Сертификат партнера можно получить либо по протоколу IKE, либо по протоколу LDAP при создании IKE соединения.
Сначала шлюз безопасности пытается получить сертификат партнера по IKE. Если партнер не прислал сертификат, а прислал свой идентификатор, то шлюз безопасности по этому идентификатору ищет сертификат партнера сначала в своей базе Продукта, если не нашел, то продолжает поиск на LDAP-сервере.
Но не всегда удается получить сертификаты от удаленных партнеров: могут быть проблемы, связанные с фрагментацией UDP пакетов.
Поэтому появилась возможность положить в базу ПК «С-Терра Клиент E» имеющиеся сертификаты партнеров.
В меню GUI выберите раздел File, а затем предложение Advanced Project Settings. В одноименном окне (Рисунок 83) с одной вкладкой Partner certificates создайте список сертификатов ваших партнеров. Сертификаты партнеров будут актуальны только при аутентификации с использованием сертификатов.
Рисунок 83
Кнопки управления:
• Add – добавляет сертификат партнера в список, при этом появляется стандартное окно открытия файла.
• Remove – удаляет выделенный сертификат партнера из списка.
Если добавление сертификата происходит из контейнера, в котором размещено более одного сертификата, появляется окно для выбора сертификата для добавления в список (Рисунок 84):
Рисунок 84
Добавление сертификата в список может быть неуспешным с выводом соответствующих сообщений по следующим причинам:
• прочитанные данные не являются корректным сертификатом: «Certificate storage <путь к файлу> is incorrect»;
• список уже содержит такой сертификат, при этом пути к файлам могут быть разными (сравниваюся сами сертификаты): «This certificate already in list Subject: <subject сертификата> Issuer: <issuer сертификата>».
В случае, когда некорректные данные прочитаны из файла проекта, выполняется проверка дублирования сертификатов в списке, отображаемых в окне (Рисунок 83). Напротив проблемной строки отображается восклицательный знак красного цвета, таким образом помечаются второй и последующие одинаковые сертификаты.