Как установить SSL-сертификат на Checkpoint VPN

В этом пошаговом руководстве объясняется, как установить SSL-сертификат и сгенерировать CSR-код на устройстве шлюза Checkpoint VPN. Помимо инструкций по настройке, Вы также узнаете несколько интересных фактов о Checkpoint, а также откроете для себя лучшее место для покупки SSL-сертификатов.

Оглавление

  1. Шаг 1: Получите корневой и промежуточный сертификаты
  2. Шаг 2: Импортируйте свои корневой и промежуточный сертификаты
  3. Шаг 3: Сгенерируйте запрос CSR на Checkpoint VPN
  4. Шаг 4: Установите SSL-сертификат на Checkpoint VPN
  5. Протестируйте Вашу установку SSL
  6. Где купить лучший SSL-сертификат для Checkpoint VPN?

Создание кода CSR (Certificate Signing Request) – это обязательный шаг перед установкой, который должен выполнить каждый заявитель SSL. Обычно генерация CSR и установка SSL отделены друг от друга, но в Checkpoint VPN все не так однозначно.

Checkpoint просит пользователей установить корневой и промежуточный ЦС, прежде чем они смогут сгенерировать код CSR. Следовательно, Вам придется попросить Вашего SSL-вендора или CA-провайдера предоставить эти два SSL-файла.

Корневой SSL-сертификат – это сертификат, выданный доверенным центром сертификации (Certificate Authority, CA), который находится на вершине цепочки доверия SSL. Корневой SSL-сертификат включается в доверенное корневое хранилище браузера.

Сертификат промежуточного ЦС – это подчиненный сертификат, подписанный доверенным корневым центром для выдачи сертификатов серверов конечных пользователей. Он находится ниже корневого сертификата в иерархии цепочки доверия SSL. Сертификат промежуточного ЦС обеспечивает еще один уровень безопасности, поскольку он не выдается напрямую из корневого хранилища.

Шаг 1: Получите корневой и промежуточный сертификаты

В типичной конфигурации SSL Вы получаете все необходимые сертификаты после того, как сгенерируете код CSR и Ваш центр сертификации проверит Ваш запрос. После того, как ЦС подписывает SSL-сертификат, он отправляет ZIP-папку с установочными файлами на электронную почту заявителя.

Поскольку Checkpoint VPN работает наоборот, у Вас нет другого выбора, кроме как связаться с поставщиком SSL и попросить предоставить x509/pem-версии корневого и промежуточного сертификатов.

Шаг 2: Импортируйте Ваши корневой и промежуточный сертификаты

Подготовьте корневой и промежуточный сертификаты. Убедитесь, что каждый сертификат находится в отдельном текстовом файле с расширением .crt. Вы можете использовать любой текстовый редактор, например, Блокнот, чтобы создать файлы .crt

Примечание: Некоторые ЦС требуют два промежуточных сертификата для лучшей совместимости с браузерами. Вам следует создать отдельный файл .crt для каждого сертификата и устанавливать их по одному.

  1. Войдите в графический интерфейс SmartDashboard Checkpoint.
  2. На вкладке Серверы и приложения OPSEC перейдите в раздел Серверы > Доверенные ЦС > Новый ЦС и нажмите Доверенный
  3. В окне Реквизиты центра сертификации выберите вкладку Общие и введите любое имя и комментарий в поля Имя и Комментарий. Нажмите OK
  4. Далее перейдите на вкладку OPSEC PKI, и в разделе Retrieve CL From отметьте только опцию HTTP Server(s).
  5. В разделе Сертификат, рядом с пунктом Получить сертификат ЦС из файла (полученного от FW или администратора ЦС), нажмите на кнопку Получить
  6. Найдите и откройте файл сертификата Root.crt . Нажмите OK
  7. Перейдите в раздел Серверы > Доверенные центры сертификации и найдите свои сертификаты корневых центров сертификации. Если он есть, значит, импорт прошел успешно.
  8. Теперь импортируйте свой промежуточный сертификат. Повторите шаги 3, 4, 5 и 6, чтобы загрузить свой промежуточный сертификат.
  9. Найдите и откройте файл сертификата Intermediate.crt. Нажмите OK
  10. Перейдите в раздел Серверы > Доверенные центры сертификации и найдите свои корневой и промежуточный сертификаты. Если они есть, значит, импорт прошел успешно.

Шаг 3: Сгенерируйте запрос CSR на Checkpoint VPN

  1. В SmartDashboard раскройте вкладку Сетевые объекты, щелкните правой кнопкой мыши на шлюзе/кластере CheckPoint и выберите Редактировать
  2. В окне Свойства кластера шлюзов на левой панели выберите VPN, затем нажмите Добавить
  3. В окне Свойства сертификата введите псевдоним сертификата по Вашему выбору.
  4. В том же окне в раскрывающемся списке ЦС для регистрации выберите промежуточный сертификат, который Вы импортировали в пункте 2 из Шага 2 выше.
  5. Нажмите кнопку Generate и затем Yes
  6. In the Generate Certificate Request window in the DN box, you need to enter the following contact details, in a single long string, separated by commas. Please follow the examples below and enter your actual details:
    • CN (Common Name): укажите FQDN (полное доменное имя), которое Вы хотите защитить. Например, yourwebsite.com
      Примечание: Если у Вас есть сертификат wildcard, добавьте звездочку (*) перед именем Вашего домена. Например, *.yourwebsite.com
    • OU (Organizational Unit): название подразделения в Вашей организации, запрашивающего SSL-сертификат. Например, ИТ или веб-администрирование
    • O (Organization): укажите полное, юридическое название Вашей компании. Например, GPI Holding LLC
    • L (Locality): введите полное название города, в котором зарегистрирована Ваша компания. Например, Сан-Хосе
    • ST (штат или регион): напишите полное название штата или региона, в котором находится Ваша компания. Например, Калифорния
    • C (Country): введите двухбуквенный код Вашей страны. Например, США. Здесь Вы найдете полный список кодов стран.
      Вся строка должна выглядеть следующим образом:
      CN=yourwebsite.com, OU=IT, O=Your Company Name, L=City, ST=State, C=Country
  7. Нажмите OK и вернитесь в Свойства кластера шлюзов, в раздел VPN. Теперь Вы должны увидеть запрос на сертификат под созданным Вами псевдонимом
  8. Нажмите ” Просмотр”, чтобы увидеть Ваш сгенерированный код CSR
  9. Теперь Вы можете скопировать содержимое CSR, включая теги BEGIN и END, в текстовый редактор по своему выбору и сохранить файл на своем устройстве. Нажмите Сохранить в файл , чтобы экспортировать Ваш код CSR, затем OK.

Вам нужно будет использовать код CSR при заказе SSL у поставщика.

Шаг 4: Установите SSL-сертификат на CheckPoint VPN

Поскольку Вы уже импортировали корневой и промежуточный сертификаты в CheckPoint, все, что осталось – это Ваш основной SSL-сертификат. Вы должны получить его по электронной почте от Вашего центра сертификации в папке ZIP. После того, как Вы загрузите и извлечете Ваш основной SSL-сертификат, выполните следующие шаги для завершения установки:

  1. В Smart Dashboard разверните дерево Network Objects, щелкните правой кнопкой мыши на Вашем шлюзе/кластере CheckPoint и выберите Edit
  2. В окне Свойства кластера шлюза выберите VPN, затем выберите псевдоним, который Вы присвоили своему сертификату во время генерации CSR, в пункте 3 из Шага 3 выше. Нажмите Завершить
  3. Далее найдите Ваш SSL-сертификат и нажмите Открыть.
  4. Дважды проверьте данные Вашего сертификата и нажмите OK.

Поздравляем, Вы успешно установили SSL-сертификат на CheckPoint VPN.

Протестируйте Вашу установку SSL

После установки SSL-сертификата на CheckPoint VPN некоторые SSL-ошибки или уязвимости все еще могут существовать. Чтобы избежать возможных проблем, рекомендуется провести диагностический тест Вашей установки SSL. Многие инструменты SSL могут мгновенно генерировать отчеты о Вашем SSL-сертификате.

Где купить лучший SSL-сертификат для Checkpoint VPN?

При покупке SSL-сертификата Вам следует обратить внимание на три важнейших аспекта: тип проверки, цена и обслуживание клиентов. В SSL Dragon мы предлагаем весь спектр SSL-сертификатов по доступным ценам, подкрепленным пятизвездочным обслуживанием клиентов! Наши SSL-сертификаты подписаны известными центрами сертификации, поэтому они совместимы с большинством VPN-устройств, включая CheckPoint. Нужен ли Вам дешевый сертификат Domain Validation или премиальный продукт Extended Validation, мы позаботимся о Вас.

Цены SSL Dragon являются самыми конкурентоспособными на рынке, а наша специализированная служба поддержки высоко ценится существующими клиентами.

Если Вы не знаете, какой тип SSL-сертификата выбрать, просто воспользуйтесь нашими инструментами SSL Wizard и Certificate Filter. Они помогут Вам подобрать идеальный SSL-продукт для Вашего сайта.

Если Вы обнаружили какие-либо неточности или у Вас есть что добавить к этим инструкциям по установке SSL, пожалуйста, не стесняйтесь присылать нам свои отзывы по адресу [email protected]. Ваш вклад будет очень признателен! Спасибо.

Сэкономьте 10% на SSL-сертификатах при заказе сегодня!

Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10

Написано

Опытный автор контента, специализирующийся на SSL-сертификатах. Превращает сложные темы кибербезопасности в понятный, увлекательный контент. Вносите свой вклад в повышение уровня цифровой безопасности с помощью впечатляющих рассказов.