Объект ssl-profile

Доступные команды объекта ssl-profile приведены в таблице (см. Доступные команды объекта ssl-profile).

Таблица 1. Доступные команды объекта ssl-profile
Команда Описание

set ssl-profile server <имя>

Создание Серверного SSL-Профиля для функционала SSL Offload. Серверный SSL-Профиль определяет взаимодействие между пользователем и Termidesk Connect, где Termidesk Connect является сервером

set ssl-profile server <имя> <параметр> <значение>

Настройка Серверного SSL-Профиля для функционала SSL Offload.

Параметром может быть:

  • handshake-timeout – время ожидания (в секундах) установления соединения;

  • host – значения поля SNI из TLS Hello, для которого требуются особые настройки обработки;

  • setting-default – конфигурация по умолчанию. Используется, если пришедший SNI пуст, либо не соответствует SNI, указанному в параметре host;

  • description – комментарий, который будет привязан к Серверному SSL-Профилю.

Для написания комментария допустимы только латинские буквы. В случае использования пробелов следует заключать текст комментария в двойные кавычки.

Для определения конфигурации, которая должна использоваться для SNI из параметра host, применяются параметры:

  • ca-certs – список центров сертификации для проверки подлинности. Используется, если активирована взаимная аутентификация по протоколу mTLS;

  • cert – файл сертификата сервера для аутентификации;

  • ciphers – список используемых алгоритмов преобразований. Полный перечень приведен после таблицы;

  • dh-params – файл с ключами Диффи-Хеллмана;

  • key – файл закрытого ключа, соответствующий сертификату сервера;

  • mtls – управление режимом взаимной аутентификации по протоколу mTLS. Значение может быть:

    • true (также можно` enable`) – взаимная аутентификация включена;

    • false (также можно disable) – взаимная аутентификация отключена;

  • password – пароль к файлу закрытого ключа, если он необходим;

  • versions – версии протокола TLS, которые должны поддерживаться при установлении соединения.

Для параметра versions могут устанавливаться следующие значения:

  • ssl-v3 – не рекомендуется использовать из-за уязвимостей;

  • tls-v1 – первая версия TLS, которая улучшает безопасность по сравнению с SSLv3, но также содержит некоторые уязвимости;

  • tls-v11 – улучшенная версия TLS 1.0, которая исправляет некоторые недостатки, но все еще считается устаревшей;

  • tls-v12 – широко используемая версия, обеспечивающая улучшенные механизмы шифрования и безопасности;

  • tls-v13 – последняя версия протокола TLS, предлагающая значительные улучшения в производительности и безопасности

set ssl-profile client <имя>

Создание Клиентского SSL-Профиля для функционала SSL Offload. Клиентский SSL-Профиль определяет взаимодействие между Termidesk Connect и Реальным Сервером, где Termidesk Connect является клиентом

set ssl-profile client <имя> <параметр> <значение>

Настройка Клиентского SSL-Профиля для функционала SSL Offload.

Параметром может быть:

  • ca-cert – сертификат центра сертификации для проверки подлинности;

  • cert – файл клиентского сертификата для аутентификации Termidesk Connect на Реальном Сервере;

  • ciphers – список используемых алгоритмов преобразования. Полный перечень приведен после таблицы;

  • dh-params – файл с ключами Диффи-Хеллмана;

  • handshake-timeout – время ожидания (в секундах) установления соединения;

  • key – файл закрытого ключа для аутентификации Termidesk Connect и Реального Сервера;

  • password – пароль к файлу закрытого ключа, если он необходим;

  • sni-default – значение по умолчанию для SNI;

  • versions – версии протокола TLS, которые должны поддерживаться при установлении соединения;

  • description – комментарий, который будет привязан к Клиентскому SSL-Профилю.

Для написания комментария допустимы только латинские буквы. В случае использования пробелов следует заключать текст комментария в двойные кавычки.

Для параметра versions могут устанавливаться следующие значения:

  • ssl-v3 – не рекомендуется использовать из-за уязвимостей;

  • tls-v1 – первая версия TLS, которая улучшает безопасность по сравнению с SSLv3, но также содержит некоторые уязвимости;

  • tls-v11 – улучшенная версия TLS 1.0, которая исправляет некоторые недостатки, но все еще считается устаревшей;

  • tls-v12 – широко используемая версия, обеспечивающая улучшенные механизмы шифрования и безопасности;

  • tls-v13 – последняя версия протокола TLS, предлагающая значительные улучшения в производительности и безопасности

Список поддерживаемых алгоритмов преобразования для параметра ciphers:

  • AES128-GCM-SHA256;

  • AES256-GCM-SHA384;

  • AES128-SHA AES256-SHA;

  • AES128-SHA256;

  • AES256-SHA256;

  • DHE-PSK-AES128-CBC-SHA;

  • DHE-PSK-AES128-CBC-SHA256;

  • DHE-PSK-AES128-GCM-SHA256;

  • DHE-PSK-AES256-CBC-SHA;

  • DHE-PSK-AES256-CBC-SHA384;

  • DHE-PSK-AES256-GCM-SHA384;

  • DHE-PSK-CHACHA20-POLY1305;

  • DHE-RSA-AES128-GCM-SHA256;

  • DHE-RSA-AES128-SHA;

  • DHE-RSA-AES128-SHA256;

  • DHE-RSA-AES256-GCM-SHA384;

  • DHE-RSA-AES256-SHA;

  • DHE-RSA-AES256-SHA256;

  • DHE-RSA-CHACHA20-POLY1305;

  • ECDHE-ECDSA-AES128-GCM-SHA256;

  • ECDHE-ECDSA-AES128-SHA;

  • ECDHE-ECDSA-AES128-SHA256;

  • ECDHE-ECDSA-AES256-GCM-SHA384;

  • ECDHE-ECDSA-AES256-SHA;

  • ECDHE-ECDSA-AES256-SHA384;

  • ECDHE-ECDSA-CHACHA20-POLY1305;

  • ECDHE-PSK-AES128-CBC-SHA;

  • ECDHE-PSK-AES128-CBC-SHA256;

  • ECDHE-PSK-AES256-CBC-SHA;

  • ECDHE-PSK-AES256-CBC-SHA384;

  • ECDHE-PSK-CHACHA20-POLY1305;

  • ECDHE-RSA-AES128-GCM-SHA256;

  • ECDHE-RSA-AES128-SHA;

  • ECDHE-RSA-AES128-SHA256;

  • ECDHE-RSA-AES256-GCM-SHA384;

  • ECDHE-RSA-AES256-SHA;

  • ECDHE-RSA-AES256-SHA384;

  • ECDHE-RSA-CHACHA20-POLY1305;

  • GOST2001-GOST89-GOST89;

  • GOST2012-GOST8912-GOST8912;

  • PSK-AES128-CBC-SHA;

  • PSK-AES128-CBC-SHA256;

  • PSK-AES128-GCM-SHA256;

  • PSK-AES256-CBC-SHA;

  • PSK-AES256-CBC-SHA384;

  • PSK-AES256-GCM-SHA384;

  • PSK-CHACHA20-POLY1305;

  • RSA-PSK-AES128-CBC-SHA;

  • RSA-PSK-AES128-CBC-SHA256;

  • RSA-PSK-AES128-GCM-SHA256;

  • RSA-PSK-AES256-CBC-SHA;

  • RSA-PSK-CHACHA20-POLY1305;

  • SRP-RSA-AES-128-CBC-SHA;

  • TLS_AES_256_GCM_SHA384;

  • SRP-RSA-AES-256-CBC-SHA;

  • TLS_CHACHA20_POLY1305_SHA256;

  • SRP-AES-256-CBC-SHA;

  • RSA-PSK-AES256-CBC-SHA384;

  • SRP-AES-128-CBC-SHA;

  • RSA-PSK-AES256-GCM-SHA384;

  • TLS_AES_128_GCM_SHA256.