Управление SSL-сертификатом узла кластера

23 мая 2024

ID 234112

По умолчанию Kaspersky Secure Mail Gateway 2.0 MR1 в качестве SSL-сертификата узла кластера использует самоподписанный сертификат, который генерируется автоматически при развертывании узла кластера. При входе в веб-интерфейс приложения с этим сертификатом в браузере отображается предупреждение о том, что соединение небезопасно. Для повышения удобства и безопасности при работе в веб-интерфейсе приложения вы можете заменить сертификат узла, который используется по умолчанию, на сертификат, выписанный доверенным центром сертификации.

Для замены SSL-сертификата узла кластера вам потребуются следующие файлы:

  • Файл сертификата формата X.509 с расширением PEM или файл-контейнер с цепочкой сертификатов формата X.509 с расширением PEM.
  • Файл приватного ключа RSA с расширением PEM (без парольной фразы).

Вы можете подготовить файл приватного ключа и сертификат для подписи самостоятельно или можете получить готовые файлы от удостоверяющего центра.

Этапы замены SSL-сертификата узла кластера при самостоятельном создании файлов приватного ключа и сертификата

  1. Создание файла приватного ключа и запроса на подпись сертификата (Certificate Signing Request)

    Вы получите от удостоверяющего центра один из следующих файлов:

    • файл подписанного сертификата формата X.509 с расширением CER или CRT;
    • файл цепочки сертификатов в формате PKCS#7 с расширением P7B. Файл включает подписанный по вашему запросу сертификат сайта и сертификаты промежуточных центров сертификации.
  2. Конвертация полученных файлов в PEM-кодировку

    В зависимости от типа файла, полученного на предыдущем этапе, следует выполнить одно из следующих действий:

  3. Замена SSL-сертификата узла кластера

Этапы замены SSL-сертификата узла кластера при предоставлении файлов приватного ключа и сертификата удостоверяющим центром

  1. Получение файлов приватного ключа и сертификата от удостоверяющего центра

    Приватный ключ и сертификат предоставляются в виде PFX-контейнера (формат PKCS#12, файл с расширением PFX или P12).

    Если в качестве удостоверяющего центра в вашей организации используется стандартная служба Active Directory Certification Services, следует использовать шаблон Web Server для создания сертификата. Вам нужно сохранить результат в виде цепочки сертификатов (certificate chain) в DER-кодировке.

  2. Извлечение файлов сертификата и приватного ключа из PFX-контейнера
  3. Замена SSL-сертификата узла кластера

В этом разделе

Создание файла запроса на подпись SSL-сертификата

Конвертация сертификата из кодировки DER в PEM-кодировку

Извлечение цепочки сертификатов из контейнера PKCS#7

Извлечение файлов сертификата и приватного ключа из PFX-контейнера

Замена SSL-сертификата узла кластера

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!