Объект ssl-profile

Доступные команды объекта ssl-profile приведены в таблице (см. Доступные команды объекта ssl-profile).

Таблица 1. Доступные команды объекта ssl-profile
Команда Описание

set ssl-profile server <имя>

Создание Серверного SSL-Профиля для функционала SSL Offload. Серверный SSL-Профиль определяет взаимодействие между пользователем и Termidesk Connect, где Termidesk Connect является сервером

Настройка Серверного SSL-Профиля для функционала SSL Offload

set ssl-profile server <имя> handshake-timeout <значение>

Задание времени ожидания (в секундах) установления соединения (значение от 1 до 60, по умолчанию – 5)

set ssl-profile server <имя> host <имя>

Задание значения поля SNI из TLS Hello, для которого требуются особые настройки обработки.

Поддерживается задание шаблонов SNI по формату: *.<домен>. При этом:

  • астериск может быть расположен только слева и должен быть разделен от домена точкой;

  • астериск означает, что любой хост домена (не включая оригинальный домен) удовлетворяет шаблону. Для профиля оригинального домена требуется отдельный хост SNI;

  • при выборе SNI приоритетным будет тот, у которого совпадет больше уровней доменов или имеется полное совпадение по шаблону

set ssl-profile server <имя> host <имя> setting <значение>

Задание конфигурации SNI для особых настроек обработки. Список параметров команды идентичен параметрам setting-default

set ssl-profile server <имя> setting-default <параметр> <значение>

Задание конфигурации по умолчанию. Используется, если пришедший SNI пуст, либо не соответствует SNI, указанному в параметре host. Для определения конфигурации, используемой для SNI из параметра host или для конфигурации по умолчанию setting-default, применяются команды ниже

set ssl-profile server <имя> setting-default ca-certs <значение>

Файлы сертификатов УЦ для проверки подлинности клиентского сертификата.

Указывается полное имя файлов с расширением.

Так же файлы могут быть получены из Хранилища секретов.

Используется, если активирована взаимная аутентификация по протоколу mTLS

set ssl-profile server <имя> setting-default cert <значение>

Файл сертификата сервера для аутентификации.

Указывается полное имя файла с расширением.

Так же файл может быть получен из Хранилища секретов

set ssl-profile server <имя> setting-default key <значение>

Файл закрытого ключа, соответствующий сертификату сервера.

Указывается полное имя файла с расширением.

Так же файл может быть получен из Хранилища секретов

set ssl-profile server <имя> setting-default password <значение>

Пароль к файлу закрытого ключа, если он необходим.

Так же пароль может быть получен из Хранилища секретов

set ssl-profile server <имя> setting-default ciphers <значение>

Список используемых алгоритмов преобразований. Полный перечень приведен после таблицы

set ssl-profile server <имя> setting-default crl-param file <значение>

Задание CRL-файла для проверки клиентских сертификатов.

Указывается полное имя файла с расширением.

Так же файл может быть получен из Хранилища секретов

set ssl-profile server <имя> setting-default dh-params <значение>

Файл с параметрами Диффи-Хеллмана. Указывается полное имя файла с расширением

set ssl-profile server <имя> setting-default mtls <значение>

Управление режимом взаимной аутентификации по протоколу mTLS (по умолчанию – false). Может быть:

  • true (также enable) – взаимная аутентификация включена;

  • false (также disable) – взаимная аутентификация отключена

set ssl-profile server <имя> setting-default mtls-check <значение>

Метод проверки отзыва клиентских сертификатов (по умолчанию – NONE). Может быть:

  • NONE – отсутствует проверка на отзыв клиентского сертификата;

  • CRL – проверка методом CRL, отозванные сертификаты перечислены в CRL-файле. Если клиент предоставляет сертификат из этого списка, то он считается отозванным и подключение сбрасывается;

  • OCSP – проверка методом OCSP, когда на сервер (OCSP Responder) отправляется OCSP-запрос для получения актуального статуса сертификата

set ssl-profile server <имя> setting-default ocsp-param <значение>

Задание параметров проверки клиентских сертификатов методом OCSP.

Для параметра ocsp-param указываются дополнительные свойства:

  • cache – кеширование OCSP-ответов (по умолчанию – true);

  • method – метод HTTP-запроса (по умолчанию – POST);

  • nonce – поддержка расширения Nonce (по умолчанию – true);

  • strict – строгий режим проверки (по умолчанию – true). Значение может быть:

    • true – допуск только клиентов, чьи сертификаты разрешены;

    • false – допуск клиентов, чьи сертификаты разрешены или чьих сертификатов нет в БД;

  • timeout – время ожидания (в секундах) ответа от сервера (OCSP Responder) (по умолчанию – 10);

  • url – URL-адрес сервера (OCSP Responder)

В текущей версии Termidesk Connect для сервера (OCSP Responder) поддерживается только протокол HTTP. Пример значения параметра: http://myocspserver.local/.

set ssl-profile server <имя> setting-default stapling <значение>

Поддержка OCSP Stapling с фоновым обновлением подписи серверного сертификата через OCSP Responder (по умолчанию – false)

set ssl-profile server <имя> setting-default versions <значение>

Задание версий протокола TLS, которые должны поддерживаться при установлении соединения.

Для параметра versions могут устанавливаться следующие значения:

  • ssl-v3 – не рекомендуется использовать из-за уязвимостей;

  • tls-v1 – первая версия TLS, которая улучшает безопасность по сравнению с SSLv3, но также содержит некоторые уязвимости;

  • tls-v11 – улучшенная версия TLS 1.0, которая исправляет некоторые недостатки, но все еще считается устаревшей;

  • tls-v12 – широко используемая версия, обеспечивающая улучшенные механизмы шифрования и безопасности;

  • tls-v13 – последняя версия протокола TLS, предлагающая значительные улучшения в производительности и безопасности

set ssl-profile server <имя> setting-default ssl-reneg <параметр> <значение>

Задание параметров механизма Secure Renegotiation (применяется для протокола TLS версии 1.2 или старше).

Для параметра ssl-reneg указываются:

  • state – управление состоянием использования Secure Renegotiation (по умолчанию – ENABLE):

    • ENABLE – механизм Secure Renegotiation включен;

    • DISABLE – механизм Secure Renegotiation отключен;

  • rate – количество допустимых запросов в минуту на повторное согласование в рамках одного SSL-подключения (по умолчанию – 10). При превышении заданного лимита для всех последующих попыток будет возвращено предупреждение о невозможности согласования на уровне протокола, пока период не обновится. При значении 0 ограничение на количество допустимых запросов отсутствует

set ssl-profile server <имя> setting-default session-reuse <значение>

Задание параметров механизма Session Reuse (применяется для протокола TLS версии 1.2 или старше).

Для параметра session-reuse указываются:

  • type – тип Session Reuse (по умолчанию – STATEFUL):

    • NONE – повторное использование SSL-сессии не выполняется;

    • STATEFUL – выполняется повторное использование SSL-сессии;

  • stateful-param session-timeout – время хранения (в секундах) SSL-сессии в кеше (по умолчанию – 7200)

set ssl-profile server <имя> description <значение>

Задание комментария, который будет привязан к Серверному SSL-Профилю

Для написания комментария допустимы только латинские буквы. В случае использования пробелов следует заключать текст комментария в двойные кавычки.

set ssl-profile client <имя>

Создание Клиентского SSL-Профиля для функционала SSL Offload. Клиентский SSL-Профиль определяет взаимодействие между Termidesk Connect и Реальным Сервером, где Termidesk Connect является клиентом

Настройка Клиентского SSL-Профиля для функционала SSL Offload

set ssl-profile client <имя> ca-cert <значение>

Задание файла сертификата УЦ для проверки подлинности Реального Сервера.

Указывается полное имя файла с расширением.

Так же файл может быть получен из Хранилища секретов

set ssl-profile client <имя> cert <значение>

Задание файла клиентского сертификата для аутентификации Termidesk Connect на Реальном Сервере.

Указывается полное имя файла с расширением.

Так же файл может быть получен из Хранилища секретов

set ssl-profile client <имя> ciphers <значение>

Задание списка используемых алгоритмов преобразования. Полный перечень приведен после таблицы

set ssl-profile client <имя> dh-params <значение>

Задание файла с параметрами Диффи-Хеллмана.

Указывается полное имя файла с расширением

set ssl-profile client <имя> handshake-timeout <значение>

Задание времени ожидания (в секундах) установления соединения (значение от 1 до 60, по умолчанию – 5)

set ssl-profile client <имя> key <значение>

Задание файла закрытого ключа для аутентификации Termidesk Connect и Реального Сервера.

Указывается полное имя файла с расширением.

Так же файл может быть получен из Хранилища секретов

set ssl-profile client <имя> password <значение>

Задание пароля к файлу закрытого ключа, если он необходим.

Так же пароль может быть получен из Хранилища секретов

set ssl-profile client <имя> sni-default <значение>

Задание значения по умолчанию для SNI

set ssl-profile client <имя> versions <значение>

Задание версий протокола TLS, которые должны поддерживаться при установлении соединения.

Для параметра versions могут устанавливаться следующие значения:

  • ssl-v3 – не рекомендуется использовать из-за уязвимостей;

  • tls-v1 – первая версия TLS, которая улучшает безопасность по сравнению с SSLv3, но также содержит некоторые уязвимости;

  • tls-v11 – улучшенная версия TLS 1.0, которая исправляет некоторые недостатки, но все еще считается устаревшей;

  • tls-v12 – широко используемая версия, обеспечивающая улучшенные механизмы шифрования и безопасности;

  • tls-v13 – последняя версия протокола TLS, предлагающая значительные улучшения в производительности и безопасности

set ssl-profile client <имя> setting-default ssl-reneg <значение>

Управление состоянием использования Secure Renegotiation (применяется для протокола TLS версии 1.2 или старше).

Возможные значения (по умолчанию – ENABLE):

  • ENABLE – механизм Secure Renegotiation включен;

  • DISABLE – механизм Secure Renegotiation отключен

set ssl-profile client <имя> description <значение>

Задание комментария, который будет привязан к Клиентскому SSL-Профилю

Для написания комментария допустимы только латинские буквы. В случае использования пробелов следует заключать текст комментария в двойные кавычки.

Список поддерживаемых алгоритмов преобразования для параметра ciphers:

  • AES128-GCM-SHA256;

  • AES256-GCM-SHA384;

  • AES128-SHA AES256-SHA;

  • AES128-SHA256;

  • AES256-SHA256;

  • DHE-PSK-AES128-CBC-SHA;

  • DHE-PSK-AES128-CBC-SHA256;

  • DHE-PSK-AES128-GCM-SHA256;

  • DHE-PSK-AES256-CBC-SHA;

  • DHE-PSK-AES256-CBC-SHA384;

  • DHE-PSK-AES256-GCM-SHA384;

  • DHE-PSK-CHACHA20-POLY1305;

  • DHE-RSA-AES128-GCM-SHA256;

  • DHE-RSA-AES128-SHA;

  • DHE-RSA-AES128-SHA256;

  • DHE-RSA-AES256-GCM-SHA384;

  • DHE-RSA-AES256-SHA;

  • DHE-RSA-AES256-SHA256;

  • DHE-RSA-CHACHA20-POLY1305;

  • ECDHE-ECDSA-AES128-GCM-SHA256;

  • ECDHE-ECDSA-AES128-SHA;

  • ECDHE-ECDSA-AES128-SHA256;

  • ECDHE-ECDSA-AES256-GCM-SHA384;

  • ECDHE-ECDSA-AES256-SHA;

  • ECDHE-ECDSA-AES256-SHA384;

  • ECDHE-ECDSA-CHACHA20-POLY1305;

  • ECDHE-PSK-AES128-CBC-SHA;

  • ECDHE-PSK-AES128-CBC-SHA256;

  • ECDHE-PSK-AES256-CBC-SHA;

  • ECDHE-PSK-AES256-CBC-SHA384;

  • ECDHE-PSK-CHACHA20-POLY1305;

  • ECDHE-RSA-AES128-GCM-SHA256;

  • ECDHE-RSA-AES128-SHA;

  • ECDHE-RSA-AES128-SHA256;

  • ECDHE-RSA-AES256-GCM-SHA384;

  • ECDHE-RSA-AES256-SHA;

  • ECDHE-RSA-AES256-SHA384;

  • ECDHE-RSA-CHACHA20-POLY1305;

  • GOST2001-GOST89-GOST89;

  • GOST2012-GOST8912-GOST8912;

  • PSK-AES128-CBC-SHA;

  • PSK-AES128-CBC-SHA256;

  • PSK-AES128-GCM-SHA256;

  • PSK-AES256-CBC-SHA;

  • PSK-AES256-CBC-SHA384;

  • PSK-AES256-GCM-SHA384;

  • PSK-CHACHA20-POLY1305;

  • RSA-PSK-AES128-CBC-SHA;

  • RSA-PSK-AES128-CBC-SHA256;

  • RSA-PSK-AES128-GCM-SHA256;

  • RSA-PSK-AES256-CBC-SHA;

  • RSA-PSK-CHACHA20-POLY1305;

  • SRP-RSA-AES-128-CBC-SHA;

  • TLS_AES_256_GCM_SHA384;

  • SRP-RSA-AES-256-CBC-SHA;

  • TLS_CHACHA20_POLY1305_SHA256;

  • SRP-AES-256-CBC-SHA;

  • RSA-PSK-AES256-CBC-SHA384;

  • SRP-AES-128-CBC-SHA;

  • RSA-PSK-AES256-GCM-SHA384;

  • TLS_AES_128_GCM_SHA256.