4.5. Управление сертификатами

UserGate использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.

Для выполнения данных функций UserGate использует различные типы сертификатов:

Наименование

Описание

SSL веб-консоли

Используется для создания безопасного HTTPS-подключения администратора к веб-консоли UserGate.

SSL Captive-портала

Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации Captive-портала, для отображения страницы блокировки, для отображения страницы Logout Captive-портала и для работы ftp-прокси. Этот сертификат должен быть выпущен со следующими параметрами:

  • Subject name - значение, установленное для домена Домен Auth captive-портала, определенного на странице Настройки.

  • Alternative names - необходимо указать все домены, для которых используется данный сертификат, как они заданы на странице Настройки:

    • домен Auth сaptive-портала.

    • домен Logout сaptive-портала.

    • домен страницы блокировки.

    • домен FTP поверх HTTP.

    • домен для веб-портала, указанный в настройках веб-портала.

По умолчанию используется подписанный с помощью сертификата инспектирование SSL сертификат, выпущенный для домена auth.captive, со следующими параметрами:

  • Subject name = auth.captive

  • Alternative names = auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive

Если администратор не загрузил свой собственный сертификат для обслуживания этой роли, то UserGate самостоятельно в автоматическом режиме перевыпускает данный сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive).

SSL инспектирование

Сертификат класса удостоверяющего центра. Он используется для генерации SSL-сертификатов для интернет-хостов, для которых производится перехват HTTPS, SMTPS, POP3S трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный:

Subject name = yahoo.com

Issuer name = VeriSign Class 3 Secure Server CA - G3,

подменяется на

Subject name = yahoo.com

Issuer name = компания, как она указана в сертификате центра сертификации, заведенного в UserGate.

Данный сертификат также используется для создания сертификата по умолчанию для роли SSL Captive-портала.

SSL инспектирование (промежуточный)

Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата.

SSL инспектирование (корневой)

Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата.

Пользовательский сертификат

Сертификат, который назначается пользователю UserGate. Пользователь может быть, как заведен локально, так и получен из LDAP. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси.

УЦ авторизации веб-консоли

Удостоверяющий центр авторизации администраторов для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа.

SAML server

Используется для работы UserGate с сервером SSO SAML IDP. Подробно о настройке работы UserGate с сервером авторизации SAML IDP смотрите в соответствующем разделе руководства.

Веб-портал

Сертификат, используемый для веб-портала. Если данный сертификат не указан явно, то UserGate использует сертификат SSL Captive-портала, выпущенный сертификатом для инспектирования SSL. Подробно о настройке веб-портала смотрите в соответствующем разделе руководства.

Сертификатов для SSL веб-консоли, SSL Captive-портала и сертификатов SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ авторизации веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.

Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать сертификат

Нажать на кнопку Создать в разделе Сертификаты.

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

  • Название - название сертификата, под которым он будет отображен в списке сертификатов.

  • Описание - описание сертификата.

  • Страна - страна, в которой выписывается сертификат.

  • Область или штат - область или штат, в котором выписывается сертификат.

  • Город - город, в котором выписывается сертификат.

  • Название организации - название организации, для которой выписывается сертификат.

  • Common name - имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров.

  • E-mail - email вашей компании.

Шаг 3. Указать, для чего будет использован данный сертификат

После создания сертификата необходимо указать его роль в UserGate. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, инспектирование SSL, УЦ авторизации веб-консоли). В случае, если вы выбрали SSL веб-консоли, UserGate перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат инспектирования SSL начинает работать немедленно после того, как его выбрали. Более детально об инспектировании HTTPS смотрите в главе Инспектирование SSL.

UserGate позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.

Для экспорта сертификата необходимо:

Наименование

Описание

Шаг 1. Выбрать сертификат для экспорта

Выделить необходимый сертификат в списке сертификатов.

Шаг 2. Экспортировать сертификат

Выбрать тип экспорта:

  • Экспорт сертификата - экспортирует данные сертификата в der-формате без экспортирования приватного ключа сертификата. Используйте файл, полученный в результате экспорта сертификата для инспектирования SSL, для установки его в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом читайте в Приложение 2. Установка сертификата локального удостоверяющего центра.

  • Экспорт CSR - экспортирует CSR сертификата, например, для подписи его удостоверяющим центром.

Примечание

Рекомендуется сохранять сертификат для возможности его последующего восстановления.

Примечание

В целях безопасности UserGate не разрешает экспорт приватных ключей сертификатов.

Примечание

Пользователи могут скачать себе для установки сертификат инспектирования SSL с UserGate по прямой ссылке: http://UserGate_IP:8002/cps/ca

Для импорта сертификата необходимо иметь файлы сертификата и - опционально - приватного ключа сертификата и выполнить следующие действия:

Наименование

Описание

Шаг 1. Начать импорт

Нажать на кнопку Импорт.

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

  • Название - название сертификата, под которым он будет отображен в списке сертификатов.

  • Описание - описание сертификата.

  • Файл сертификата: загрузите файл, содержащий данные сертификата.

  • Приватный ключ: загрузите файл, содержащий приватный ключ сертификата.

  • Пароль для приватного ключа, если таковой требуется.

  • Цепочка сертификатов -- файл, содержащий сертификаты вышестоящих центров сертификации, которые участвовали в создании сертификата. Необязательное поле.