Создание обновления с новым сертификатом для С-Терра Шлюз

1.    В консоли С-Терра КП в контекстном меню учетной записи “gate0” выберите предложение Update (Рисунок 253).

 

Рисунок 253

2.    В открывшемся окне Update the account нажмите кнопку  (Рисунок 254).

 
Рисунок 254

3.    В окне VPN data maker (Рисунок 255) перейдите в окна мастера для редактирования настроек С-Терра Шлюз, нажав кнопку Run Wizard.

  

Рисунок 255

4.    В первом окне мастера (Рисунок 256) добавьте СА сертификат, которым были подписаны сертификаты для “client01” и “gate0”, и локальный сертификат для “gate0”, нажав кнопку Add from CA .

Внимание!

В сценарии обновления сертификатов удаление старого сертификата производится отдельным обновлением.

 

Рисунок 256

5.    В окне Issued certificates выберите необходимые сертификаты и нажмите кнопку ОК (Рисунок 257).

Рисунок 257

 

Рисунок 258

6.    Если сертификаты создавались средствами MSCA, используйте кнопку Add.. для выбора сохраненных сертификатов в файловом хранилище.

7.    Нажмите кнопку Next (Рисунок 259).

  

Рисунок 259

8.    Для добавления нового правила обработки трафика нажмите кнопку Add (Рисунок 260).

Рисунок 260

9.    Новое правило обработки трафика нужно привязать к интерфейсу с логическим именем FastEthernet0/0, который обращен во внешнюю подсеть (в нашей схеме это интерфейс с адресом 192.168.10.2). В разделе Local IP Addresses укажите всю внутреннюю подсеть 10.0.0.0/16, в разделе Remote IP Addresses - значение Any, партнер может быть с любым адресом. В разделе Action - соединение с партнером должно быть защищено, для аутентификации устройства используется локальный сертификат, в качестве идентификатора “gate0” используется поле DistinguishedName локального сертификата, у партнера идентификатор может быть любым (для задания этих параметров нажмите кнопку в области Action - Protect using IPsec - Auth object (Рисунок 261)). Нажмите кнопку ОК (Рисунок 262).

Рисунок 261

  

Рисунок 262

10.На открывшемся предупреждении нажмите кнопку Yes (Рисунок 263).

Рисунок 263

11.Для созданного правила обработки трафика увеличьте приоритет, используя кнопку Up (Рисунок 264). После этого нажмите кнопку Next.

Рисунок 264

12.Лицензионные данные оставьте без изменений, нажмите кнопку Finish (Рисунок 265).

Рисунок 265

13.Все введенные данные отображаются во вкладках VPN data maker, нажмите кнопку ОК (Рисунок 266).

Рисунок 266

14. В окне Update the account нажмите кнопку ОК (Рисунок 267).

Рисунок 267

15.Обновление для управляемого VPN устройства “gate0” создано (Рисунок 268).

 

Рисунок 268

16.После того, как центральный шлюз скачает подготовленное обновление и применит его, в консоли С-Терра КП можно посмотреть вкладку Certificates, выбрав в контекстном меню учетной записи управляемого VPN устройства предложение Show, - СА и локальный сертификаты зарегистрированы для VPN Продукта и используются (Рисунок 269).

 

Рисунок 269

17.Во вкладке Containers видно, что на центральном шлюзе используется контейнер с ключевой парой локального сертификата - is used: TRUE.

 

Рисунок 270