Подготовка TLS-сертификата, подписанного центром сертификации, к импорту
TLS-сертификат, подписанный центром сертификации (сертификат CA), предназначенный для импорта в Kaspersky Secure Mail Gateway, должен удовлетворять следующим требованиям:
- Файл сертификата должен иметь уникальное имя в списке сертификатов, используемых в Kaspersky Secure Mail Gateway.
- Файлы сертификата сервера, промежуточного и корневого сертификатов CA и файл закрытого ключа должны иметь формат PEM.
- Длина ключа должна быть 1024 бит или более.
- Необходимо иметь полную цепочку сертификатов – путь от сертификата сервера к корневому сертификату CA.
При получении сертификата CA может потребоваться использовать промежуточный сертификат в дополнение к сертификату сервера.
- Порядок указания сертификатов в цепочке сертификатов должен быть следующим: сначала сертификат самого сервера, затем промежуточные сертификаты CA.
- В цепочке сертификатов не должны быть пропущены промежуточные сертификаты.
- В цепочке сертификатов не должно быть сертификатов, не относящихся к текущей сертификации.
В качестве примера приведена инструкция по подготовке к импорту TLS-сертификата сервера, подписанного центром сертификации server_cert.pem, закрытый ключ которого находится в файле key.pem. Имя промежуточного сертификата сервера intermediate CA, имя корневого сертификата root CA.
Чтобы подготовить TLS-сертификат, подписанный центром сертификации, к импорту в Kaspersky Secure Mail Gateway, выполните следующие действия:
- В файле TLS-сертификата удалите пароль доступа к сертификату, если он использовался. Для этого выполните команду:
# openssl rsa -in <имя файла закрытого ключа>.pem -out <имя файла закрытого ключа после удаления пароля>.pem
Например, вы можете выполнить следующую команду:
# openssl rsa -in key.pem -out key-nopass.pem
- Выполните одно из следующих действий:
- Если вы не уверены, что клиенты, которым сервер будет предоставлять этот сертификат, имеют собственные копии корневого и промежуточного сертификатов CA, объедините закрытый ключ, сертификат сервера, промежуточный сертификат и корневой сертификат CA в один файл. Для этого выполните команду:
% cat <имя файла закрытого ключа после удаления пароля>.pem <имя сертификата сервера>.pem <имя промежуточного сертификата CA>.pem <имя корневого сертификата CA>.pem <имя TLS-сертификата после объединения файлов>.pem
Например, вы можете выполнить следующую команду:
% cat key-nopass.pem server_cert.pem intermediate_CA.pem root_CA.pem > cert.pem
- Если вы уверены, что клиенты, которым сервер будет предоставлять этот сертификат, имеют собственные копии корневого и промежуточного сертификатов CA, объедините закрытый ключ и сертификат сервера в один файл. Для этого выполните команду:
% cat <имя файла закрытого ключа после удаления пароля>.pem <имя сертификата сервера>.pem <имя сертификата сервера после объединения файлов>.pem
Например, вы можете выполнить следующую команду:
% cat key-nopass.pem server_cert.pem > cert.pem
- Если вы не уверены, что клиенты, которым сервер будет предоставлять этот сертификат, имеют собственные копии корневого и промежуточного сертификатов CA, объедините закрытый ключ, сертификат сервера, промежуточный сертификат и корневой сертификат CA в один файл. Для этого выполните команду:
TLS-сертификат, подписанный центром сертификации (например, cert.pem), готов к импорту в Kaspersky Secure Mail Gateway.