Если в корпоративной среде уже планируется или уже используеться инфраструктура открытого ключа на базе Microsoft PKI и вместе с тем Kerio Control разумно подписать сервисы Kerio Control сертификатом Microsoft PKI.
Сервисов всего два: VPN сервер и веб сервер, который предоставляет доступ к администрированию и просмотру статистики.
По-умолчанию Kerio Control использует самоподписанные сертификаты, к тому же не до конца заполненные.
Что ж, начнем мы с того что установим на один из свободных серверов под управлением Windows Server веб-сервер IIS и запросим сертификат у издающего центра.
В запросе укажем кроме огранизации, страны, отдела и т.п. два DNS имени — в локальной и глобальной сети. В моем примере это utm.office.local и utm.kagarlickij.kiev.ua
Подтвердим запрос, установим сертификат, перейдем в хранилище сертификатов (компьютер — личное) и экспортируем полученный сертификат в .pfx , защитив его паролем.
Таким же образом, тот же сертификат экспортируем без приватного ключа, в формате X.509 (.cer), а затем переименовываем utm.cer в utm.crt
Для дальнейших действий нам понадобится SSL Certificate Utility , скачаем и распакуем ее в C:sslcu
Теперь берем два файла, utm.crt и utm.pfx и переносим их в C:sslcu
Запускаем командную строку с правами администратора и выполняем следующие действия:
cd C:sslcu
dir
openssl.exe
pkcs12 -in utm.pfx -nocerts -out utm.pem
rsa -in utm.pem -out utm.key
По ходу дела вводим пароли, ничего сложного.
В итоге мы получаем utm.crt и utm.key , которые передаем в Kerio Control.
Кстати, сертификат на VPN устанавливается тут:
.. а на веб сервер тут:
Как видно на скриншетах, сертификаты в этой организации самоподписанные, хотя в других организациях предложенный метод успешно работает.
Так какие особенности нужно учетсь перед установкой корпоративных сертификатов?
Во-первых нужно иметь понимание что такое и зачем нужен PKI впринципе, знать основы работы.
Во-вторых нужна бизнес-необходимость, а если всех все устраивает то к чему городить огород.
В-третьих центр сертификации (если точнее то список отзывов) должен быть доступен из мира, если есть необходимость в удаленном администрировании и VPN.
Ну и в-четвертых, OS X и iOS нужно «подружить» с инфраструктурой PKI от Microsoft, а это уже отдельная тема 🙂
