Sertifikat

Bagian dengan informasi tentang membuat, mengunduh, dan mengelola sertifikat SSL. Mereka diperlukan agar sumber daya web dapat bekerja menggunakan protokol HTTPS yang aman, dan agar browser tidak meng

Informasi Umum

Bagian ini menampilkan sertifikat SSL atau rantai sertifikat, yang daftarnya dihasilkan oleh modul berikut:

Modul proksi terbalik;
Server IKEv2 dan SSTP VPN;
Antarmuka web, otentikasi web;
Surat.

Untuk melihat informasi dasar tentang sertifikat, klik tombol .

Sertifikat terkini

Tabel Sertifikat yang valid menampilkan:

Rantai sertifikat yang dihasilkan secara otomatis;
Rantai sertifikat dimuat yang digunakan oleh modul TKMTRM NGFW.

Jika rantai sertifikat yang sama tercantum dalam beberapa baris dalam tabel Sertifikat Valid, maka rantai tersebut digunakan oleh beberapa modul.

Sertifikat yang Diunggah

Tabel Sertifikat yang diunggah menampilkan:

Semua rantai sertifikat yang diunduh;
Sertifikat akar TKMTRM NGFW.

Petunjuk detail untuk mengunggah sertifikat SSL ada di artikel.

logika kerja

NGFW memungkinkan Anda menerbitkan atau mengunduh sertifikat root dan non-root (pengguna).

Sertifikat root harus memiliki izin untuk menerbitkan sertifikat turunan X509v3 Batasan Dasar: CA: TRUE. Saat Anda pertama kali menginstal dan menjalankan NGFW, sertifikat root (yang ditandatangani sendiri) dibuat secara otomatis. Itu dapat diunduh dengan mengklik tombol yang sesuai.

Sertifikat khusus - sertifikat domain apa pun. Sertifikat tersebut dapat ditandatangani oleh sertifikat dasar perusahaan atau diterbitkan oleh Otoritas Sertifikat (CA) atau Otoritas Sertifikasi. NGFW secara otomatis membuat dan menandatangani sertifikat untuk domain yang Anda tentukan untuk modul.

Proses penerbitan sertifikat

Untuk menerbitkan sertifikat, NGFW melakukan langkah-langkah berikut:

1. Membuat rantai sertifikat lokal yang ditandatangani oleh sertifikat root (yang ditandatangani sendiri);

2. Sejalan dengan pembuatan rantai sertifikat lokal, permintaan dikirim untuk melepaskan rantai ke Let’s Encrypt;

3. Jika rantai sertifikat Let's Encrypt berhasil dirilis, rantai tersebut akan menggantikan rantai lokal;

4. Jika penerbitan rantai sertifikat gagal, Let's Encrypt akan terus menggunakan rantai sertifikat lokal.

Jika Anda perlu mencoba lagi untuk mendapatkan sertifikat Let's Encrypt alih-alih sertifikat yang ditandatangani sendiri, Anda perlu mengklik tombol Reissue di kolom Manajemen.

Sertifikat Let's Encrypt diterbitkan selama 3 bulan dan akan diterbitkan ulang secara otomatis setelah habis masa berlakunya.

Sejak Ideco NGFW versi 17, sertifikat pengguna NGFW yang dibuat secara otomatis diterbitkan selama 825 hari dan akan diterbitkan ulang secara otomatis setelah habis masa berlakunya. Pada versi sebelumnya, masa berlaku sertifikat tersebut adalah 10 tahun.

Proses penerbitan ulang sertifikat

Untuk menerbitkan ulang rantai sertifikat non-root, klik tombol di kolom Kelola pada tabel Sertifikat Valid. NGFW akan mencoba memperbarui rantai sebagai berikut:

Akan memeriksa sertifikat yang diunduh. Jika sertifikat ditemukan, rantai sertifikat yang ada untuk domain tersebut akan diganti dengan rantai sertifikat yang ditemukan;
Jika tidak ada sertifikat baru yang diunggah untuk domain tertentu, Ideco NGFW akan menghubungi Let's Encrypt untuk menerbitkan rantai baru;
Jika rantai diterima dari Let's Encrypt, maka akan ditampilkan di tabel;
Jika tidak mungkin memperoleh rantai sertifikat dari Let's Encrypt, rantai sertifikat lokal akan terus digunakan.

Untuk merilis ulang sertifikat akar, klik tombol di samping rantai terkait pada tabel Sertifikat yang diunggah. NGFW akan menggantinya dengan sertifikat root yang dibuat secara otomatis.

Saat mengganti atau menerbitkan ulang rantai sertifikat akar, koneksi IPsec Kantor Pusat <–> Cabang akan berhenti bekerja (mereka perlu dibuat ulang ).

Untuk menerbitkan ulang rantai sertifikat lokal, ikuti langkah-langkah berikut:

1. Buka Manajemen Server -> Terminal.

2. Buka direktori /var/cache/ideco/cert-backend dengan menjalankan perintah:

cd /var/cache/ideco/cert-backend

3. Buat daftar isi direktori dengan menjalankan perintah ls.

4. Salin nama file sertifikat yang ingin Anda terbitkan ulang. Nama file akan terlihat seperti: test.ideco.ru-self-sign_chain_833bcda78229059d2c2886548c75e9e3.pem , dengan:

test.ideco.ru - Nama domain atau alamat IP tempat sertifikat diterbitkan.

5. Hapus file dengan menjalankan perintah:

rm test.ideco.ru-self-sign_chain_d1f73bf1fcc4d55ca31004ecb13d19b3.pem

6. Buka Layanan -> Sertifikat -> Sertifikat Valid dan terbitkan ulang sertifikat untuk domain NGFW atau alamat IP dengan mengklik .

Anda dapat memeriksa apakah sertifikat telah diterbitkan ulang untuk periode baru dengan mengklik .

PreviousMenghubungkan Keenetic melalui SSTP atau IPsec NextMengunggah sertifikat SSL ke server

Last updated 2 months ago