UserGate использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.
Для выполнения данных функций UserGate использует различные типы сертификатов:
Наименование |
Описание |
SSL веб-консоли |
Используется для создания безопасного HTTPS-подключения администратора к веб-консоли UserGate |
SSL Captive-портала |
Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации Captive-портала, для отображения страницы блокировки, для отображения страницы Logout Captive-портала и для работы ftp-прокси. Этот сертификат должен быть выпущен со следующими параметрами: * Subject name - значение установленное для домена Домен Auth captive-портала, определенного на странице Настройки * Alternative names - необходимо указать все домены, для которых используется данный сертификат, как они заданы на странице Настройки: По умолчанию используется подписанный с помощью сертификата инспектирование SSL сертификат, выпущенный для домена auth.captive, со следующими параметрами: Если администратор не загрузил свой собственный сертификат для обслуживания этой роли, то UserGate самостоятельно в автоматическом режиме перевыпускает данный сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive) |
Инспектирование SSL |
Сертификат класса удостоверяющего центра. Он используется для генерации SSL-сертификатов для интернет-хостов, для которых производится перехват HTTPS, SMTPS, POP3S трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный Данный сертификат также используется для создания сертификата по умолчанию для роли SSL Captive-портала |
SSL инспектирование (промежуточный) |
Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата |
SSL инспектирование (корневой) |
Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата |
Пользовательский сертификат |
Сертификат, который назначается пользователю UserGate. Пользователь может быть, как заведен локально, так и получен из LDAP. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси |
УЦ авторизации веб-консоли |
Удостоверяющий центр авторизации администраторов для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа |
SAML server |
Используется для работы UserGate с сервером SSO SAML IDP. Подробно о настройке работы UserGate с сервером авторизации SAML IDP смотрите в соответствующем разделе руководства |
Веб-портал |
Сертификат, используемый для веб-портала. Если данный сертификат не указан явно, то UserGate использует сертификат SSL Captive-портала, выпущенный сертификатом для инспектирования SSL. Подробно о настройке веб-портала смотрите в соответствующем разделе руководства |
Сертификатов для SSL веб-консоли, SSL Captive-портала и сертификатов SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ авторизации веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.
UserGate поставляется с набором следующих сертификатов:
Наименование |
Описание |
Web GUI (Default) |
Сертификат для SSL веб-консоли. |
CA (Default) |
Самоподписанный сертификат для инспектирования SSL. |
SAML (Default) |
Сертификат для работы с сервером SSO SAML IDP. |
Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:
Наименование |
Описание |
Шаг 1. Создать сертификат |
Нажать на кнопку Создать в разделе Сертификаты |
Шаг 2. Заполнить необходимые поля |
Указать значения следующих полей: * Название - название сертификата, под которым он будет отображен в списке сертификатов * Описание - описание сертификата * Страна - страна, в которой выписывается сертификат * Область или штат - область или штат, в котором выписывается сертификат * Город - город, в котором выписывается сертификат * Название организации - название организации, для которой выписывается сертификат * Common name - имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров * E-email - e-email вашей компании |
Шаг 3. Указать, для чего будет использован данный сертификат |
После создания сертификата необходимо указать его роль в UserGate. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, инспектирование SSL, УЦ авторизации веб-консоли). В случае, если вы выбрали SSL веб-консоли, UserGate перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат инспектирования SSL начинает работать немедленно после того, как его выбрали. Более детально о инспектировании HTTPS смотрите в главе Инспектирование SSL. |
UserGate позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.
Для экспорта сертификата необходимо:
Наименование |
Описание |
Шаг 1. Выбрать сертификат для экспорта |
Выделить необходимый сертификат в списке сертификатов . |
Шаг 2. Экспортировать сертификат |
Выбрать тип экспорта: * Экспорт сертификата - экспортирует данные сертификата в der-формате без экспортирования приватного ключа сертификата. Используйте файл, полученный в результате экспорта сертификата для инспектирования SSL, для установки его в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом читайте в приложении №1 ниже. * Экспорт CSR - экспортирует CSR сертификата, например, для подписи его удостоверяющим центром. |
Важно! Рекомендуется сохранять сертификат для возможности его последующего восстановления.
Важно! В целях безопасности UserGate не разрешает экспорт приватных ключей сертификатов.
Важно! Пользователи могут скачать себе для установки сертификат инспектирования SSL с UserGate по прямой ссылке: http:// UserGate_IP:8002/cps/ca
Для импорта сертификата необходимо иметь файлы сертификата и - опционально - приватного ключа сертификата и выполнить следующие действия:
Наименование |
Описание |
Шаг 1. Начать импорт |
Нажать на кнопку Импорт |
Шаг 2. Заполнить необходимые поля |
Указать значения следующих полей: * Название - название сертификата, под которым он будет отображен в списке сертификатов * Описание - описание сертификата * Загрузите файл, содержащий данные сертификата * Загрузите файл, содержащий приватный ключ сертификата |