Добавление доверенного сертификата

Для расшифровки SSL-соединений вам нужно добавить один доверенный сертификат, который будет использоваться для подписи сертификатов для передачи клиентам, а также закрытый ключ этого сертификата. Вы можете добавить корневой или промежуточный сертификаты либо заранее созданный самоподписанный сертификат. Безопаснее загружать промежуточный, а не корневой сертификат, чтобы в случае компрометации корневой сертификат не был скомпрометирован.

После добавления сертификата для расшифровки SSL-соединений требуется сделать этот сертификат доверенным для браузеров на компьютерах пользователей. Для этого вам нужно добавить его в список доверенных в локальном хранилище на компьютерах пользователей.

При использовании некоторых браузеров (например, Mozilla Firefox) требуется также добавить сертификат в хранилище браузера.

Вы можете загрузить только один сертификат. Этот сертификат будет назначен активным.

Чтобы добавить сертификат:

  1. В главном меню Консоли Open Single Management Platform перейдите в раздел Приложения и сервисыNGFW.

    Откроется вкладка Политика.

  2. В разделе Инспектирование SSL выберите Общее.
  3. Установите переключатель Расшифровать зашифрованные соединения в положение Вкл.
  4. Добавьте сертификат. Для этого нажмите на кнопку Выбрать и в открывшемся окне выберите нужный файл сертификата. Если сертификат не может быть загружен, отобразится сообщение об ошибке с описанием причины.

    Сертификат должен соответствовать следующим требованиям:

    • Файл должен быть текстового формата (PEM) или бинарного формата (ASN.1).
    • Рекомендуется использовать файл с расширениями .CRT, .CER, .CERT, .PEM. При этом допускается использовать другие форматы.
    • Сертификат должен быть действующим. Вы не сможете загрузить просроченный сертификат или сертификат, срок действия которого еще не начался.
    • Значение поля Общее имя не должно быть пустым.

    После успешной загрузки сертификата отобразится подробная информация об этом сертификате.

  5. Загрузите закрытый ключ сертификата. Для этого нажмите кнопку Выбрать и в открывшемся окне выберите нужный файл закрытого ключа.

    Закрытый ключ должен соответствовать следующим требованиям:

    • ключ должен быть зашифрован паролем;
    • пароль должен подходить именно к загружаемому сертификату.
  6. В открывшемся окне введите пароль к закрытому ключу сертификата и нажмите ОК.
  7. Примените изменения к политике OSMP, нажав на кнопку Применить и отправить.

Сертификат и приватный ключ будут сохранены в политике OSMP.

Во избежание несанкционированного доступа к трафику файл закрытого ключа необходимо хранить в защищенном месте.

При ошибках проверки сертификата сервера вы также можете выбрать действие Разрешить для трафика от этого сервера. Для этого загрузите недоверенный сертификат и приватный ключ для него. Изменить действие и загрузить недоверенный сертификат вы можете с помощью командной строки, используя семейство команд tls. Описание семейств команд и ссылку на полный список команд для настройки работы Kaspersky NGFW вы можете найти в разделе Управление Kaspersky NGFW с помощью командной строки.

В начало