Page tree
Skip to end of metadata
Go to start of metadata

После покупки доверенного SSL сертификата у CA в Интернет (Certificate Authority) перед помещением его на Ideco UTM, вам нужно создать текстовый файл вида:

Этот файл состоит из двух логических блоков: блок с приватным ключом и блок сертификатов, состоящий из корневого сертификата, сертификата на домен и vendor-сертификатов. Файл начинается с блока с приватным ключом, ниже следует блок с сертификатами, которые вам пришлет CA. Будьте внимательны: помимо корневого и сертификата на домен, CA, скорее всего, вышлет и дополнительные vendor-сертификаты, так называемый bundle сертификат, состоящий из нескольких дополнительных сертификатов в одном файле (бандле). Эту связку сертификатов нужно обязательно добавить после основного сертификата, выданного на ваш домен. Порядок блоков в файле можно представить так:

После этого вы можете поместить полученный файл с приватным ключом и сертификатом на UTM через веб-интерфейс. Это осуществляется в разделе "Сервисы -> Почтовый сервер -> Общие -> SSL-сертификат для SMTP, IMAP, POP3".

Чтобы добавить доверенный сертификат для веб-интерфейса почтового сервера, нужно изменить файл сертификата в правиле для публикации веб-почты в разделе "Сервисы -> Обратный Прокси".

С общепринятым стандартом создания файла-цепочки сертификатов можно также ознакомиться здесь: https://www.digicert.com/ssl-support/pem-ssl-creation.htm

Зашифрованный приватный ключ

Поддерживается только стандартный формат приватного ключа: незашифрованный (decrypted) PEM. Такой ключ начинается со строки :

-----BEGIN RSA PRIVATE KEY-----

Бывает, что CA выдает зашифрованный (encrypted) с помощью passphrase (фразы-пароля) приватный ключ. В таком случае вам нужно расшифровать (конвертировать) зашифрованный ключ в обычный, используя утилиту openssl или, если CA предоставляет другие инструменты для этого, воспользоваться ими. Список параметров вызова openssl для конвертации ключа в незашифрованный вид зависит от технологии шифрования ключа у CA и должен быть описан в инструкции по установке сертификата от CA. Поместить и использовать на сервере Ideco UTM зашифрованный приватный ключ нельзя.

  • No labels