Модуль «Сертификаты» расположен в Меню «Защита». Данный модуль предназначен для управления сертификатами, которые используются для установления защищённых SSL/TLS соединений типа клиент-сервер. Более подробно о SSL/TLS можно почитать здесь https://ru.wikipedia.org/wiki/SSL и https://ru.wikipedia.org/wiki/TLS.
Созданные сертификаты могут применяться как в «ИКС», так и в сторонних программах.
Внимание с версии 7.1.0 прекращена поддержка сертификатов с шифрованием md5.
При первой установке «ИКС» автоматически создаются конечные сертификаты для WEB-интерфейса, телефонии и почты.
Список сертификатов представлен в виде дерева, а поле модуля поделено на столбцы, в которых показана основная информация о сертификатах: тип ключа родительского сертификата, дата начала действия и окончания, а также имя хоста (или ip-адрес), который представляет данный сертификат.
Модуль позволяет создать новый сертификат или удалить существующий при помощи кнопок «Создать» и «Удалить»; экспортировать созданные сертификаты или импортировать сторонние при помощи кнопок «Экспорт» и «Импорт»; просматривать информацию о выбранном сертификате при помощи кнопки «Просмотр сертификата».
Чтобы создать новый сертификат, нажмите «Добавить».
Во вкладке «Общее» заполняются данные сертификата: наименование, код страны, местоположение, сведения об организации, имя хоста или ip-адрес.
Во вкладке «Настройки» определяется роль сертификата - CA (корневой) или конечный, устанавливается метод шифрования, время действия и длина ключа в битах.
Во вкладке «Использование ключа» можно выбрать шаблон использования открытого ключа сертификата в поле «Шаблон» или указать вручную в разделах «Использование ключа» («Key usage extensions») и «Расширенное использование ключа» («Extended key usage»). Более подробно можно почитать здесь https://www.ibm.com/support/knowledgecenter/en/SSKTMJ_9.0.1/admin/conf_keyusageextensionsandextendedkeyusage_r.html
Во вкладке «Netscape расширение» можно указать использование ключа для совместимости со старыми Netscape приложениями (выпущенными до принятия стандарта X.509 v3).
После нажатия кнопки «Добавить» будет предложено зашифровать ключ паролем. Введите пароль или откажитесь от его использования.
Важно: для служб ИКС всегда применяются только нешифрованные сертификаты.
Важно: первоначально всегда должен создаваться корневой сертификат, затем - дочерние конечные сертификаты! К службам ИКС(кроме SSL-фильтрации), применяются только конечные сертификаты. Будьте внимательны: неверное применение сертификата к службам может сделать их недоступными для пользователя!
Для удаления сертификата выделите нужный сертификат в списке (или несколько сертификатов зажав клавишу Ctrl) и нажмите кнопку «Удалить»:
Если сертификат используется какой-либо службой «ИКС», то будет выдано уведомление об ошибке:
Для импорта сертификата нажмите кнопку «Импорт»:
В полях «Сертификат» и «Ключ сертификата» выбираются файл сертификата и файл ключа соответственно. Для импорта сертификата в формате PKCS12 необходимо в поле «Сертификат» выбрать соответствующий файл и в поле «Пароль сертификата в формате PKCS 12» указать пароль.
Для экспорта сертификата нажмите кнопку «Экспорт» и выберите необходимый вариант:
Для просмотра сертификата, выделите нужный сертификат в списке и нажмите кнопку «Просмотр сертификата».
ВНИМАНИЕ Если провайдер расшифровывает трафик и выдал СА сертификат, то после импорта сертификата на ИКС, необходимо нажать «Просмотр сертификата». В открывшейся форме необходимо нажать «Добавить в доверенные сертификаты», иначе ИКС не будет доверять данным сертификатам и не откроет запрашиваемые страницы.