Сертификат партнера можно получить либо по протоколу IKE, либо по протоколу LDAP при создании IKE соединения.
Сначала шлюз безопасности пытается получить сертификат партнера по IKE. Если партнер не прислал сертификат, а прислал свой идентификатор, то шлюз безопасности по этому идентификатору ищет сертификат партнера сначала в своей базе Продукта, если не нашел, то продолжает поиск на LDAP-сервере.
Но не всегда удается получить сертификаты от удаленных партнеров: могут быть проблемы, связанные с фрагментацией UDP пакетов.
Поэтому появилась возможность положить в базу Продукта S-Terra Client имеющиеся сертификаты партнеров.
В меню GUI выберите раздел File, а затем предложение Advanced Project Settings. В одноименном окне (Рисунок 77) с одной вкладкой Partner certificates создайте список сертификатов ваших партнеров. Сертификаты партнеров будут актуальны только при аутентификации с использованием сертификатов.
Рисунок 77
Кнопки управления:
· Add – добавляет сертификат партнера в список, при этом появляется стандартное окно открытия файла.
· Remove – удаляет выделенный сертификат партнера из списка.
Если добавление сертификата происходит из контейнера формата PKCS#12 (.pfx), в котором размещено более одного сертификата, появляется окно для выбора сертификата для добавления в список (Рисунок 78):
Рисунок 78
Добавление сертификата в список может быть неуспешным с выводом соответствующих сообщений по следующим причинам:
· прочитанные данные не являются корректным сертификатом: «Certificate storage <путь к файлу> is incorrect»;
· список уже содержит такой сертификат, при этом пути к файлам могут быть разными (сравниваюся сами сертификаты): «This certificate already in list Subject: <subject сертификата> Issuer: <issuer сертификата>».
В случае, когда некорректные данные прочитаны из файла проекта (созданного в S-Terra Client Admintool версии 3.0 или 3.1 и если были отредактированы вручную ссылки на сертификаты), выполняется проверка дублирования сертификатов в списке, отображаемых в окне (Рисунок 79). Напротив проблемной строки отображается восклицательный знак красного цвета, таким образом помечаются второй и последующие одинаковые сертификаты.
Рисунок 79