В этом пошаговом руководстве объясняется, как установить SSL-сертификат и сгенерировать CSR-код на устройстве шлюза Checkpoint VPN. Помимо инструкций по настройке, Вы также узнаете несколько интересных фактов о Checkpoint, а также откроете для себя лучшее место для покупки SSL-сертификатов.
Оглавление
- Шаг 1: Получите корневой и промежуточный сертификаты
- Шаг 2: Импортируйте свои корневой и промежуточный сертификаты
- Шаг 3: Сгенерируйте запрос CSR на Checkpoint VPN
- Шаг 4: Установите SSL-сертификат на Checkpoint VPN
- Протестируйте Вашу установку SSL
- Где купить лучший SSL-сертификат для Checkpoint VPN?
Создание кода CSR (Certificate Signing Request) – это обязательный шаг перед установкой, который должен выполнить каждый заявитель SSL. Обычно генерация CSR и установка SSL отделены друг от друга, но в Checkpoint VPN все не так однозначно.
Checkpoint просит пользователей установить корневой и промежуточный ЦС, прежде чем они смогут сгенерировать код CSR. Следовательно, Вам придется попросить Вашего SSL-вендора или CA-провайдера предоставить эти два SSL-файла.
Корневой SSL-сертификат – это сертификат, выданный доверенным центром сертификации (Certificate Authority, CA), который находится на вершине цепочки доверия SSL. Корневой SSL-сертификат включается в доверенное корневое хранилище браузера.
Сертификат промежуточного ЦС – это подчиненный сертификат, подписанный доверенным корневым центром для выдачи сертификатов серверов конечных пользователей. Он находится ниже корневого сертификата в иерархии цепочки доверия SSL. Сертификат промежуточного ЦС обеспечивает еще один уровень безопасности, поскольку он не выдается напрямую из корневого хранилища.
Шаг 1: Получите корневой и промежуточный сертификаты
В типичной конфигурации SSL Вы получаете все необходимые сертификаты после того, как сгенерируете код CSR и Ваш центр сертификации проверит Ваш запрос. После того, как ЦС подписывает SSL-сертификат, он отправляет ZIP-папку с установочными файлами на электронную почту заявителя.
Поскольку Checkpoint VPN работает наоборот, у Вас нет другого выбора, кроме как связаться с поставщиком SSL и попросить предоставить x509/pem-версии корневого и промежуточного сертификатов.
Шаг 2: Импортируйте Ваши корневой и промежуточный сертификаты
Подготовьте корневой и промежуточный сертификаты. Убедитесь, что каждый сертификат находится в отдельном текстовом файле с расширением .crt. Вы можете использовать любой текстовый редактор, например, Блокнот, чтобы создать файлы .crt
Примечание: Некоторые ЦС требуют два промежуточных сертификата для лучшей совместимости с браузерами. Вам следует создать отдельный файл .crt для каждого сертификата и устанавливать их по одному.
- Войдите в графический интерфейс SmartDashboard Checkpoint.
- На вкладке Серверы и приложения OPSEC перейдите в раздел Серверы > Доверенные ЦС > Новый ЦС и нажмите Доверенный
- В окне Реквизиты центра сертификации выберите вкладку Общие и введите любое имя и комментарий в поля Имя и Комментарий. Нажмите OK
- Далее перейдите на вкладку OPSEC PKI, и в разделе Retrieve CL From отметьте только опцию HTTP Server(s).
- В разделе Сертификат, рядом с пунктом Получить сертификат ЦС из файла (полученного от FW или администратора ЦС), нажмите на кнопку Получить
- Найдите и откройте файл сертификата Root.crt . Нажмите OK
- Перейдите в раздел Серверы > Доверенные центры сертификации и найдите свои сертификаты корневых центров сертификации. Если он есть, значит, импорт прошел успешно.
- Теперь импортируйте свой промежуточный сертификат. Повторите шаги 3, 4, 5 и 6, чтобы загрузить свой промежуточный сертификат.
- Найдите и откройте файл сертификата Intermediate.crt. Нажмите OK
- Перейдите в раздел Серверы > Доверенные центры сертификации и найдите свои корневой и промежуточный сертификаты. Если они есть, значит, импорт прошел успешно.
Шаг 3: Сгенерируйте запрос CSR на Checkpoint VPN
- В SmartDashboard раскройте вкладку Сетевые объекты, щелкните правой кнопкой мыши на шлюзе/кластере CheckPoint и выберите Редактировать
- В окне Свойства кластера шлюзов на левой панели выберите VPN, затем нажмите Добавить
- В окне Свойства сертификата введите псевдоним сертификата по Вашему выбору.
- В том же окне в раскрывающемся списке ЦС для регистрации выберите промежуточный сертификат, который Вы импортировали в пункте 2 из Шага 2 выше.
- Нажмите кнопку Generate и затем Yes
- In the Generate Certificate Request window in the DN box, you need to enter the following contact details, in a single long string, separated by commas. Please follow the examples below and enter your actual details:
- CN (Common Name): укажите FQDN (полное доменное имя), которое Вы хотите защитить. Например, yourwebsite.com
Примечание: Если у Вас есть сертификат wildcard, добавьте звездочку (*) перед именем Вашего домена. Например, *.yourwebsite.com - OU (Organizational Unit): название подразделения в Вашей организации, запрашивающего SSL-сертификат. Например, ИТ или веб-администрирование
- O (Organization): укажите полное, юридическое название Вашей компании. Например, GPI Holding LLC
- L (Locality): введите полное название города, в котором зарегистрирована Ваша компания. Например, Сан-Хосе
- ST (штат или регион): напишите полное название штата или региона, в котором находится Ваша компания. Например, Калифорния
- C (Country): введите двухбуквенный код Вашей страны. Например, США. Здесь Вы найдете полный список кодов стран.
Вся строка должна выглядеть следующим образом:CN=yourwebsite.com, OU=IT, O=Your Company Name, L=City, ST=State, C=Country
- CN (Common Name): укажите FQDN (полное доменное имя), которое Вы хотите защитить. Например, yourwebsite.com
- Нажмите OK и вернитесь в Свойства кластера шлюзов, в раздел VPN. Теперь Вы должны увидеть запрос на сертификат под созданным Вами псевдонимом
- Нажмите ” Просмотр”, чтобы увидеть Ваш сгенерированный код CSR
- Теперь Вы можете скопировать содержимое CSR, включая теги BEGIN и END, в текстовый редактор по своему выбору и сохранить файл на своем устройстве. Нажмите Сохранить в файл , чтобы экспортировать Ваш код CSR, затем OK.
Вам нужно будет использовать код CSR при заказе SSL у поставщика.
Шаг 4: Установите SSL-сертификат на CheckPoint VPN
Поскольку Вы уже импортировали корневой и промежуточный сертификаты в CheckPoint, все, что осталось – это Ваш основной SSL-сертификат. Вы должны получить его по электронной почте от Вашего центра сертификации в папке ZIP. После того, как Вы загрузите и извлечете Ваш основной SSL-сертификат, выполните следующие шаги для завершения установки:
- В Smart Dashboard разверните дерево Network Objects, щелкните правой кнопкой мыши на Вашем шлюзе/кластере CheckPoint и выберите Edit
- В окне Свойства кластера шлюза выберите VPN, затем выберите псевдоним, который Вы присвоили своему сертификату во время генерации CSR, в пункте 3 из Шага 3 выше. Нажмите Завершить
- Далее найдите Ваш SSL-сертификат и нажмите Открыть.
- Дважды проверьте данные Вашего сертификата и нажмите OK.
Поздравляем, Вы успешно установили SSL-сертификат на CheckPoint VPN.
Протестируйте Вашу установку SSL
После установки SSL-сертификата на CheckPoint VPN некоторые SSL-ошибки или уязвимости все еще могут существовать. Чтобы избежать возможных проблем, рекомендуется провести диагностический тест Вашей установки SSL. Многие инструменты SSL могут мгновенно генерировать отчеты о Вашем SSL-сертификате.
Где купить лучший SSL-сертификат для Checkpoint VPN?
При покупке SSL-сертификата Вам следует обратить внимание на три важнейших аспекта: тип проверки, цена и обслуживание клиентов. В SSL Dragon мы предлагаем весь спектр SSL-сертификатов по доступным ценам, подкрепленным пятизвездочным обслуживанием клиентов! Наши SSL-сертификаты подписаны известными центрами сертификации, поэтому они совместимы с большинством VPN-устройств, включая CheckPoint. Нужен ли Вам дешевый сертификат Domain Validation или премиальный продукт Extended Validation, мы позаботимся о Вас.
Цены SSL Dragon являются самыми конкурентоспособными на рынке, а наша специализированная служба поддержки высоко ценится существующими клиентами.
Если Вы не знаете, какой тип SSL-сертификата выбрать, просто воспользуйтесь нашими инструментами SSL Wizard и Certificate Filter. Они помогут Вам подобрать идеальный SSL-продукт для Вашего сайта.
Если Вы обнаружили какие-либо неточности или у Вас есть что добавить к этим инструкциям по установке SSL, пожалуйста, не стесняйтесь присылать нам свои отзывы по адресу [email protected]. Ваш вклад будет очень признателен! Спасибо.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10