сертификата.

Рассмотрим более подробно процедуру настройки UserGate. Допустим, что в организации используется внутренний УЦ на базе Microsoft Enterprise CA, интегрированный в Active Directory. Структура УЦ следующая:

image2

Рисунок 3 Пример структуры корпоративного УЦ

Необходимо выписать с помощью Sub CA2 сертификат для UserGate и настроить его в качестве сертификата для инспектирования SSL. Необходимо выписать сертификат UserGate SSL decrypt в качестве удостоверяющего центра.

Примечание

UserGate не поддерживает алгоритм подписи rsassaPss. Необходимо, чтобы вся цепочка сертификатов, которая используется для выписывания сертификата для инспектирования SSL, не содержала данного алгоритма подписи.

Для выполнения этой задачи следует выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать CSR-запрос на создание сертификата в UserGate.

Нажать на кнопку Создать --> Новый CSR. Заполнить необходимые поля и создать CSR. Будет создан приватный ключ и файл запроса. С помощью кнопки Экспорт скачать файл запроса.

Шаг 2. Создать сертификат на основе подготовленного CSR.

В Microsoft CA создать сертификат на основе полученного на предыдущем шаге CSR-файла с помощью утилиты certreq:

certreq.exe -submit -attrib "CertificateTemplate:SubCA" HTTPS_csr.pem

или с помощью веб-консоли Microsoft CA, указав в качестве шаблона «Подчиненный центр сертификации». Обратитесь к документации Microsoft за более подробной информацией. По окончании процедуры вы получите сертификат (публичный ключ), подписанный УЦ Sub CA2.

Шаг 3. Скачать полученный сертификат.

Из веб-консоли Microsoft CA скачать созданный сертификат (публичный ключ).

Шаг 4. Загрузить сертификат в созданный ранее CSR.

В UserGate выбрать созданный ранее CSR и нажать кнопку Редактировать. Загрузить файл сертификата и нажать Сохранить.

Шаг 5. Указать тип сертификата -- инспектирование SSL.

В UserGate выбрать созданный ранее CSR и нажать кнопку Редактировать. В поле Используется указать SSL инспектирование.

Шаг 6. Скачать сертификаты для промежуточных УЦ (Sub CA1 и Sub CA2).

В веб-консоли Microsoft CA выбрать и скачать сертификаты (публичные ключи) для УЦ Sub CA1 и Sub CA2.

Шаг 7. Загрузить сертификаты Sub CA1 и Sub CA2 в UserGate.

С помощью кнопки Импорт загрузить скачанные на предыдущем шаге сертификаты для Sub CA1 и Sub CA2.

Шаг 8. Установить тип - инспектирование SSL (промежуточный) для сертификатов Sub CA1 и Sub CA2.

В UserGate выбрать загруженные сертификаты и нажать кнопку Редактировать. Указать в поле Используется - Инспектирование SSL (промежуточный) для обоих сертификатов.

Шаг 9. Загрузить сертификат Root CA в UserGate (опционально).

С помощью кнопки Импорт загрузить корневой сертификат организации в UserGate. С помощью кнопки Редактировать указать в поле Используется - Инспектирование SSL (корневой).