Если вы не хотите загрузить в устройство собственный сертификат или использовать самоподписанный сертификат по умолчанию, новый самоподписанный сертификат можно сгенерировать через веб-интерфейс или CLI. Также можно подготовить CSR.
Этот новый самоподписанный сертификат можно использовать для расшифровки SSL трафика, а также для портала или шлюза GlobalProtect.
Шаг 1
В WebGUI перейдите в раздел Device > Certificates.
Нажмите кнопку Generate в нижней части экрана.
Шаг 2
- Введите необходимые данные для сертификата. Введенные здесь данные будут отображаться для пользователей при просмотре CA сертификата для зашифрованного соединения с помощью браузера.
Примечание: Если вы хотите, чтобы сертификат действовал дольше 365 дней (1 год), то перед созданием сертификата измените значение параметра "Expiration (days)" с 365 на большее.
- Дайте имя сертификату
- В строке Common Name впишите IP или FQDN, которые будут отображаться в сертификате.
- Дополнительно, заполните интересующие Вас Certificate Attributes (Требует выбрать галочку СА)
После заполнения информации, нажмите на кнопку Generate.
Шаг 3
Чтобы убедиться, что сертификат был создан правильно, щелкните на только что созданный сертификат.
Примечание: Если этот сертификат используется для SSL-дешифрования, то используются опции "Forward Trust Certificate" и "Forward Untrust Certificate". Важно использовать разные сертификаты в качестве "Forward Trust Certificate" и "Forward Untrust Certificate". Причина в том, что в противном случае хостам всегда будет представлен сертификат, которому они доверяют, даже если сервер предоставил фаерволу недействительный сертификат.
Чтобы удалить сертификат, снимите оба флажка, иначе будет выдана ошибка.
После нажмите Commit. После окончания коммита, сертификат будет установлен.
Comments
0 comments
Please sign in to leave a comment.