Настройка kerio сертификат ssl

Changing ssl certificates

If your certificate is expiring and you need to import a new one, you must also select the certificate in all Kerio Control services where the expiring certificate is used. For more information refer to Changing SSL certificates in Kerio Control.

Источник

Configuring ssl certificates in kerio control

For generating SSL certificates, Kerio Control uses its own local authority. Kerio Control creates the first certificate during installation. The server can use this certificate.

Creating a certificate signed by a certification authority

To create and use a certificate signed by a trustworthy certification authority, follow these instructions:

  1. Open Definitions > SSL Certificates.
  2. Click Add > New Certificate Request.
  3. In the New Certificate Request dialog box, type the hostname of Kerio Control , the official name of your company, city and country where your company resides and the period of validity. Hostname is a required field.
  4. Select the certificate request and click More Actions > Export.
  5. Save the certificate to your disk and email it to a certification organization. For example, Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode and so on.
  6. Once you obtain your certificate signed by a certification authority, go to Definitions > SSL Certificates.
  7. Select the original certificate request (the certificate request and the signed certificate must be matched)
  8. Click More Actions > Import.

Creating a certificate signed by local authority

Create a new certificate if the old one is not valid anymore.

To create a certificate, follow these instructions:

  1. Open section Definitions > SSL Certificates.
  2. Click Add > New Certificate.
  3. In the New Certificate dialog box, type the hostname of Kerio Control , the official name of your company, city and country where your company resides and the period of validity. Hostname is a required field.
  4. Save the settings.

Now you can use this certificate. Using the certificate means that you have to select it in the specific settings (for example SSL certificate for VPN server you have to select in Interfaces > VPN Server).

Про сертификаты:  Стеклоткань Э3-100, Э3-200, Т-10, Т-11, Т-13, Т-23, КТ-11-30К, ТБК 100, цена в Нижнем Новгороде от компании МОСТ-52

Creating a new local authority

Local Authority is generated automatically during Kerio Control installation. However, the hostname and other data are incorrect, so you need to generate a new certificate for the Local Authority.

To create and use a certificate for the Local Authority:

  1. Go to Definitions > SSL Certificates.
  2. Click Add > New Certificate for Local Authority.
  3. In the New Certificate for Local Authority dialog box, type the Kerio Control hostname, the official name of your company, the city and country of your company, and the period for which the certificate should be valid.

The new Local Authority will be available and visible in Definitions > SSL Certificates. The old one is:

If you need to know how to export the local authority and import it as root certificate to a browser, read the Exporting and importing Kerio Control local authority as root certificate article.

Github – vasyakrg/kerioconnect-ssl-letsencrypt: install and auto-renew ssl certificate for kerio-connect 9.x by let’s encrypt

этот скрипт скачивает последнюю версию Kerio Connect с сайта-производителя, нужно лишь правильно выставить переменную wget_kci_path в terraform/terraform.tfvars, но вы можете пропустить этот шаг, если уже установили керио сами.

Importing intermediate certificates

Kerio Control allows authentication by intermediate certificates.

To add an intermediate certificate to Kerio Control , follow these steps:

Использование let’s encrypt с kerio connect : 6 комментариев

Привет, Виктор, делал по тому же мануалу, что и ты. У меня всё вышло, но открывается только админка керио. При попытке открыть просто корень сайта, при попытке зайти в клиентскую часть веб морды керио получаю 502. конфиги: nginx.conf:

Использование let’s encrypt с kerio connect

Настройка kerio сертификат ssl
Let’s Encrypt возможно лучшая вещь, произошедшая в Интернет за последние лет десять. Это сервис, предоставляющий абсолютно бесплатно криптографические сертификаты X.509 для TLS шифрования (HTTPS). Главный минус, что сертификат выдается на 90 дней, но мы попробуем автоматизировать процедуру замены сертификата.

Отключаем http
Остановите в Kerio Connect если он запущен и установите режим запуска вручную, чтобы он не активировал себя снова при перезапуске. Измените служебный порт HTTPS на 8843 в панели администратора. Установка не будет работать иначе, потому что Certbot нуждается в портах 80 и 443 для проверки домена и получения сертификата.

Про сертификаты:  ВСХН-50 (фланцевый) Счетчик холодной воды - Продажа счетчиков воды и теплосчетчиков по низким ценам.

Установим Nginx
Так как мы не хотим что-либо делать вручную, а также иметь возможность использовать стандартные веб-порты, нам необходимо установить реверс-прокси перед Kerio Connect

mkdir -p /var/www/mail
chown www-data:www-data /var/www/mail
apt-get install nginx ssl-cert

Создадим файл /etc/nginx/sites-available/kerio-connect.conf со следующим содержанием

server {
listen 80;
server_name nash_site; # заменить на адрес своего сайта
server_name_in_redirect off;
rewrite ^ https://$server_name$request_uri? permanent;
}

server {
listen 443 ssl;
server_name nash_site; # заменить на адрес своего сайта

ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem; 
ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;

location /.well-known {
alias /var/www/mail/.well-known;
}

location / {
proxy_pass https://localhost:8843;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Remote-Port $remote_port;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_redirect off;
chunked_transfer_encoding on;
proxy_connect_timeout 6000;
proxy_send_timeout 6000;
proxy_read_timeout 6000;
send_timeout 6000;
}
}

Слинкуем сайт с nginx:

ln -s /etc/nginx/sites-available/kerio-connect.conf /etc/nginx/sites-enabled/kerio-connect.conf

Проверим конфигурацию:

nginx -t

Если ошибок нет, перегружаем nginx:

systemctl restart nginx.service

Установка Certbot

Теперь установим программу, которая будет за нас обновлять сертификаты

wget https://dl.eff.org/certbot-auto
chmod a x certbot-auto

Запустим

./certbot-auto

Создадим сертификат.

./certbot-auto certonly --webroot -w /var/www/mail -d nash_site

Если вы запускаете в первый раз, вам нужно будет ввести свой адрес электронной почты для экстренной ситуации, например, для отзыва сертификата. Это нужно сделать только один раз и после этого SSL-сертификат будет создан.

Начинаем использовать

Изменим в файле /etc/nginx/sites-available/kerio-connect.conf строки

ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem;
ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;

на:

ssl_certificate /etc/letsencrypt/live/nash_site/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nash_site/privkey.pem;

Перезагрузим Nginx

systemctl restart nginx.service

Чтобы упростить обновление Kerio Connect, просто свяжите созданный сертификат и ключ с соответствующей папкой внутри иерархии Kerio Connect

ln -s /etc/letsencrypt/live/nash_site/fullchain.pem /opt/kerio/mailserver/sslcert/mail.crt
ln -s /etc/letsencrypt/live/nash_site/privkey.pem /opt/kerio/mailserver/sslcert/mail.key

Теперь заходим в панель управления Kerio Connect, выбираем Configuration > SSL Certificates и смотрите что там за сертификаты. Выбирайте установленный от Let’s Encrypt и делайте его активным.
Все, теперь при заходе на Ваш сайт nginx будет автоматически перебрасывать соединение на https, а браузер не будет ругаться на неправильный сертификат.

Обновление.

Осталось автоматизировать процесс перевыпуска сертификатов.
Просто запустим:

./certbot-auto renew

Если сертификат близок к истечению срока действия, он будет автоматически обновлен, в противном случае он будет храниться до следующего запуска.

Сперва скопируем Certbot в удобное место. Например, в /usr/local/bin

cp certbot-auto /usr/local/bin/

Чтобы получить новый сертификат, необходимо перезапустить службы после успешного продления. Создайте скрипт /root/certbot-post-hook.sh со следующим содержимым:

#!/bin/sh
systemctl restart nginx.service
systemctl restart kerio-connect.service

Сделаем его исполняемым и проставим права:

chmod 500 /root/certbot-post-hook.sh
chown root:root /root/certbot-post-hook.sh

Мы будем проверять необходимость перевыпуска сертификата каждую ночь, в 3 часа утра.
Создадим файл /etc/cron.d/certbot:

shell=/bin/sh
path=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 3 * * * root perl -e 'sleep int(rand(3600))' && certbot-auto -q renew --post-hook "/root/certbot-post-hook.sh"

Настройка kerio сертификат ssl

1. Генерируем SSL-сертификат: в поле «имя хоста» пишем имя, по которому будет происходить соединение в ВПН-сервером «из интернетов». Если есть вероятность что коннектиться будут по ip-адресу И/ИЛИ предполагается использование ВПН-сервера для локальных клиентов, то в поле «альтернативные имена хостов» указываем ip-адрес на который будет происходить соединение ИИЛИ локальное имя сервера.

Про сертификаты:  Kaspersky. Интернет-магазин

2. Активируем работу ВПН-сервера, в его настройках указываем использование сертификата (п.1).

3. Экспорт сертификата сервера VPN: выбираем в списке сертификатов тот который мы создали для использования ВПН-сервером, жмём «дополнительные действияэкспортэкспорт сертификата в PKCS#12», устанавливаем пароль, галку «включить все сертификаты. » снимаем, сохраняем файл с именем VPN.p12 .

4. Экспорт коневого сертификата VPN-сервера: выбираем в списке сертификатов корневой сертификат LocalAuthority , устанавливаем пароль, галку «включить все сертификаты. » можно и оставить, файлу даём название соответственно LocalAuthority.p12 .

5. Распространяем сертификаты нуждающимся: отправляем (по e-mail, бандеролью или как ещё) оба получившихся файла на компьютер, откуда будет происходить ВПН-соединение с нашим сервером Control.

На стороне клиента:

1. В Windows создаём новое ВПН-подключение, заходим в его совойства, на закладке «общие» указываем ДНС-имя сервера, куда будем подключаться или ip-адрес (те, которые указывались при создании сертификата, если имена в сертификате не будут совпадать с тем что будет указано в самом соединениии — ВПН не подключится)

2. На закладке «параметры» снимаем галку «включать домен входа в Windows».

3. На закладке «безопасность» делаем как на картинке:

4. жмём «дополнительные параметры» и указываем использование сертификата:

5. На закладке «сеть» снимаем все галки кроме TCPIPv4, в свойствах TCPIPv4: — если пох на локальные ресурсы, то галку «использовать шлюз в удалённой сети» оставляем — если во время работы ВПН-тоннеля нужны ещё и локальные ресурсы, то галку «использовать шлюз в удалённой сети» снимаем, но при этом нужно будет прописать статический маршрут в удалённую сеть.

6. Открываем оснастку «сертификаты» для импорта: пусквыполнитьmmc , в открывшейся консоли жмём «файлдобавить или удалить оснастку» , слева выбираем «сертификаты», жмём кнопку «добавить» , делаем как на картиинке:

жмём «готово», потом «ок» .

5. Импортируем серверный сертификат: разворачиваем список, правой клавишей на хранилище «личное«, далее все задачиимпорт , выбираем файл VPN.p12, из него будет импортирован сертификат сервера.

6. Импортируем корневой сертификат: таким же образом в хранилище «доверенные корневые центры сертификации» импортируем корневой сертификат Control-а из файла LocalAuthority.p12 .

На этом всё, можно подключать ВПН-соединение и пользоваться тоннелем.

Источник

Оцените статью
Мой сертификат
Добавить комментарий