Дополнительно к авторизации пользователей SSL VPN портала по логину и паролю существует возможность настроить "прозрачную" авторизацию этих пользователей по SSL сертификату.
Для этого, в дополнение к базовой настройке SSL VPN портала, необходимо проделать следующие шаги:
-
Для каждого пользователя выпустить SSL сертификат, в котором указаны следующие параметры применения ключа - Digital Signature, Key Encipherment и Data Encipherment.
Если для выпуска сертификата используется приложение XCA, то при создании запроса на сертификат достаточно указать шаблон TLS_client (вкладка Первоисточник поле Шаблон для нового сертификата).
Удостоверяющий центр, которым подписан сертификат пользователя не имеет значения. В том числе работают и самоподписанные сертификаты.
-
Импортировать в браузер каждого пользователя, выписанный для него сертификат вместе с закрытым ключом (обычно, формат файла .p12).
-
Во вкладке UserGate --> Сертификаты импортировать в UserGate сертификаты всех пользователей (без закрытого ключа, обычно, формат файла .cer).
Для каждого импортированного ключа необходимо указать роль Пользовательский сертификат и пользователя, для которого был создан сертификат (возможно указывать как локальных пользователей, так и пользователей из LDAP).
-
В настройках SSL VPN портала произвести следующие изменения (UserGate --> Настройки --> Веб-портал):
-
отметить чекбокс Авторизация пользователя по сертификату.
-
убедиться, что в поле Имя хоста SSL VPN портала указано в виде FQDN, а не IP адреса.
-
использовать для самого SSL VPN портала сертификат Автоматически, либо любой другой, зарегистрированный на UserGate и имеющий базовый тип использования Центр Сертификации.
-