Здесь показаны различия между двумя версиями данной страницы.
Следующая версия | Предыдущая версия | ||
ics70:serts [2019/09/02 14:23] 127.0.0.1 внешнее изменение |
ics70:serts [2020/06/12 10:51] (текущий) misha [Сертификаты] |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
- | ======Сертификаты====== | + | ====== Сертификаты ====== |
- | Модуль "Сертификаты" расположен в Меню "Защита". Данный модуль предназначен для управления сертификатами, которые используются для установления защищённых SSL/TLS соединений типа клиент-сервер. Более подробно о SSL/TLS можно почитать здесь [[https://ru.wikipedia.org/wiki/SSL]] и [[https://ru.wikipedia.org/wiki/TLS]]. | + | Модуль "Сертификаты" расположен в Меню "Защита". Данный модуль предназначен для управления сертификатами, которые используются для установления защищённых SSL/TLS соединений типа клиент-сервер. Более подробно о SSL/TLS можно почитать здесь [[https://ru.wikipedia.org/wiki/SSL|https://ru.wikipedia.org/wiki/SSL]] и [[https://ru.wikipedia.org/wiki/TLS|https://ru.wikipedia.org/wiki/TLS]]. |
Созданные сертификаты могут применяться как в "ИКС", так и в сторонних программах. | Созданные сертификаты могут применяться как в "ИКС", так и в сторонних программах. | ||
+ | |||
+ | **Внимание** с версии 7.1.0 прекращена поддержка сертификатов с шифрованием md5. | ||
При первой установке "ИКС" автоматически создаются конечные сертификаты для WEB-интерфейса, телефонии и почты. | При первой установке "ИКС" автоматически создаются конечные сертификаты для WEB-интерфейса, телефонии и почты. | ||
- | {{:certificates_main.jpg|}} | + | {{ics70:certificate_main.png?nolink&1559x205}} |
Список сертификатов представлен в виде дерева, а поле модуля поделено на столбцы, в которых показана основная информация о сертификатах: тип ключа родительского сертификата, дата начала действия и окончания, а также имя хоста (или ip-адрес), который представляет данный сертификат. | Список сертификатов представлен в виде дерева, а поле модуля поделено на столбцы, в которых показана основная информация о сертификатах: тип ключа родительского сертификата, дата начала действия и окончания, а также имя хоста (или ip-адрес), который представляет данный сертификат. | ||
Строка 13: | Строка 15: | ||
Модуль позволяет создать новый сертификат или удалить существующий при помощи кнопок "Создать" и "Удалить"; экспортировать созданные сертификаты или импортировать сторонние при помощи кнопок "Экспорт" и "Импорт"; просматривать информацию о выбранном сертификате при помощи кнопки "Просмотр сертификата". | Модуль позволяет создать новый сертификат или удалить существующий при помощи кнопок "Создать" и "Удалить"; экспортировать созданные сертификаты или импортировать сторонние при помощи кнопок "Экспорт" и "Импорт"; просматривать информацию о выбранном сертификате при помощи кнопки "Просмотр сертификата". | ||
- | + | ===== Создание сертификатов ===== | |
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | =====Создание сертификатов===== | + | |
Чтобы создать новый сертификат, нажмите "Добавить". | Чтобы создать новый сертификат, нажмите "Добавить". | ||
- | {{ ::certificates_add_common.jpg |}} | + | {{ics70:certificate_add.jpg?nolink&716x588|certificate_add.jpg}} |
Во вкладке "Общее" заполняются данные сертификата: наименование, код страны, местоположение, сведения об организации, имя хоста или ip-адрес. | Во вкладке "Общее" заполняются данные сертификата: наименование, код страны, местоположение, сведения об организации, имя хоста или ip-адрес. | ||
- | {{ :certificates_add_settings.jpg |}} | + | {{ ics70:certificates_add_settings.jpg |certificates_add_settings.jpg}} |
Во вкладке "Настройки" определяется роль сертификата - CA (корневой) или конечный, устанавливается метод шифрования, время действия и длина ключа в битах. | Во вкладке "Настройки" определяется роль сертификата - CA (корневой) или конечный, устанавливается метод шифрования, время действия и длина ключа в битах. | ||
- | {{ :certificates_add_key_usage.jpg |}} | + | {{ ics70:certificates_add_key_usage.jpg |certificates_add_key_usage.jpg}} |
- | Во вкладке "Использование ключа" можно выбрать шаблон использования открытого ключа сертификата в поле "Шаблон" или | + | Во вкладке "Использование ключа" можно выбрать шаблон использования открытого ключа сертификата в поле "Шаблон" или указать вручную в разделах "Использование ключа" ("Key usage extensions") и "Расширенное использование ключа" ("Extended key usage"). Более подробно можно почитать здесь [[https://www.ibm.com/support/knowledgecenter/en/SSKTMJ_9.0.1/admin/conf_keyusageextensionsandextendedkeyusage_r.html|https://www.ibm.com/support/knowledgecenter/en/SSKTMJ_9.0.1/admin/conf_keyusageextensionsandextendedkeyusage_r.html]] |
- | указать вручную в разделах "Использование ключа" ("Key usage extensions") и "Расширенное использование ключа" ("Extended key usage"). Более подробно можно почитать здесь [[https://www.ibm.com/support/knowledgecenter/en/SSKTMJ_9.0.1/admin/conf_keyusageextensionsandextendedkeyusage_r.html]] | + | |
- | {{ :certificates_add_netscape.jpg |}} | + | {{ ics70:certificates_add_netscape.jpg |certificates_add_netscape.jpg}} |
Во вкладке "Netscape расширение" можно указать использование ключа для совместимости со старыми Netscape приложениями (выпущенными до принятия стандарта X.509 v3). | Во вкладке "Netscape расширение" можно указать использование ключа для совместимости со старыми Netscape приложениями (выпущенными до принятия стандарта X.509 v3). | ||
Строка 44: | Строка 37: | ||
После нажатия кнопки "Добавить" будет предложено зашифровать ключ паролем. Введите пароль или откажитесь от его использования. | После нажатия кнопки "Добавить" будет предложено зашифровать ключ паролем. Введите пароль или откажитесь от его использования. | ||
- | {{ :certificates_encrypt.jpg |}} | + | {{ ics70:certificates_encrypt.jpg |certificates_encrypt.jpg}} |
**Важно: для служб ИКС всегда применяются только нешифрованные сертификаты.** | **Важно: для служб ИКС всегда применяются только нешифрованные сертификаты.** | ||
- | **Важно: первоначально всегда должен создаваться корневой сертификат, затем - дочерние конечные сертификаты! К службам ИКС(кроме [[https|SSL-фильтрации]]), применяются только конечные сертификаты. Будьте внимательны: неверное применение сертификата к службам может сделать их недоступными для пользователя!** | + | **Важно: первоначально всегда должен создаваться корневой сертификат, затем - дочерние конечные сертификаты! К службам ИКС(кроме [[ics70:https|SSL-фильтрации]]), применяются только конечные сертификаты. Будьте внимательны: неверное применение сертификата к службам может сделать их недоступными для пользователя!** |
===== Удаление сертификатов ===== | ===== Удаление сертификатов ===== | ||
Строка 54: | Строка 47: | ||
Для удаления сертификата выделите нужный сертификат в списке (или несколько сертификатов зажав клавишу Ctrl) и нажмите кнопку "Удалить": | Для удаления сертификата выделите нужный сертификат в списке (или несколько сертификатов зажав клавишу Ctrl) и нажмите кнопку "Удалить": | ||
- | {{ :certificates_delete.jpg |}} | + | {{ ics70:certificates_delete.jpg |certificates_delete.jpg}} |
Если сертификат используется какой-либо службой "ИКС", то будет выдано уведомление об ошибке: | Если сертификат используется какой-либо службой "ИКС", то будет выдано уведомление об ошибке: | ||
- | {{ :certificates_delete_fail.jpg |}} | + | {{ ics70:certificates_delete_fail.jpg |certificates_delete_fail.jpg}} |
===== Импорт/экспорт сертификатов ===== | ===== Импорт/экспорт сертификатов ===== | ||
Строка 64: | Строка 57: | ||
Для импорта сертификата нажмите кнопку "Импорт": | Для импорта сертификата нажмите кнопку "Импорт": | ||
- | {{ :certificates_import.jpg |}} | + | {{ ics70:certificates_import.jpg |certificates_import.jpg}} |
В полях "Сертификат" и "Ключ сертификата" выбираются файл сертификата и файл ключа соответственно. Для импорта сертификата в формате PKCS12 необходимо в поле "Сертификат" выбрать соответствующий файл и в поле "Пароль сертификата в формате PKCS 12" указать пароль. | В полях "Сертификат" и "Ключ сертификата" выбираются файл сертификата и файл ключа соответственно. Для импорта сертификата в формате PKCS12 необходимо в поле "Сертификат" выбрать соответствующий файл и в поле "Пароль сертификата в формате PKCS 12" указать пароль. | ||
Строка 70: | Строка 63: | ||
Для экспорта сертификата нажмите кнопку "Экспорт" и выберите необходимый вариант: | Для экспорта сертификата нажмите кнопку "Экспорт" и выберите необходимый вариант: | ||
- | {{ :certificates_export.jpg |}} | + | {{ ics70:certificates_export.jpg |certificates_export.jpg}} |
===== Просмотр сертификата ===== | ===== Просмотр сертификата ===== | ||
- | Для просмотра выделите нужный сертификат в списке и нажмите кнопку "Просмотр сертификата": | + | Для просмотра сертификата, выделите нужный сертификат в списке и нажмите кнопку "Просмотр сертификата". |
+ | |||
+ | {{ ics70:certificates_view.png }} | ||
- | {{ :certificates_view.jpg |}} | + | **ВНИМАНИЕ** Если провайдер расшифровывает трафик и выдал СА сертификат, то после импорта сертификата на ИКС, необходимо нажать "Просмотр сертификата". В открывшейся форме необходимо нажать "Добавить в доверенные сертификаты", иначе ИКС не будет доверять данным сертификатам и не откроет запрашиваемые страницы. |