Задание сертификатов партнеров

Сертификат партнера можно получить либо по протоколу IKE, либо по протоколу LDAP при создании IKE соединения.

Сначала шлюз безопасности пытается получить сертификат партнера по IKE. Если партнер не прислал сертификат, а прислал свой идентификатор, то шлюз безопасности по этому идентификатору ищет сертификат партнера сначала в своей базе Продукта, если не нашел, то продолжает поиск на LDAP-сервере.

Но не всегда удается получить сертификаты от удаленных партнеров: могут быть проблемы, связанные с фрагментацией UDP пакетов.

Поэтому появилась возможность положить в базу Продукта S-Terra Client имеющиеся сертификаты партнеров.

В меню GUI выберите раздел File, а затем предложение Advanced Project Settings. В одноименном окне (Рисунок 79) с одной вкладкой Partner certificates создайте список сертификатов ваших партнеров. Сертификаты партнеров будут актуальны только при аутентификации с использованием сертификатов.

 

Рисунок 79

 

Кнопки управления:

·       Add – добавляет сертификат партнера в список, при этом появляется стандартное окно открытия файла.

·       Remove – удаляет выделенный сертификат партнера из списка.

Если добавление сертификата происходит из контейнера формата PKCS#12 (.pfx), в котором размещено более одного сертификата, появляется окно для выбора сертификата для добавления в список (Рисунок 80):

Рисунок 80

 

Добавление сертификата в список может быть неуспешным с выводом соответствующих сообщений по следующим причинам:

·       прочитанные данные не являются корректным сертификатом: «Certificate storage <путь к файлу> is incorrect»;

·       список уже содержит такой сертификат, при этом пути к файлам могут быть разными (сравниваюся сами сертификаты): «This certificate already in list Subject: <subject сертификата> Issuer: <issuer сертификата>».

В случае, когда некорректные данные прочитаны из файла проекта (созданного в S-Terra Client Admintool версии 3.0 или 3.1 и если были отредактированы вручную ссылки на сертификаты), выполняется проверка дублирования сертификатов в списке, отображаемых в окне (Рисунок 81). Напротив проблемной строки отображается восклицательный знак красного цвета, таким образом помечаются второй и последующие одинаковые сертификаты.

Рисунок 81