Подготовка TLS-сертификата, подписанного центром сертификации, к импорту

TLS-сертификат, подписанный центром сертификации (сертификат CA), предназначенный для импорта в Kaspersky Secure Mail Gateway, должен удовлетворять следующим требованиям:

• Файл сертификата должен иметь уникальное имя в списке сертификатов, используемых в Kaspersky Secure Mail Gateway.
• Файлы сертификата сервера, промежуточного и корневого сертификатов CA и файл закрытого ключа должны иметь формат PEM.
• Длина ключа должна быть 1024 бит или более.
• Необходимо иметь полную цепочку сертификатов – путь от сертификата сервера к корневому сертификату CA.

  При получении сертификата CA может потребоваться использовать промежуточный сертификат в дополнение к сертификату сервера.

• Порядок указания сертификатов в цепочке сертификатов должен быть следующим: сначала сертификат самого сервера, затем промежуточные сертификаты CA.
• В цепочке сертификатов не должны быть пропущены промежуточные сертификаты.
• В цепочке сертификатов не должно быть сертификатов, не относящихся к текущей сертификации.

В качестве примера приведена инструкция по подготовке к импорту TLS-сертификата сервера, подписанного центром сертификации server_cert.pem, закрытый ключ которого находится в файле key.pem. Имя промежуточного сертификата сервера intermediate CA, имя корневого сертификата root CA.

Чтобы подготовить TLS-сертификат, подписанный центром сертификации, к импорту в Kaspersky Secure Mail Gateway, выполните следующие действия:

1. В файле TLS-сертификата удалите пароль доступа к сертификату, если он использовался. Для этого выполните команду:

   # openssl rsa -in <имя файла закрытого ключа>.pem -out <имя файла закрытого ключа после удаления пароля>.pem

   Например, вы можете выполнить следующую команду:

   # openssl rsa -in key.pem -out key-nopass.pem

2. Выполните одно из следующих действий:
   • Если вы не уверены, что клиенты, которым сервер будет предоставлять этот сертификат, имеют собственные копии корневого и промежуточного сертификатов CA, объедините закрытый ключ, сертификат сервера, промежуточный сертификат и корневой сертификат CA в один файл. Для этого выполните команду:

     % cat <имя файла закрытого ключа после удаления пароля>.pem <имя сертификата сервера>.pem <имя промежуточного сертификата CA>.pem <имя корневого сертификата CA>.pem <имя TLS-сертификата после объединения файлов>.pem

     Например, вы можете выполнить следующую команду:

     % cat key-nopass.pem server_cert.pem intermediate_CA.pem root_CA.pem > cert.pem

   • Если вы уверены, что клиенты, которым сервер будет предоставлять этот сертификат, имеют собственные копии корневого и промежуточного сертификатов CA, объедините закрытый ключ и сертификат сервера в один файл. Для этого выполните команду:

     % cat <имя файла закрытого ключа после удаления пароля>.pem <имя сертификата сервера>.pem <имя сертификата сервера после объединения файлов>.pem

     Например, вы можете выполнить следующую команду:

     % cat key-nopass.pem server_cert.pem > cert.pem

TLS-сертификат, подписанный центром сертификации (например, cert.pem), готов к импорту в Kaspersky Secure Mail Gateway.

См. также Использование протокола TLS в работе Kaspersky Secure Mail Gateway Создание TLS-сертификата Удаление TLS-сертификата Подготовка самоподписанного TLS-сертификата к импорту Импорт TLS-сертификата из файла

В начало