Регистрация СА сертификата
Зарегистрировать СА сертификат в базе Продукта можно
двумя способами:
- с помощью утилиты cert_mgr import;
- через CGW CLI командами crypto pki
trustpoint и crypto pki certificate
chain.
При регистрации сертификата первым способом при первом
старте консоли после добавления сертификатов, добавленные сертификаты
будут доступны для использования в cisco-like конфигурации. Для них будет
создан trustpoint с именем s-terra
technological trustpoint.
Для регистрации СА сертификата через CGW CLI используются
команды:
- crypto pki
trustpoint name – для объявления имени СА и входа
в режим ca trustpoint configuration, можно задать несколько
таких команд для объявления разных trustpoint.
В режиме этой команды можно указать адрес LDAP-сервера,
режимы использования CRL (списка отозванных сертификатов) для проверки
сертификатов партнеров, настройки для загрузки CRL по HTTP.
- crl query
ldap://IP-адрес(:порт)
– задает адрес LDAP-сервера, на которос СА публикует CRLs и куда
следует отправлять запросы на получение CRL. При обращении к LDAP-серверу
шлюз безопасности сначала смотрит поле CDP сертификата, если в
этом поле прописанный путь к LDAP-серверу является неполным, то
добавляются данные (IP-адрес и порт) из команды crl
query. Если CDP содержит полный путь, crl
query не используется. Если в сертификате нет поля CDP,
то используется эта команда для задания url
LDAP.
- revocation-check
method1 [method2] – задает варианты
использования CRL для проверки сертификата партнера
- method1 – параметр, принимающий одно из двух значений:
- crl – при проверке
сертификата обязателен действующий CRL. Если действующий
CRL не найден в базе продукта и его не удалось получить
по протоколу LDAP, то сертификат не принимается;
- none – при проверке
сертификата действующий CRL используется, если он предустановлен
в базе продукта или получен в процессе IKE обмена. Если
это не так, то попытка получить CRL по протоколу LDAP
не предпринимается и сертификат принимается.
- method2 – параметр необязательный, имеет одно значение:
- none – если действующий
CRL не найден в базе продукта и его не удалось получить
по протоколу LDAP, то сертификат принимается. Используется
только тогда, когда method1= crl.
- crl download
group,
crl download time – настройки для загрузки CRL
по HTTP.
- crypto pki
certificate chain
name
– для входа в режим настройки цепочки сертификатов СА:
- certificate – для добавления
СА сертификата (в шестнадцатеричном представлении) в базу Продукта:
- можно задать несколько таких команд для добавления либо промежуточных
СА сертификатов, либо любых СА сертификатов.
В отличие от Cisco, Продукт не проверяет, являются
ли добавляемые сертификаты из одной цепочки. Поэтому, можно добавлять
в одинtrustpoint не только промежуточные
СА сертификаты, но вообще любые СА сертификаты.
При добавлении CA сертификата в trustpoint
командой crypto pki certificate chain
он автоматически добавляется в базу Продукта.
При старте CGW
CLI при поиске сертификата проверяются все существующие trustpoint's
в базе Продукта. В случае отсутствия соответствующего СА сертификата в
базе Продукта, trustpoint автоматически
удаляется из cisco-like конфигурации и, следовательно, удаляются все СА
сертификаты, зарегистрированные в этом trustpoint.
При этом выдается соответствующее сообщение в лог.