Инструменты пользователя

Инструменты сайта


ics70:serts

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
ics70:serts [2020/03/31 09:49]
ics70:serts [2020/06/12 10:51] (текущий)
misha [Сертификаты]
Строка 1: Строка 1:
 +====== Сертификаты ======
  
 +Модуль "​Сертификаты"​ расположен в Меню "​Защита"​. Данный модуль предназначен для управления сертификатами,​ которые используются для установления защищённых SSL/TLS соединений типа клиент-сервер. Более подробно о SSL/TLS можно почитать здесь [[https://​ru.wikipedia.org/​wiki/​SSL|https://​ru.wikipedia.org/​wiki/​SSL]] и [[https://​ru.wikipedia.org/​wiki/​TLS|https://​ru.wikipedia.org/​wiki/​TLS]].
 +
 +Созданные сертификаты могут применяться как в "​ИКС",​ так и в сторонних программах.
 +
 +**Внимание** с версии 7.1.0 прекращена поддержка сертификатов с шифрованием md5.
 +
 +При первой установке "​ИКС"​ автоматически создаются конечные сертификаты для WEB-интерфейса,​ телефонии и почты.
 +
 +{{ics70:​certificate_main.png?​nolink&​1559x205}}
 +
 +Список сертификатов представлен в виде дерева,​ а поле модуля поделено на столбцы,​ в которых показана основная информация о сертификатах:​ тип ключа родительского сертификата,​ дата начала действия и окончания,​ а также имя хоста (или ip-адрес),​ который представляет данный сертификат.
 +
 +Модуль позволяет создать новый сертификат или удалить существующий при помощи кнопок "​Создать"​ и "​Удалить";​ экспортировать созданные сертификаты или импортировать сторонние при помощи кнопок "​Экспорт"​ и "​Импорт";​ просматривать информацию о выбранном сертификате при помощи кнопки "​Просмотр сертификата"​.
 +
 +===== Создание сертификатов =====
 +
 +Чтобы создать новый сертификат,​ нажмите "​Добавить"​.
 +
 +{{ics70:​certificate_add.jpg?​nolink&​716x588|certificate_add.jpg}}
 +
 +Во вкладке "​Общее"​ заполняются данные сертификата:​ наименование,​ код страны,​ местоположение,​ сведения об организации,​ имя хоста или ip-адрес.
 +
 +{{  ics70:​certificates_add_settings.jpg ​ |certificates_add_settings.jpg}}
 +
 +Во вкладке "​Настройки"​ определяется роль сертификата - CA (корневой) или конечный,​ устанавливается метод шифрования,​ время действия и длина ключа в битах.
 +
 +{{  ics70:​certificates_add_key_usage.jpg ​ |certificates_add_key_usage.jpg}}
 +
 +Во вкладке "​Использование ключа"​ можно выбрать шаблон использования открытого ключа сертификата в поле "​Шаблон"​ или указать вручную в разделах "​Использование ключа"​ ("Key usage extensions"​) и "​Расширенное использование ключа"​ ("​Extended key usage"​). Более подробно можно почитать здесь [[https://​www.ibm.com/​support/​knowledgecenter/​en/​SSKTMJ_9.0.1/​admin/​conf_keyusageextensionsandextendedkeyusage_r.html|https://​www.ibm.com/​support/​knowledgecenter/​en/​SSKTMJ_9.0.1/​admin/​conf_keyusageextensionsandextendedkeyusage_r.html]]
 +
 +{{  ics70:​certificates_add_netscape.jpg ​ |certificates_add_netscape.jpg}}
 +
 +Во вкладке "​Netscape расширение"​ можно указать использование ключа для совместимости со старыми Netscape приложениями (выпущенными до принятия стандарта X.509 v3).
 +
 +После нажатия кнопки "​Добавить"​ будет предложено зашифровать ключ паролем. Введите пароль или откажитесь от его использования.
 +
 +{{  ics70:​certificates_encrypt.jpg ​ |certificates_encrypt.jpg}}
 +
 +**Важно:​ для служб ИКС всегда применяются только нешифрованные сертификаты.**
 +
 +**Важно:​ первоначально всегда должен создаваться корневой сертификат,​ затем - дочерние конечные сертификаты! К службам ИКС(кроме [[ics70:​https|SSL-фильтрации]]),​ применяются только конечные сертификаты. Будьте внимательны:​ неверное применение сертификата к службам может сделать их недоступными для пользователя!**
 +
 +===== Удаление сертификатов =====
 +
 +Для удаления сертификата выделите нужный сертификат в списке (или несколько сертификатов зажав клавишу Ctrl) и нажмите кнопку "​Удалить":​
 +
 +{{  ics70:​certificates_delete.jpg ​ |certificates_delete.jpg}}
 +
 +Если сертификат используется какой-либо службой "​ИКС",​ то будет выдано уведомление об ошибке:​
 +
 +{{  ics70:​certificates_delete_fail.jpg ​ |certificates_delete_fail.jpg}}
 +
 +===== Импорт/​экспорт сертификатов =====
 +
 +Для импорта сертификата нажмите кнопку "​Импорт":​
 +
 +{{  ics70:​certificates_import.jpg ​ |certificates_import.jpg}}
 +
 +В полях "​Сертификат"​ и "​Ключ сертификата"​ выбираются файл сертификата и файл ключа соответственно. Для импорта сертификата в формате PKCS12 необходимо в поле "​Сертификат"​ выбрать соответствующий файл и в поле "​Пароль сертификата в формате PKCS 12" указать пароль.
 +
 +Для экспорта сертификата нажмите кнопку "​Экспорт"​ и выберите необходимый вариант:​
 +
 +{{  ics70:​certificates_export.jpg ​ |certificates_export.jpg}}
 +
 +===== Просмотр сертификата =====
 +
 +Для просмотра сертификата,​ выделите нужный сертификат в списке и нажмите кнопку "​Просмотр сертификата"​.
 +
 +{{  ics70:​certificates_view.png ​ }}
 +
 +**ВНИМАНИЕ** Если провайдер расшифровывает трафик и выдал СА сертификат,​ то после импорта сертификата на ИКС, необходимо нажать "​Просмотр сертификата"​. В открывшейся форме необходимо нажать "​Добавить в доверенные сертификаты",​ иначе ИКС не будет доверять данным сертификатам и не откроет запрашиваемые страницы. ​