Как установить континент сертификатов с флешки

Обновлено: 21.11.2024

Инструкции по экспорту сертификата из Firebox см. в разделе Экспорт сертификата из Firebox.

При экспорте сертификата с устройства он сохраняется в формате PEM. Для некоторых методов распространения сертификатов предпочтительным форматом сертификата для импорта является формат DER. Информацию о преобразовании форматов сертификатов см. в разделе Преобразование формата сертификата.

У каждой клиентской операционной системы и веб-браузера есть разные методы импорта сертификатов. Инструкции для наиболее распространенных операционных систем и веб-браузеров описаны в следующих разделах. Для других операционных систем и браузеров см. документацию производителя.

WatchGuard предоставляет инструкции по совместимости, чтобы помочь нашим клиентам настроить продукты WatchGuard для работы с продуктами, созданными другими организациями. Если вам требуется дополнительная информация или техническая поддержка по настройке продукта, отличного от WatchGuard, см. документацию и ресурсы поддержки для этого продукта.

Импорт сертификата с портала сертификатов в Firebox

Клиент может загрузить и установить сертификат Proxy Authority с портала сертификатов в Firebox.

Чтобы скачать и установить сертификат:

Дополнительную информацию см. на портале сертификатов.

Импорт сертификата на клиентах Windows с помощью Internet Explorer

Когда вы устанавливаете сертификат в доверенных корневых центрах сертификации с помощью Internet Explorer, это позволяет всей системе, включая другие программы или службы, использующие хранилище сертификатов Windows, использовать этот сертификат для текущего пользователя. Например, браузер Google Chrome для Windows и Центр обновления Windows также будут использовать все установленные сертификаты.

Если сертификат имеет формат DER, вы можете отформатировать имя файла с расширением .der, .cer или .crt. Затем вы можете передать этот сертификат пользователям, которые могут дважды щелкнуть файл сертификата, чтобы запустить программу установки сертификата в своей системе.

Чтобы вручную импортировать сертификат с помощью Internet Explorer:

  1. Выберите Инструменты.
  2. Выберите «Свойства обозревателя».
  3. Выберите вкладку "Контент".
  4. Нажмите "Сертификаты".
  5. Нажмите «Импорт» и следуйте инструкциям мастера импорта сертификатов, чтобы импортировать сертификаты. Во время этого процесса необходимо указать доверенные корневые центры сертификации в качестве местоположения сертификата.

При импорте сертификата с помощью мастера импорта сертификатов сертификат импортируется в хранилища текущего пользователя. Чтобы импортировать сертификат в хранилища локальных компьютеров, чтобы все пользователи могли использовать сертификат, необходимо дважды щелкнуть файл сертификата и импортировать его в хранилища локальных компьютеров.

Импорт сертификата в клиенты Windows с помощью групповой политики Active Directory

Вы также можете развернуть сертификаты на своих клиентских устройствах Windows с помощью объекта групповой политики с вашего сервера Active Directory. Это позволяет автоматически обновлять все клиенты Windows в вашем домене с помощью необходимых сертификатов.

Дополнительную информацию см. в документации Microsoft для вашей операционной системы.

Импорт сертификата в Mozilla Firefox

Вы можете вручную импортировать сертификат с помощью Firefox или настроить Firefox так, чтобы он автоматически доверял сертификатам в хранилище сертификатов Windows.

Импорт вручную

Чтобы вручную импортировать сертификат с помощью Mozilla Firefox:

  1. Выберите параметры.
  2. Перейдите на вкладку "Дополнительно".
  3. Перейдите на вкладку "Сертификаты".
  4. Нажмите "Просмотреть сертификаты".
  5. Выберите вкладку "Полномочия".
  6. Нажмите "Импорт".
  7. Выберите файл сертификата и нажмите «Открыть».
  8. В диалоговом окне "Загрузка сертификата" установите флажок "Доверять этому центру сертификации для идентификации веб-сайтов".
  9. Нажмите "ОК".
  10. Перезапустите Firefox.

Использовать хранилище сертификатов Windows

Чтобы упростить развертывание сертификатов, вы также можете настроить Mozilla Firefox версии 49 и выше для использования хранилища сертификатов Windows. Например, если вы развертываете сертификат с помощью групповой политики в хранилище сертификатов Windows, Firefox автоматически будет доверять этому сертификату. Дополнительную информацию о поддержке хранилища сертификатов Windows в Firefox см. в Mozilla Wiki.

  1. В адресной строке Firefox введите about:config .
  2. Если появится предупреждение, нажмите, чтобы продолжить.
    Откроется список настроек.
  3. Прокрутите вниз, чтобы найти параметр security.enterprise_roots.enabled и убедитесь, что для него задано значение True.
  4. Если параметр security.enterprise_roots.enabled не существует, его необходимо добавить:
    1. Щелкните правой кнопкой мыши в любом месте списка настроек и выберите «Создать» > «Логическое значение».
      Откроется диалоговое окно "Новое логическое значение".
    2. Введите security.enterprise_roots.включен и нажмите ОК.
      Откроется диалоговое окно "Введите логическое значение".
    3. Выберите True и нажмите OK.
    1. Создайте файл .cfg в кодировке ANSI с помощью этих команд.
      lockPref("security.enterprise_roots.enabled", true);
    2. Создайте файл .js в кодировке ANSI с помощью этих команд. Файл .js ссылается на созданный вами файл .cfg.
      pref("general.config.obscure_value", 0);
      pref("general.config.filename", "[имя файла].cfg");
    3. Сохраните файл .cfg в корневой папке Firefox по адресу:
      • Для 64-разрядной версии Windows, 32-разрядной версии Firefox — C:\Program Files (x86)\Mozilla Firefox\
      • Для 64-разрядной версии Windows, 64-разрядной версии Firefox — C:\Program Files\Mozilla Firefox
      • Для 32-разрядной версии Windows — C:\Program Files\Mozilla Firefox
    4. Сохраните файл .js в папке defaults\pref по адресу C:\Program Files (x86)\Mozilla Firefox\defaults\pref .

    Чтобы распространить файлы .js и .cfg на компьютеры Windows в вашей сети, вы можете использовать групповую политику или установку Firefox по сценарию.

    Чтобы использовать групповую политику для распространения файлов:

    1. В диспетчере групповой политики создайте новый объект групповой политики.
    2. Щелкните объект правой кнопкой мыши и выберите "Редактировать".
      Откроется диалоговое окно «Редактор управления групповыми политиками».
    3. Выберите «Конфигурация компьютера» > «Настройки» > «Параметры Windows» > «Файлы».
    4. Щелкните правой кнопкой мыши раздел "Файлы" и выберите "Создать" > "Файл".
    5. Рядом с текстовым полем "Исходный файл(ы)" найдите файл .cfg.
    6. Рядом с текстовым полем "Файлы назначения" укажите C:\Program Files (X86)\Mozilla Firefox\[имя файла].cfg для 64-разрядной версии Windows или C:\Program Files\Mozilla Firefox для 32-разрядной версии Windows. бит винда. Для 64-разрядной версии Windows с 64-разрядной версией Firefox укажите C:\Program Files\Mozilla Firefox. Файл .cfg будет установлен на компьютеры пользователей по этому адресу.
    7. Повторите шаги 1–5. Рядом с текстовым полем Файлы назначения укажите C:\Program Files\Mozilla Firefox\[имя файла].cfg для 64-разрядной версии Windows или C:\Program Files\Mozilla Firefox для 32-разрядной версии Windows. Для 64-разрядной версии Windows с 64-разрядной версией Firefox укажите C:\Program Files\Mozilla Firefox. Файл .cfg будет установлен на компьютеры пользователей по этому адресу.
    8. Повторите шаги 1–4.
    9. Рядом с текстовым полем "Исходный файл(ы)" найдите файл .js.
    10. Рядом с текстовым полем "Файлы назначения" укажите C:\Program Files (X86)\Mozilla Firefox\defaults\pref\[имя файла].js для 64-разрядной версии Windows или C:\Program Files\Mozilla. Firefox\defaults\pref\[имя файла].js для 32-разрядной версии Windows. Для 64-разрядной версии Windows с 64-разрядной версией Firefox укажите C:\Program Files\Mozilla Firefox. Файл .js будет установлен на компьютеры пользователей по этому адресу.
    11. Повторите шаги 1–4.
    12. Рядом с текстовым полем "Исходный файл(ы)" найдите файл .js.
    13. Рядом с текстовым полем "Файлы назначения" укажите C:\Program Files\Mozilla Firefox\defaults\pref\[имя файла].js для 64-разрядной версии Windows или C:\Program Files\Mozilla Firefox\defaults. \pref\[имя файла].js для 32-разрядной версии Windows. Для 64-разрядной версии Windows с 64-разрядной версией Firefox укажите C:\Program Files\Mozilla Firefox. Файл .js будет установлен на компьютеры пользователей по этому адресу.
    14. Нажмите "ОК".

    Чтобы выполнить установку Firefox по сценарию, см. документацию по настройке установки Mozilla.

    Импорт сертификата с macOS и Apple Safari

    Этот процесс позволяет Safari и другим программам или службам, использующим хранилище сертификатов macOS, получать доступ к сертификату.

    1. Откройте приложение "Связка ключей".
    2. Выберите категорию Сертификаты.
    3. Нажмите + (кнопка со значком плюса) на нижней панели инструментов, затем найдите и выберите сертификат.
    4. Выберите системную связку ключей, затем нажмите «Открыть».
      Или выберите системную связку ключей, а затем перетащите файл сертификата в список.
    5. Щелкните сертификат правой кнопкой мыши и выберите Получить информацию.
      Откроется окно информации о сертификате.
    6. Разверните категорию "Доверие".
    7. В раскрывающемся списке При использовании этого сертификата выберите Всегда доверять.
    8. Закройте окно информации о сертификате.
    9. Введите пароль администратора, чтобы подтвердить изменения.

    Импорт сертификата с устройства Apple iOS

    Чтобы импортировать сертификат на устройство Apple iOS, например iPhone или iPad, необходимо использовать файл сертификата в формате DER. Информацию о том, как экспортировать сертификат формата PEM из Firebox System Manager и преобразовать его в формат DER, см. в разделе Экспорт сертификата из Firebox и преобразование формата сертификата.

    Файл сертификата может быть распространен среди пользователей несколькими способами, такими как электронная почта, загрузка с веб-сайта, профиль конфигурации iOS или установка с помощью простого протокола регистрации сертификатов (SCEP).

    Если вы получили файл сертификата по электронной почте или загрузили с веб-сайта, коснитесь сертификата, чтобы добавить его на устройство.Например, чтобы добавить сертификат, распространяемый по электронной почте:

    1. Откройте приложение "Почта".
    2. Откройте электронное письмо с прикрепленным сертификатом.
    3. Нажмите на прикрепленный сертификат.
      Откроется диалоговое окно «Установить профиль».
    4. Нажмите "Установить".

    Если появится предупреждающее сообщение, вы можете спокойно проигнорировать его и нажать «Установить». Это сообщение появляется, если устройство iOS не доверяет центру подписи для этого сертификата.

    После установки сертификата необходимо включить его в настройках доверия сертификатов, если на вашем устройстве установлена ​​iOS 10.3 или более поздней версии:

    1. Выберите «Настройки» > «Основные» > «О программе».
    2. Выберите Настройки доверия сертификата.
    3. В разделе "Включить полное доверие для корневых сертификатов" коснитесь ползунка сертификата.
    4. Нажмите "Продолжить".

    Импорт сертификата на устройство Android

    Инструкции по добавлению сертификата на устройство Android различаются в зависимости от производителя устройства. Применяются следующие общие правила:

    • Чтобы добавить сертификат, у вас должна быть версия Android 4.3 или выше.
    • Android поддерживает сертификаты X.509 в кодировке DER. Для некоторых устройств требуется, чтобы сертификаты сохранялись с расширением файла .crt или .cer.

    Информацию о том, как экспортировать сертификат формата PEM из Firebox System Manager и преобразовать его в формат DER, см. в разделе Экспорт сертификата из Firebox и преобразование формата сертификата.

    Если у вас есть копия сертификата на вашем устройстве в виде вложения электронной почты или загруженного файла, некоторые устройства позволяют вам коснуться сертификата, чтобы импортировать его на ваше устройство.

    1. Откройте приложение электронной почты на устройстве Android.
    2. Откройте электронное письмо с прикрепленным сертификатом.
    3. Нажмите на прикрепленный сертификат.
      Откроется диалоговое окно "Имя сертификата".
    4. Введите описательное имя сертификата.
    5. Нажмите "ОК".

    Чтобы импортировать сертификат, сохраненный во внутреннюю память устройства Android:

    1. В настройках устройства Android перейдите к параметрам безопасности, в которых хранятся сертификаты и учетные данные.
    2. Импортируйте сертификат.

    См. также

    © WatchGuard Technologies, Inc., 2022. Все права защищены. WatchGuard и логотип WatchGuard являются зарегистрированными товарными знаками или товарными знаками WatchGuard Technologies в США и/или других странах. Все остальные торговые наименования являются собственностью соответствующих владельцев.

    В этом разделе рассказывается, как вручную создать установочный USB-накопитель Windows из файла образа установочного ISO-диска или DVD-диска Windows, и он предназначен для производителей ПК, желающих создать носитель, который они могут использовать для производства устройств Windows.

    Действия, описанные на этой странице, предполагают, что у вас есть установочный носитель Windows и доступ к компьютеру технического специалиста Windows. Если вы ищете простой автоматизированный способ создания загрузочного USB-накопителя для установки Windows, см.:

    Что вам нужно

    • Установочный носитель Windows. Это может быть установочный файл .ISO или DVD.
    • USB-накопитель со свободным пространством не менее 5 ГБ. Этот диск будет отформатирован, поэтому убедитесь, что на нем нет важных файлов.
    • Технический ПК – ПК с Windows, который вы будете использовать для форматирования USB-накопителя.
    • Конечный компьютер — компьютер, на который вы будете устанавливать Windows.

    Шаг 1. Отформатируйте диск и сделайте основной раздел активным

    Подключите флэш-накопитель USB к обслуживающему ПК.

    Откройте «Управление дисками». Щелкните правой кнопкой мыши «Пуск» и выберите «Управление дисками».

    Отформатируйте раздел. Щелкните правой кнопкой мыши раздел USB-накопителя и выберите «Форматировать». Выберите файловую систему FAT32, чтобы иметь возможность загружать ПК с BIOS или UEFI.

    FAT32 имеет ограничение на размер файла 4 ГБ. Если ваш образ WIM больше 4 ГБ, см. раздел Если ваш образ Windows больше 4 ГБ ниже.

    Установите раздел как активный. Щелкните правой кнопкой мыши раздел USB-накопителя и выберите Пометить раздел как активный.

    Если параметр «Отметить раздел как активный» недоступен, вы можете вместо этого использовать diskpart, чтобы выбрать раздел и отметить его как активный.

    Шаг 2. Скопируйте программу установки Windows на USB-накопитель

    Используйте Проводник, чтобы скопировать и вставить все содержимое DVD-диска или ISO-образа продукта Windows на флэш-накопитель USB.

    Необязательно: добавьте файл автоматической установки, чтобы автоматизировать процесс установки. Дополнительные сведения см. в разделе Автоматизация установки Windows.

    Шаг 3. Установите Windows на новый компьютер

    Подключите флэш-накопитель USB к новому ПК.

    Включите компьютер и нажмите клавишу, которая открывает меню выбора загрузочного устройства для компьютера, например клавиши Esc/F10/F12. Выберите вариант загрузки ПК с USB-накопителя.

    Начнется установка Windows. Следуйте инструкциям по установке Windows.

    Извлеките флэш-накопитель USB.

    Если ваш образ Windows больше 4 ГБ

    Установочные USB-накопители Windows отформатированы в файловой системе FAT32, размер файла которой ограничен 4 ГБ. Если размер вашего изображения превышает ограничение на размер файла:

    Скопируйте все, кроме файла образа Windows (sources\install.wim) на USB-накопитель (либо перетащите его, либо используйте эту команду, где D: — смонтированный ISO-образ, а E: — USB-накопитель.)< /p>

    Разделите файл образа Windows на файлы меньшего размера и поместите файлы меньшего размера на USB-накопитель:

    Подтвержден FIPS 140-2 уровня 3 | ультра компактный | 100% аппаратное шифрование «на лету» | Установка и эксплуатация без программного обеспечения | Кроссплатформенная совместимость | Аутентификация на встроенной клавиатуре без хоста | Прочный корпус из экструдированного алюминия

    Написать отзыв

    Ключ безопасности Aegis 3Z

    Параметры

    Артикул:ASK3Z ,Ширина: ,Высота: ,Глубина:

    Артикул: ASK3Z Разработан и собран в Калифорнии, США. --> * БЕСПЛАТНАЯ НАЗЕМНАЯ ДОСТАВКА ЗАКАЗОВ НА СУММУ $200.00 ИЛИ БОЛЬШЕ (только для континентальной части США). --> Значки продукта fips-140-level-3 --> Значки продукта nato-otan-restricted --> Значки продукта настраиваемые --> Значки продукта ip67 --> Значки продукта 3 года гарантии --> Значки продукта taa -совместимость --> Значки продуктов os-systems --> Для заказов, отправляемых за пределы США, итоговая сумма оформления заказа не будет включать налоги и пошлины . -->

    Небольшой размер, высокая безопасность данных: Aegis Secure Key 3z

    Не позволяйте его размеру обмануть вас; Наш самый маленький защищенный USB-накопитель обеспечивает максимальную портативность, доступность и защиту данных. Не требующий программного обеспечения, полностью аппаратный 256-битный USB-ключ с шифрованием AES XTS, встроенная клавиатура с аутентификацией PIN-кодом и сверхбыстрая скорость передачи данных USB 3.1 (3.0). Все данные шифруются на лету, а PIN-коды и данные устройства остаются зашифрованными, пока диск находится в состоянии покоя. Полностью кроссплатформенная совместимость и независимость от ОС; процветает в Windows, Linux, Mac, Android, Chrome, встроенных системах и оборудовании, имеющем USB-порт с питанием и файловую систему хранения. Все внутренние компоненты защищены от физического вмешательства слоем закаленной эпоксидной смолы, а заблокированная прошивка обеспечивает невосприимчивость к атакам вредоносных программ, таких как BadUSB.

    С AegisWare™

    AegisWare — сердце и душа каждого защищенного устройства Apricorn. Это наша запатентованная прошивка в сочетании с самым передовым набором функций в отрасли.

    FIPS 140-2, уровень 3

    Совместимость с конфигуратором Aegis

    Приложение для Windows, которое быстро настраивает несколько устройств одновременно. Создавайте собственные профили и массовую настройку нескольких устройств за считанные секунды с помощью Aegis Configurator. Чтобы настроить большее количество устройств, используйте пакет Powered Aegis Configurator Hub.

    Отдельный режим администратора и пользователя

    Режим администратора (конфигурация устройства) и режим доступа пользователя. Aegis Secure Key поддерживает независимые PIN-коды администратора и пользователя. Режим администратора управляет универсальными программируемыми настройками устройства и доступен только с помощью PIN-кода администратора. Пользовательский режим ограничен базовыми функциями внешнего накопителя, такими как чтение/запись, разблокировка/блокировка и т. д. Доступ к данным на накопителе также можно получить с помощью PIN-кода администратора в пользовательском режиме.

    Износостойкая бортовая клавиатура с полимерным покрытием

    Диск разблокируется путем ввода PIN-кода на клавиатуре, а не на клавиатуре главного компьютера. Пока защищенный USB-накопитель не будет разблокирован с помощью клавиатуры, он остается невидимым для хоста. Встроенная клавиатура обходит все попытки аппаратной и программной регистрации ключей для захвата паролей, исключая хост-систему из процесса аутентификации. Кнопки с полимерным покрытием износостойкие и скрывают наиболее часто используемые кнопки.

    Принудительная регистрация администратором

    Уникальный PIN-код должен быть установлен во время установки. Устраняет уязвимость заводского PIN-кода по умолчанию. По умолчанию заводские PIN-коды по умолчанию отсутствуют. Чтобы настроить и использовать накопитель, администратор должен сначала установить уникальный PIN-код в режиме администратора.

    Принудительная регистрация пользователя

    Администратор может запрограммировать устройство во время установки, требуя от пользователя установки уникального PIN-кода. После того как устройство настроено администратором, оно может быть развернуто в состоянии ПРИНУДИТЕЛЬНОЙ РЕГИСТРАЦИИ ПОЛЬЗОВАТЕЛЕМ, в котором пользователь должен сначала установить свой собственный PIN-код пользователя, прежде чем к диску можно будет получить доступ или использовать его.

    ПИН-коды для восстановления данных

    Создает состояние принудительной регистрации пользователя, которое восстанавливает доступ к диску. В случае, если ПИН-код пользователя забыт, ПИН-коды восстановления можно запрограммировать в устройстве, чтобы разрешить доступ к данным накопителя путем создания нового состояния принудительной регистрации пользователя, в то время как ПИН-код администратора и данные накопителя остаются нетронутыми. После создания нового PIN-кода пользователя доступ к диску для пользователя восстанавливается.

    Два режима только для чтения

    Глобальные, все настройки доступа, контролируемые администратором, и режим пользователя, управляющий отдельными настройками. Используется в ситуациях, когда требуется, чтобы содержимое диска оставалось нетронутым и неизменным для последующего изучения. Два режима «Только для чтения» следующие: Универсальный режим «Только для чтения» задается администратором из режима администратора и не может быть изменен или отключен кем-либо, кроме администратора. Второй режим только для чтения может быть установлен и отключен пользователем, но также может быть включен или отключен администратором.

    Программируемая длина PIN-кода

    Администратор определяет минимальную и максимальную длину PIN-кода (от 7 до 16 символов). Чем длиннее PIN-код, тем более безопасными становятся данные на устройстве. Например, вероятность успешного перебора защищенного USB-накопителя составляет от 1/10 000 000 с 7-значным PIN-кодом до 1/100 000 000 с 8-значным PIN-кодом. В тех случаях, когда пользователь устанавливает свой собственный PIN-код из принудительной регистрации пользователя, администратор может установить расширенное требование к длине пароля пользователя в рамках общей политики безопасности.

    Защита от грубой силы

    Выберите допустимое количество последовательных попыток ввода неверного PIN-кода (4–20) перед криптостиранием. Все Aegis Secure Drive разблокируются (аутентифицируются) путем ввода PIN-кода на собственной встроенной клавиатуре. Поскольку PIN-код не вводится с помощью клавиатуры главного компьютера, они не уязвимы для программных или аппаратных кейлоггеров или программных атак грубой силы. Однако, если устройство подвергнется физической атаке грубой силы, ваши данные будут защищены с помощью программируемого «механизма защиты от взлома», который, если было предпринято запрограммированное число (от 4 до 20) последовательных неправильных вводов пароля, устройство удалит свой собственный ключ шифрования и лишит возможности расшифровать сохраненные данные.

    Автоблокировка без присмотра

    Программируемое время бездействия, разрешенное до того, как накопитель заблокируется. Все защищенные USB-накопители Aegis автоматически блокируются после отключения от USB-порта компьютера, прерывания подачи питания на этот USB-порт или после запрограммированного периода бездействия.

    Переопределение блокировки

    Позволяет диску оставаться разблокированным во время повторного перечисления портов USB (виртуальная машина, удаленная загрузка). Предназначен для особых случаев, когда ключ должен оставаться разблокированным посредством перенумерации USB-порта, например, во время перезагрузки или прохождения через виртуальную машину.

    Функция сброса диска

    Все устройства Apricorn можно сбрасывать и повторно развертывать снова и снова. Сброс диска очищает PIN-коды пользователя и администратора, уничтожает данные, создает новый случайно сгенерированный ключ шифрования и позволяет повторно использовать диск с бесконечным количеством случайно сгенерированных ключей шифрования, что позволяет администратору и/или пользователю сбросить диск. так часто, как это необходимо.

    ПИН-код самоуничтожения

    При программировании и активации выполняет криптографическое стирание и становится новым PIN-кодом доступа. Последняя линия защиты данных, когда физическая безопасность устройства находится под угрозой. ПИН-код самоуничтожения защищает от таких ситуаций, связанных с физической компрометацией, стирая содержимое ключа, оставляя его в нормальном рабочем состоянии, и кажется, что его еще не развернули.

    Контроллер предназначен для предоставления безопасных услуг за счет использования цифровых сертификатов. Сертификаты обеспечивают безопасность при аутентификации пользователей и компьютеров и устраняют необходимость в менее надежной аутентификации на основе пароля.

    В контроллере установлен сертификат сервера по умолчанию, чтобы продемонстрировать аутентификацию контроллера для авторизованного портала и доступа к управлению через веб-интерфейс. Однако этот сертификат не гарантирует безопасность в рабочих сетях. Aruba настоятельно рекомендует заменить сертификат по умолчанию специальным сертификатом, выданным для вашего сайта или домена доверенным центром сертификации (ЦС). В этом разделе описывается, как сгенерировать запрос на подпись сертификата (CSR) для отправки в ЦС и как импортировать подписанный сертификат, полученный от ЦС, в контроллер.

    Контроллер поддерживает аутентификацию клиента с использованием цифровых сертификатов для определенных сетевых служб, ориентированных на пользователя, таких как AAA FastConnect, VPN (см. Виртуальные частные сети), а также доступ к управлению с помощью веб-интерфейса и SSH. Каждая служба может использовать разные наборы клиентских и серверных сертификатов.

    Во время проверки подлинности на основе сертификата контроллер предоставляет свой сертификат сервера клиенту для проверки подлинности. После проверки сертификата сервера контроллера клиент представляет контроллеру свой собственный сертификат для аутентификации. Чтобы проверить сертификат клиента, контроллер проверяет список отзыва сертификатов (CRL), поддерживаемый ЦС, выпустившим сертификат клиента. После проверки сертификата клиента контроллер может проверить имя пользователя в сертификате с настроенным сервером аутентификации (это действие является необязательным и настраиваемым).

    При использовании X.509 для аутентификации, если на контроллере было настроено баннерное сообщение, оно отображается до того, как пользователь сможет войти в систему. Нажмите кнопку «Войти» после просмотра баннера, чтобы завершить процесс входа.

    О цифровых сертификатах

    Клиенты и серверы, к которым они подключаются, могут иметь сертификаты аутентификации, подтверждающие их личность. Когда клиент подключается к серверу в первый раз или в первый раз после истечения срока действия или отзыва его предыдущего сертификата, сервер запрашивает у клиента передачу своего сертификата аутентификации. Затем сертификат клиента сверяется с выдавшим его ЦС. Клиенты также могут запрашивать и проверять сертификат аутентификации сервера. Для некоторых приложений, таких как аутентификация 802.1X, клиентам не нужно проверять сертификат сервера для работы аутентификации.

    Цифровые сертификаты выдаются центром сертификации, который может быть коммерческой, сторонней компанией или частным центром сертификации, контролируемым вашей организацией. Центру сертификации доверяют аутентифицировать владельца сертификата перед выдачей сертификата. Сертификат, подписанный ЦС, гарантирует личность владельца сертификата. Это делается путем сравнения цифровой подписи на сертификате клиента или сервера с подписью на сертификате ЦС. Когда сертификаты, подписанные ЦС, используются для аутентификации клиентов, контроллер проверяет действительность клиентских сертификатов с помощью списков отзыва сертификатов (CRL), поддерживаемых ЦС, выпустившим сертификат.

    Цифровые сертификаты используют инфраструктуру открытых ключей (PKI), для которой требуется пара закрытый-открытый ключ. Цифровой сертификат связан с закрытым ключом, известным только владельцу сертификата, и открытым ключом. Сертификат, зашифрованный закрытым ключом, расшифровывается открытым ключом. Например, сторона А шифрует свой сертификат с помощью закрытого ключа и отправляет его стороне Б. Сторона Б расшифровывает сертификат с помощью открытого ключа стороны А.

    Получение сертификата сервера

    Рекомендуется заменить сертификат сервера по умолчанию в контроллере специальным сертификатом, выданным для вашего сайта или домена доверенным ЦС. Чтобы получить сертификат безопасности для контроллера от ЦС:


    1. Создайте запрос на подпись сертификата (CSR) на контроллере с помощью веб-интерфейса или интерфейса командной строки.

    2. Отправьте CSR в ЦС. Скопируйте и вставьте выходные данные CSR в электронное письмо и отправьте его в центр сертификации по вашему выбору.

    3. ЦС возвращает подписанный сертификат сервера, сертификат ЦС и открытый ключ.

    4. Установите сертификат сервера, как описано в разделе Импорт сертификатов .

    Единовременно в контроллере может быть только один ожидающий CSR. После создания CSR вам необходимо импортировать сертификат, подписанный ЦС, в контроллер, прежде чем вы сможете сгенерировать другой CSR.

    Читайте также: