VPN – это обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети, например сети Интернет.
ARMA FW поддерживает работу двух технологий VPN:
OpenVPN;
IPsec.
В ARMA FW реализована возможность просмотра конфигурации созданных серверов и клиентов при создании подключения OpenVPN или ГОСТ VPN (см. «Диагностика VPN» настоящего руководства).
OpenVPN – это реализация технологии VPN, использующая SSL/TLS для защиты туннелируемого трафика. В работе OpenVPN используется механизм TUN/TAP, реализованный в виде загружаемого драйвера ядра.
ARMA FW поддерживает работу OpenVPN в режимах «сеть – сеть» и «узел – сеть».
При настройке подключения OpenVPN рекомендуется придерживаться следующих криптографических установок:
«Пиринговая сеть (Общий ключ)»:
«Алгоритм шифрования» – «AES-256-CBC (256 bit key, 128 bit block)», «AES-128-CBC (128 bit key, 128 bit block)»;
Для режимов сервера «Удаленный доступ (SSL/TLS)», «Удаленный доступ (аутентификация пользователя)» и «Удаленный доступ (SSL/TLS+аутентификация пользователя)» рекомендуется не включать сжатие туннельных пакетов.
Рисунок – Схема стенда для настройки OpenVPN в режиме «сеть – сеть»
Перед началом настройки необходимо создать правила МЭ, разрешающие трафик ICMP, для интерфейсов «WAN» каждого ARMA FW (см. «Создание правил межсетевого экранирования» настоящего руководства) и убедиться в следующем:
интерфейсы «WAN» каждого ARMA FW используют IP-адреса доступные друг другу по команде «ping»;
сегмент интерфейса «LAN» каждого ARMA FW использует уникальную сеть, в примере используются сети «192.168.1.0/24» и «192.168.2.0/24».
Примечание
При использовании динамической маршрутизации OSPF в туннеле OpenVPN необходимо учитывать следующие особенности:
при настройке сервера и клиента OpenVPN в режимах «Пиринговая сеть (Общий ключ)» или «Пиринговая сеть (SSL/TLS)» для параметра «Режим работы устройства» выбрать значение «tun», а поля параметров «Локальная сеть IPv4» и «Удаленная сеть IPv4» не должны быть заполнены;
при настройке сервера OpenVPN в режиме «Пиринговая сеть (SSL/TLS)» в блоке «Настройки клиента» установить флажок для параметра «Топология сети».
Для настройки OpenVPN на ARMA FW1 необходимо выполнить следующие действия:
Перейти в подраздел настройки серверов OpenVPN («VPN» - «OpenVPN» - «Серверы») и нажать кнопку «+Добавить» для добавления нового сервера.
В открывшейся форме указать параметры согласно таблице (см. Таблица «Параметры OpenVPN ARMA FW1») и нажать кнопку «Сохранить». Неуказанные параметры оставить по умолчанию.
Для копирования ключа необходимо выполнить следующие действия:
Перейти в подраздел настройки серверов OpenVPN («VPN» - «OpenVPN» - «Серверы») и нажать кнопку «» напротив созданного сервера.
В открывшейся форме перейти в блок настроек «Криптографические установки» и скопировать в буфер обмена содержимое поля параметра «Совместно использующийся Ключ».
«Совместно использующийся ключ» – флажок не установлен. Вставлено значение ранее скопированного ключа (см. раздел «Копирование ключа» настоящего руководства);
«Алгоритм шифрования» – «AES-256-CBC (256 bit key, 128 bit block)»;
Необходимо создать правила, указав следующие значения параметров:
ARMA FW1 (правило №1):
«Интерфейс» – «WAN»;
«Действие» – «Разрешить (Pass)»;
«Быстрая проверка» – «Включено»;
«Версии TCP/IP» – «IPv4»;
«Протокол» – «UDP»;
«Отправитель» – «Единственный хост или сеть», «203.0.113.67»;
«Диапазон портов назначения» – «OpenVPN»;
«Описание» – «Allow VPN»;
ARMA FW1 (правило №2):
«Интерфейс» – «OpenVPN»;
«Действие» – «Разрешить (Pass)»;
«Быстрая проверка – «Включено»;
«Версии TCP/IP» – «IPv4»;
«Протокол» – «Любой»;
«Отправитель» – «Единственный хост или сеть», «192.168.2.0/24»;
«Диапазон портов назначения» – «Любой»;
«Описание – «Allow VPN Traffic»;
ARMA FW2:
«Интерфейс» – «OpenVPN»;
«Действие» – «Разрешить (Pass)»;
«Быстрая проверка» – «Включено»;
«Версии TCP/IP» – «IPv4»;
«Протокол» – «Любой»;
«Отправитель» – «Единственный хост или сеть», «192.168.1.0/24»;
«Диапазон портов назначения» – «Любой»;
«Описание» – «Allow VPN Traffic».
Неуказанные параметры оставить по умолчанию.
После применения правил МЭ необходимо убедиться в работе канала, для этого на любом из ARMA FW перейти в подраздел статусов соединения OpenVPN («VPN» - «OpenVPN» - «Статус соединения»), значение столбца «Статус» должно быть «up» (см. Рисунок – Статус соединения OpenVPN).
Для создания доверенного центра сертификации необходимо выполнить действия, представленные в разделе «Создание внутреннего центра сертификации» настоящего руководства.
Для создания сертификата сервера необходимо выполнить следующие действия, представленные в разделе «Создание внутреннего сертификата» настоящего руководства.
Создание пользовательской УЗ и клиентского сертификата
«Сервер удаленного доступа» – созданный сервер, в примере «OpenVPN Server UDP:1194»;
«Тип экспорта» – «Только файл»;
«Имя хоста» – имя или IP-адрес сервера, в примере «192.168.2.1».
Остальные параметры оставить по умолчанию.
Нажать кнопку «» напротив имени пользователя внизу страницы и сохранить конфигурационный файл, следуя указаниям веб-браузера.
Экспортированный конфигурационный файл необходимо импортировать в клиентскую часть ПО «OpenVPN» на ПК «Client» и выполнить подключение к созданному серверу на ARMA FW.
IPsec – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP.
ARMA FW поддерживает работу IPsec в режимах «сеть – сеть» и «узел – сеть».
В случае временного отключения и последующего подключения участника IPsec-туннеля, восстановление туннеля происходит автоматически.
Примечание
При включении IPsec на виртуальных машинах возможны сбои в работе ARMA FW.
Создание туннеля IPsec осуществляется в два этапа:
«фаза 1» – согласование узлами метода идентификации и параметров шифрования для обмена ключами;
«фаза 2» – согласование узлами метода параметров шифрования трафика.
При настройке фазы 1 туннеля IPsec в поле параметра «Версия обмена ключами» допускается выбор следующих значений версии протокола «IKE»: «auto», «V1», «V2» – используется по умолчанию.
При настройке фазы 1 туннеля IPsec в поле параметра «Действие закрытия» возможно указать действие, выполняемое в случае потери связности с удалённым узлом:
«Отсутствует» – отключает действие;
«Сброс» – закрывает соединение без дальнейших действий;
«Удержание» – перехватывает трафик и повторно инициирует согласование соединения по требованию;
«Перезапуск» – немедленно инициирует согласование соединения.
Примечание
Для параметра «Действие закрытия» следует установить значение «Отсутствует», если узел использует повторную аутентификацию или проверку уникальных идентификаторов.
При настройке фазы 1 туннеля в режиме динамической маршрутизации необходимо в блоке «Дополнительные параметры» снять флажок для параметра «Политика установки».
При настройке фазы 2 туннеля IPsec для параметра «Режим» возможен выбор следующих значений:
«Туннель IPv4» – режим туннелирования по версии IPv4, при котором выполняется шифрование IP-заголовка пакета и передаваемых данных с последующей инкапсуляцией в новый IP-пакет;
«Туннель IPv6» – режим туннелирования по версии IPv6, при котором выполняется шифрование заголовка пакета и передаваемых данных;
«Динамическая маршрутизация» – режим используется совместно с динамической маршрутизацией;
«Транспортный протокол» – транспортный режим, при котором выполняется шифрование только передаваемых данных.
Для создания доверенного центра сертификации необходимо выполнить действия, представленные в разделе «Создание внутреннего центра сертификации» настоящего руководства.
Сертификат созданного центра сертификации необходимо экспортировать, нажав кнопку «Экспортировать сертификат CA» (см. Рисунок – Экспорт сертификата СА) в подразделе полномочий («Система» - «Доверенные сертификаты» - «Полномочия»).
Для создания внутреннего сертификата необходимо выполнить действия, представленные в разделе «Создание внутреннего сертификата» настоящего руководства, указав следующие значения параметров:
Перед началом импорта необходимо создать оснастку для работы с сертификатами, в качестве примера будет использоваться ОС «Windows».
Порядок создания оснастки для работы с сертификатами на ПК «Client» необходимо выполнить следующие действия:
Нажать комбинацию клавиш «Win» + «R» и в появившемся меню «Выполнить» ввести «mmc» и нажать клавишу «ENTER» для запуска консоли управления.
В меню «Файл» открывшейся консоли управления выбрать «Добавить или удалить оснастку…».
В открывшейся форме добавления и удаления оснасток из столбца «Доступные оснастки» выбрать «Сертификаты» и нажать «Добавить».
На первом шаге открывшейся оснастки выбрать значение «учетной записи компьютера» и нажать кнопку «Далее», в следующем шаге выбрать значение «локальным компьютером» и нажать кнопку «Готово».
В качестве примера настройки нового сетевого подключения будет использоваться создание и настройка подключения в ОС «Windows».
Для создания и настройки VPN подключения на ПК «Client» необходимо выполнить следующие действия:
Перейти в «Панель управления», установить режим просмотра «Мелкие значки», выбрать раздел «Центр управления сетями и общим доступом» и нажать «Создание и настройка нового подключения или сети».
В открывшемся мастере выбрать «Подключение к рабочему месту» и нажать кнопку «Далее».
Для подключения VPN соединения необходимо нажать правой кнопкой мыши на созданное ранее подключение «VPN-подключение» и выбрать «Подключить». Ввести аутентификационные данные, созданные на шаге 4 (см. «Шаг 4. Добавление ключа IPsec» настоящего руководства) и нажать кнопку «OK» для подключения.
Рисунок – Схема стенда для настройки IPsec в режиме «сеть – сеть»
Для настройки IPsec в режиме «сеть – сеть» необходимо выполнить следующие шаги:
Добавить ключ IPsec.
Настроить туннель IPsec на ARMA FW1.
Настроить туннель IPsec на ARMA FW2.
Примечание
В случае необходимости, при настройке записи фазы 2, в режимах «Туннель IPv4» или «Туннель IPv6», в блоке настроек «Общая информация» возможно выбрать протокол, трафик по которому будет направлен в туннель. При выборе протоколов «TCP» или «UDP» и типа сети «Адрес» или «Сеть» в блоках настроек «Локальная сеть» и «Удаленная сеть» дополнительно появятся параметры «Диапазон портов источника» и «Диапазон портов назначения» соответственно.
Примечание
В случае перезагрузки одного из ARMA FW автоматически выполнится перезапуск IPsec на обоих ARMA FW для дальнейшей корректной работы.
Для добавления ключа IPsec необходимо выполнить следующие действия:
На ПК «Server» в веб-интерфейсе ARMA FW1 перейти в подраздел предварительно выданных ключей («VPN» - «IPsec» - «Предварительно выданные ключи») и нажать кнопку «+Добавить».
В случае необходимости дополнительной настройки политик трафика, проходящего через интерфейс IPsec, следует ввести IP-адрес в формате CIDR в поле параметра «Ручные записи SPD».
Нажать кнопку «Сохранить», а затем кнопку «Применить изменения».
Установить флажок для параметра «Включить IPsec» и нажать кнопку «Сохранить».
Примечание
Для разрешения прохождения трафика в сеть LAN необходимо создать разрешающее правило МЭ (см. «Создание правил межсетевого экранирования» настоящего руководства) для интерфейса «IPsec», выбрав значение «LAN сеть» в поле параметра «IP-адрес назначения».
Нажать кнопку «Сохранить», а затем кнопку «Применить изменения».
Для созданной записи нажать кнопку «» для добавления записи фазы 2.
Указать следующие значения параметров в открывшейся форме:
«Описание» – «peer 2»;
«Адрес» (Удаленная сеть) – IP-адрес локальной сети ARMA FW1, в примере «192.168.1.0», «24»;
«Алгоритмы шифрования» – флажок установлен для значения «aes256gcm16»;
«Алгоритмы хеша» – «SHA1»;
«Автоматически пингуйте хост» – IP-адрес LAN интерфейса ARMA FW1, в примере «192.168.1.1».
Остальные параметры оставить по умолчанию.
Нажать кнопку «Сохранить», а затем кнопку «Применить изменения».
Установить флажок для параметра «Включить IPsec» и нажать кнопку «Сохранить».
Примечание
Для разрешения прохождения трафика в сеть LAN необходимо создать разрешающее правило МЭ (см. «Создание правил межсетевого экранирования» настоящего руководства) для интерфейса «IPsec», выбрав значение «LAN сеть» в поле параметра «IP-адрес назначения».
Для проверки работоспособности подключения необходимо на каждом ARMA FW перейти в подраздел статуса IPsec («VPN» - «IPsec» - «Информация о статусе»), нажать кнопку «», затем кнопку «» и убедиться в наличии активного соединения (см. Рисунок – ARMA FW2: Информация о статусе IPsec VPN).
Рисунок – ARMA FW2: Информация о статусе IPsec VPN
Установить флажок для параметра «Скопировать phase2» на открывшейся странице редактирования клонированной фазы 1 (см. Рисунок – Клонирование фаз 1 и 2).
Для настройки IPsec необходимо на обоих ARMA FW выполнить следующие действия:
Перейти в подраздел настройки туннелей IPsec («VPN» - «IPsec» - «Настройки туннеля») и нажать кнопку «» для создания фазы 1 и указать следующие значения параметров в открывшейся форме (см. Рисунок – ARMA FW1: настройка фазы 1):
ARMA FW1:
«Интерфейс» – «GRE_FW»;
«Удалённый шлюз» – IP-адрес GRE интерфейса ARMA FW2, в примере «10.0.8.2»;
Указать следующие значения параметров в открывшейся форме:
ARMA FW1:
«Режим» – «Транспортный протокол»;
«Описание» – «peer 1»;
«Автоматически пингуйте хост» – IP-адрес интерфейса LAN ARMA FW2, в примере «192.168.2.1»;
и нажать кнопку «Сохранить», а затем кнопку «Применить изменения»;
ARMA FW2:
«Режим» – «Транспортный протокол»;
«Описание» – «peer 2»;
«Автоматически пингуйте хост» – IP-адрес интерфейса LAN ARMA FW1, в примере «192.168.1.1»;
и нажать кнопку «Сохранить», а затем кнопку «Применить изменения».
Неуказанные параметры оставить по умолчанию.
Установить флажок для параметра «Включить IPsec» и нажать кнопку «Сохранить».
Примечание
Для разрешения прохождения трафика в сеть LAN необходимо создать разрешающее правило МЭ (см. «Создание правил межсетевого экранирования» настоящего руководства) для интерфейса «IPsec», выбрав значение «LAN сеть» в поле параметра «IP-адрес назначения».
Для настройки IPsec необходимо на обоих ARMA FW выполнить следующие действия:
Перейти в подраздел настройки туннелей IPsec («VPN» - «IPsec» - «Настройки туннеля») и нажать кнопку «» для создания фазы 1 и указать следующие значения параметров в открывшейся форме (см. Рисунок – ARMA FW1: настройка фазы 1):
ARMA FW1:
«Интерфейс» – «WAN»;
«Удалённый шлюз» – IP-адрес интерфейса WAN ARMA FW2, в примере «203.0.113.67»;
Для разрешения прохождения трафика в сеть LAN необходимо создать разрешающее правило МЭ (см. «Создание правил межсетевого экранирования» настоящего руководства) для интерфейса «IPsec», выбрав значение «LAN сеть» в поле параметра «IP-адрес назначения».
ГОСТ IPsec – это реализация IPsec, с применением алгоритмов шифрования, соответствующих ГОСТ и криптографических средств, прошедших процедуру оценки соответствия в ФСБ России.
Перед настройкой подключения необходимо выполнить установку лицензии ГОСТ IPsec.
Примечание
Лицензия ГОСТ IPsec не входит в комплект поставки ARMA FW. Для использования функциональности необходимо приобрести лицензию у вендора или дистрибьюторов.
После активации лицензии ГОСТ IPsec будут доступны следующие криптографические средства защиты информации:
Алгоритмы шифрования:
«KUZNYECHIK-MGM»;
«MAGMA-MGM»;
«GOST341215K».
Алгоритмы хеша:
«STREEBOG-256»;
«STREEBOG-512».
ARMA FW поддерживает работу ГОСТ IPsec в режиме «сеть – сеть».
Для активации лицензии ГОСТ IPsec необходимо выполнить следующие действия:
Перейти в подраздел настройки туннелей IPsec («VPN» - «IPsec» - «Настройки туннеля»).
Установить флажок для параметра «Включить IPsec» и нажать кнопку «Сохранить».
Произвести аутентификацию в локальном консольном интерфейсе.
Перейти в интерфейс командной строки (см. «Доступ к командной строке» Руководства администратора ARMA FW), ввести следующую команду:
make_lprng_start
и нажать клавишу «ENTER» для запуска формирования файла инициализации программного ДСЧ. При обновлении лицензии запуск формирования файла инициализации программного ДСЧ не используется.
Рисунок – ГОСТ IPsec. Запись файла инициализации ДСЧ
Перейти в подраздел лицензии ГОСТ IPsec («VPN» - «IPsec» - «Лицензия ГОСТ»).
Ввести в поле параметра «Ключ лицензии» серийный номер предоставленной лицензии «ЛИССИ-Софт», затем нажать кнопку «Создать запрос лицензии» (см. Рисунок – Лицензия ГОСТ IPsec).
Для настройки ГОСТ IPsec в режиме «сеть – сеть» необходимо выполнить шаги, аналогичные указанным в разделе Настройка IPsec в режиме «сеть – сеть» настоящего руководства, учитывая следующие особенности:
При создании фазы 1 туннеля IPsec дополнительно указать следующие значения параметров:
«Алгоритм шифрования» – «GOST341215K»;
«Алгоритм хеша» – «STREEBOG-512»;
«Группа ключей DH» – «5 (1536 bits)»;
«Действие закрытия» – «Удержание».
При создании фазы 2 туннеля IPsec дополнительно указать следующие значения параметров:
«Алгоритмы шифрования» – флажок установлен для значения «GOST341215K»;
При создании туннеля IPsec с использованием алгоритма шифрования «KUZNYECHIK-MGM» или «MAGMA-MGM» следует для фазы 2 указать в поле параметра «Алгоритмы хеша» значение «Не выбрано», сняв флажки для всех значений. В результате будут отображаться записи представленные на рисунке (см. Рисунок – Туннель ГОСТ IPsec. Алгоритм шифрования – KUZNYECHIK-MGM).
ГОСТ VPN – это реализация OpenVPN, с применением алгоритмов шифрования, соответствующих ГОСТ и криптографических средств, прошедших процедуру оценки соответствия в ФСБ России.
ARMA FW поддерживает работу ГОСТ VPN в режимах «сеть – сеть» и «узел – сеть» с режимом работы устройства «tun» с настройками режима сервера, представленными в таблице (см. Таблица «Режимы работы сервера ГОСТ VPN»).
Удаленный доступ (SSL/TLS+аутентификация пользователя)
Перед настройкой режимов подключения необходимо выполнить установку лицензии ГОСТ VPN.
Примечание
Лицензия ГОСТ VPN не входит в комплект поставки ARMA FW. Для использования функциональности необходимо приобрести лицензию «OpenVPN-ГОСТ» у вендора или дистрибьюторов.
Установка и обновление лицензии ГОСТ VPN доступны только с доступом в Интернет. Лицензия продукта должна быть в виде текстового ключа, например:
«2JXC-4P5T-PAAH-NPFP».
Для ГОСТ VPN существуют следующие типы лицензии:
центрального шлюза – лицензия позволяет настроить ARMA FW сервером, генерировать ключи и сертификаты;
шлюза филиала – лицензия позволяет подключиться к центральному шлюзу и обеспечить защищённый канал с ним;
отдельного компьютера – лицензия позволяет отдельному устройству подключиться к центральному шлюзу по зашифрованному каналу.
Для работы ГОСТ VPN в режиме «сеть – сеть» необходимо использовать следующие типы лицензии:
центрального шлюза в качестве серверной лицензии – на ARMA FW, выполняющем роль сервера;
шлюза филиала в качестве клиентской лицензии – на ARMA FW, выполняющем роль клиента.
Для работы ГОСТ VPN в режиме «узел – сеть» на ARMA FW, выполняющем роль сервера, необходимо использовать лицензию центрального шлюза в качестве серверной лицензии.
В интерфейсе командной строки ввести следующую команду:
openvpn-gost.sh -i
и нажать клавишу «ENTER» для смены кодировки и корректного отображения выводимой информации и для запуска формирования файла инициализации программного ДСЧ. При обновлении лицензии запуск формирования файла инициализации программного ДСЧ не используется.
Последовательно ввести цифры, идентичные указанным в интерфейсе (см. Рисунок – Запись файла инициализации ДСЧ). При правильном вводе будет произведена запись файла инициализации ДСЧ.
в режимах сервера «Удаленный доступ (SSL/TLS)», «Удаленный доступ (аутентификация пользователя)», «Удаленный доступ (SSL/TLS+аутентификация пользователя)»:
«Алгоритм шифрования» – «magma-ctr (256 bit key, 64 bit blocks, TLS client/server mode only)»; «magma-mgm (256 bit key, 64 bit block, TLS client/server mode only)»;
Для создания сертификатов сервера и клиента ГОСТ необходимо выполнить действия, представленные в разделе «Создание внутреннего сертификата» настоящего руководства, указав следующие значения параметров:
Сертификат сервера:
«Метод» – «Создать внутренний сертификат по ГОСТ»;
«Описательное имя» – «GOST-server»;
«Центр сертификации» – «GOST CA»;
«Тип» – Сертификат сервера;
«Время существования (дни)» – «365»;
«Стандартное имя» – «GOST-server»;
Сертификат клиента:
«Метод» – «Создать внутренний сертификат по ГОСТ»;
«Описательное имя» – «GOST-client»;
«Центр сертификации» – «GOST CA»;
«Тип» – Сертификат клиента;
«Время существования (дни)» – «365»;
«Стандартное имя» – «GOST-client».
Неуказанные параметры оставить по умолчанию.
Примечание
Возможность создания внутреннего сертификата ГОСТ доступна только при активной лицензии ГОСТ VPN.
Для режима сервера «Пиринговая сеть (SSL/TLS)» необходимо выполнить следующие настройки:
Перейти в настройки переопределения значений клиентов OpenVPN («VPN» - «OpenVPN» - «Переопределение значений для конкретного клиента») и нажать кнопку «+Добавить».
Для корректной работы VPN-туннеля необходимо настроить правила МЭ (см. раздел «Создание правил межсетевого экранирования» настоящего руководства), указав следующие значения параметров:
Для импорта сертификата клиента ГОСТ необходимо выполнить следующие действия:
Перейти в подраздел полномочий («Система» - «Доверенные сертификаты» - «Сертификаты»).
Нажать кнопку «+Добавить».
В открывшейся форме указать следующие значения параметров:
«Описательное имя» – «GOST-client»;
«Метод» – «Импортировать существующий сертификат по ГОСТ»;
«Данные сертификата» – скопированное значение из экспортированного файла сертификата клиента (см. «Создание сертификатов ГОСТ» настоящего руководства);
«Данные секретного ключа» – скопированное значение из экспортированного файла секретного ключа клиента.
Для корректной работы VPN-туннеля необходимо настроить правила МЭ с параметрами, указанными в «Настройка правил МЭ» настоящего руководства. Неуказанные параметры оставить по умолчанию.
После применения правил МЭ необходимо убедиться в работе канала, для этого на ARMA FW2 перейти в подраздел статусов соединения OpenVPN («VPN» - «OpenVPN» - «Статус соединения»), значение в столбце «Статус» должно быть «up».
Особенности настройки ГОСТ VPN в режиме «узел – сеть»
При настройке ГОСТ VPN в режиме «узел – сеть» следует придерживаться принципа настройки OpenVPN в аналогичном режиме (см. Раздел «Настройка OpenVPN в режиме «узел – сеть»» настоящего руководства) за исключением следующих действий:
создание доверенного центра сертификации – в подразделе полномочий («Система» - «Доверенные сертификаты» - «Полномочия») необходимо выбирать значение «Создать внутренний центр сертификации по ГОСТ» для параметра «Метод» в форме создания центра сертификации;
создание сертификата – в подразделе сертификатов («Система» - «Доверенные сертификаты» - «Сертификаты») необходимо выбирать значение «Создать внутренний сертификат по ГОСТ» для параметра «Метод» в форме создания сертификата;
» напротив созданного сервера.
» в параметре «Сертификаты пользователя» (см. Рисунок – Создание сертификата при редактировании УЗ).
» напротив имени пользователя внизу страницы и сохранить конфигурационный файл, следуя указаниям веб-браузера.
» для создания фазы 1.
», затем кнопку «
» и убедиться в наличии активного соединения (см. Рисунок – ARMA FW2: Информация о статусе IPsec VPN).
» напротив фазы, которую требуется клонировать.
».
» – сертификата CA (1);
