#54: Клиент хочет выпустить свой сертификат

Сертификат инспектирования

Последовательность действий по созданию собственного сертификата инспектирования:
https://docs.usergate.com/upravlenie-sertifikatami_90.html

https://docs.usergate.com/sozdanie-sertifikata-podpisannogo-v-active-directory-certification-authority_74.html

Сертификат веб-консоли

Как выпустить сертификат для веб-консоли UG /  не удается заменить SSL Web console

Пример создания (с помощью openssl) сертификата веб-консоли (и других сертификатов) есть в статье (для веб-консоли - п. 9 и п. 10):
https://docs.usergate.com/sozdanie-sertifikatov-s-pomosh6yu-programmy-openssl_70.html
Статья наглядна тем, что видны все параметры сертификата и описана полная последовательность действий.

Также нужно учесть, что сертификат обычно выписывается на имя сервера (имя указывается в common name в сертификате). В этом случае и открывать веб-консоль на UTM нужно, используя это имя вместо IP-адреса UTM в адресной строке, не забывая при этом про порт 8001.

Сертификат Captive-портала

Если выпускаете сертификат для Captive-портала, то при выпуске сертификата необходимо также указать Subject Alternative Names:
https://docs.usergate.com/upravlenie-sertifikatami_90.html

certreq -attrib "CertificateTemplate:WebServer\nSAN:DNS=<Name1>\[\&DNS=<name2>...]\[\&IPAddress=<IP1>...]" <csr filename> <cer filename>\
Обращаю также Ваше внимание на то, что в зависимости от Ваших потребностей Вы можете просто выпустить сертификат для SSL-инспектирования, т.к. данный сертификат также используется для создания сертификата по умолчанию для роли SSL Captive-портала. Что удобно, т.к. UserGate в этом случае будет самостоятельно в автоматическом режиме перевыпускать сертификат Captive-портала при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive). При назначении сертификата с другим СА на роль сертификата Captive-портала, при открытии пользователем страницы блокировки, ему будет возвращаться саб-сертификат на основе загруженного сертификата Captive-портала. То есть NGFW будет перевыпускать сертификаты динамически для каждого подключения к странице блокировки по HTTPS.