Веб. TLS

Просмотр и добавление сертификата через веб-интерфейс Termidesk Connect

Для доступа к веб-интерфейсу Termidesk Connect по протоколу HTTPS, а также для других подключений, требующих защищенного соединения, на этапе первичной настройки генерируется самоподписанный сертификат.

Для просмотра списка сертификатов и других файлов следует перейти «Настройки – Управление трафиком – TLS – Файлы». Файлы располагаются в каталоге /etc/ssl/tdc/.

По умолчанию записи представлены в табличном виде и упорядочены согласно столбцу «Имя».

Основные параметры списка приведены таблице (см. Основные параметры списка TLS-файлов).

Таблица 1. Основные параметры списка TLS-файлов
Параметр Описание

«Имя»

Имя файла

«Тип»

Тип файла. Возможные значения:

  • «SRVR_CERT» – сертификат;

  • «UNKNOWN» – другой файл

«Common Name»

Общее имя

«Sig Alg»

Алгоритм электронной подписи сертификата

«Действителен до»

Дата окончания действия сертификата

Если срок действия сертификата истекает менее чем через неделю, текст выделяется оранжевым цветом.

«Статус»

Статус сертификата. Возможные значения по цветовым маркерам:

  • зеленый – действительный сертификат;

  • красный – недействительный сертификат;

  • серый – другой файл (не имеет статус)

Для загрузки сертификата или другого файла нажать экранную кнопку [Загрузить] и выбрать соответствующий файл:

В списке приведены основные типы файлов. Также возможна загрузка дополнительных файлов.

  • файл сертификата;

  • файл закрытого ключа;

  • файл сертификатов УЦ;

  • CRL-файл;

  • файл с параметрами Диффи-Хеллмана.

Для удаления сертификата или другого файла выбрать соответствующий файл в списке и нажать экранную кнопку [Удалить].

SSL-Профили

Для отображения списка Профилей следует перейти «Настройки – Управление трафиком – TLS – Профили».

По умолчанию записи представлены в табличном виде и упорядочены согласно столбцу «Имя».

Основные параметры списка приведены таблице (см. Основные параметры списка SSL-Профилей).

Таблица 2. Основные параметры списка SSL-Профилей
Параметр Описание

«Имя»

Наименование SSL-Профиля

«Тип»

Тип SSL-Профиля

Для добавления SSL-Профиля следует перейти «Настройки – Управление трафиком – TLS – Профили» и нажать экранную кнопку [Добавить].

Затем заполнить данные, перечисленные в столбце «Параметр» следующей таблицы (см. Данные для добавления SSL-Профиля).

Таблица 3. Данные для добавления SSL-Профиля
Параметр Описание

«Имя»

Наименование SSL-Профиля

«Таймаут»

Время ожидания (в секундах) установки соединения.

Значение по умолчанию: «5»

«Тип»

Выбор типа SSL-Профиля.

Возможные значения:

  • «Клиентский»;

  • «Серверный»

«Конфигурация по-умолчанию»

Форма настройки защищенного соединения для SSL-Профиля типа «Серверный».

Для настройки защищенного соединения нужно раскрыть форму «Конфигурация по-умолчанию» и нажать экранную кнопку [Создать].

Конфигурация используется, когда пришедший SNI не соответствует ни одному заданному значению.

Статус «Активна» свидетельствует об использовании заданных параметров защищенного соединения

«Файл сертификата»

Выбор файла клиентского сертификата для аутентификации Termidesk Connect.

При активированном параметре «PKI» для клиентского сертификата указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#certificate»

«PKI»

Активация возможности получения файла из Хранилища секретов для клиентского сертификата

«Файл ключа»

Выбор файла закрытого ключа, соответствующего клиентскому сертификату.

При активированном параметре «PKI» для закрытого ключа указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#private_key»

«PKI»

Активация возможности получения файла из Хранилища секретов для закрытого ключа

«Пароль»

Пароль для расшифровки файла закрытого ключа, если ключ зашифрован.

Так же пароль может быть получен из Хранилища секретов. Пример значения параметра:

  • «kv://secret/cert#password» – для kv версии 1;

  • «kv://secret/data/snmp#password» – для kv версии 2

«SNI по-умолчанию»

Наименование сервера по умолчанию для расширения SNI.

Параметр доступен для SSL-Профиля типа «Клиентский»

«Файл сертификата УЦ»

Выбор файла сертификата УЦ для проверки подлинности сертификата Реального Сервера.

При активированном параметре «PKI» для сертификата УЦ указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#issuing_ca»

Параметр доступен для SSL-Профиля типа «Клиентский»

«PKI»

Активация возможности получения файла из Хранилища секретов для сертификата УЦ.

Параметр доступен для SSL-Профиля типа «Клиентский»

«Файлы сертификата УЦ»

Выбор файлов сертификата УЦ для проверки подлинности клиентского сертификата пользователя.

Может быть выбрано несколько файлов последовательным нажатием на файлы в раскрывающемся списке.

При активированном параметре «PKI» для сертификатов УЦ указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#issuing_ca»

Параметр доступен для SSL-Профиля типа «Серверный»

«PKI»

Активация возможности получения файлов из Хранилища секретов для сертификатов УЦ.

Параметр доступен для SSL-Профиля типа «Серверный»

«Файл параметров Diffie-Hellman KE»

Выбор файла с параметрами Диффи-Хеллмана для обеспечения безопасного соединения

«Stapling»

Активация поддержки OCSP Stapling с фоновым обновлением подписи серверного сертификата через OCSP Responder.

Для OCSP Stapling не задается URL-адрес, т.к он извлекается из серверного сертификата.

В файле серверного сертификата необходимо указывать всю цепочку сертификатов, ведущую к УЦ, включая все промежуточные сертификаты.

Параметр доступен при настройке конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«mTLS»

Активация использования протокола mTLS.

Параметр доступен при настройке конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«Режим проверки mTLS»

Выбор метода проверки отзыва для клиентских сертификатов.

Возможные значения:

  • «NONE»;

  • «CRL»;

  • «OCSP».

Параметр доступен при активации параметра «mTLS» в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«Файл CRL»

Выбор CRL-файла для проверки клиентских сертификатов.

При активированном параметре «PKI» для CRL-файла указывается путь Хранилища секретов. Пример значения параметра: «pki://v1/pki/cert/crl#certificate»

Параметр доступен при выборе метода проверки mTLS «CRL» в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«PKI»

Активация возможности получения файла из Хранилища секретов для CRL-файла.

Параметр доступен при выборе метода проверки mTLS «CRL» в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«URL»

URL-адрес сервера (OCSP Responder).

В текущей версии Termidesk Connect для сервера (OCSP Responder) поддерживается только протокол HTTP.

Параметр доступен при выборе метода проверки mTLS «OCSP» в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«HTTP-метод»

Метод HTTP-запроса.

В текущей версии Termidesk Connect поддерживается только метод «POST».

Параметр доступен при выборе метода проверки mTLS «OCSP» в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«Таймаут, с»

Время ожидания (в секундах) ответа от сервера (OCSP Responder).

Значение по умолчанию: «10».

Параметр доступен при выборе метода проверки mTLS «OCSP» в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«Cache»

Активация кеширования OCSP-ответов.

Параметр доступен при выборе метода проверки mTLS «OCSP» в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«Nonce»

Активация поддержки расширения Nonce.

Параметр доступен при выборе метода проверки mTLS «OCSP» в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«Strict»

Активация строгого режима проверки.

При активации параметра разрешается допуск только клиентов, чьи сертификаты разрешены. При отключении разрешается допуск клиентов, чьи сертификаты разрешены или чьих сертификатов нет в БД.

Параметр доступен при выборе метода проверки mTLS «OCSP» в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«Secure Renegotiation»

Активация механизма Secure Renegotiation (применяется для протокола TLS версии 1.2 или старше)

«Лимит запросов в минуту на SSL-соединение»

Количество допустимых запросов в минуту на повторное согласование в рамках одного SSL-подключения. При превышении заданного лимита для всех последующих попыток будет возвращено предупреждение о невозможности согласования на уровне протокола, пока период не обновится. При значении «0» ограничение на количество допустимых запросов отсутствует.

Значение по умолчанию: «10».

Параметр доступен в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«Тип Session Reuse»

Тип Session Reuse (применяется для протокола TLS версии 1.2 или старше).

Значение по умолчанию: «STATEFUL».

Параметр доступен в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«Время хранения сессии в кеше, c»

Время хранения (в секундах) SSL-сессии в кеше.

Значение по умолчанию: «7200».

Параметр доступен при выборе типа Session Reuse «STATEFUL» в конфигурации по умолчанию для SSL-Профиля типа «Серверный»

«Поддерживаемые версии TLS (SSL)»

Выбор поддерживаемых версий протокола TLS для установления соединения.

Для использования защищенного соединения нужно отметить галочкой соответствующую версию протокола в списке. Для выбора всех версий протокола следует нажать экранную кнопку [Выбрать всё]. Для очистки списка нужно нажать экранную кнопку [Очистить]

«Наборы криптографических алгоритмов»

Выбор поддерживаемых алгоритмов преобразования данных.

Для использования преобразования данных нужно отметить галочкой соответствующий алгоритм в списке. Для выбора всех алгоритмов следует нажать экранную кнопку [Выбрать всё]. Для очистки списка нужно нажать экранную кнопку [Очистить]

«Серверы»

Список SNI. Параметр доступен для SSL-Профиля типа «Серверный»

Над списком можно выполнять следующие действия:

  • добавить, для этого нажать экранную кнопку [Добавить];

  • изменить, для этого выбрать нужное правило в списке и нажать экранную кнопку [Изменить];

  • удалить, для этого выбрать нужные правила в списке и нажать экранную кнопку [Удалить]

«Комментарий»

Комментарий, который будет привязан к SSL-Профилю

Доступные параметры для добавления SNI перечислены в столбце «Параметр» следующей таблицы (см. Данные для добавления SNI).

Таблица 4. Данные для добавления SNI
Параметр Описание

«SNI»

Имя (hostname) узла, полученное во время установки соединения.

Поддерживается задание шаблонов SNI по формату: *.<домен>. При этом:

  • астериск может быть расположен только слева и должен быть разделен от домена точкой;

  • астериск означает, что любой хост домена (не включая оригинальный домен) удовлетворяет шаблону. Для профиля оригинального домена требуется отдельный хост SNI;

  • при выборе SNI приоритетным будет тот, у которого совпадет больше уровней доменов или имеется полное совпадение по шаблону

«Файл сертификата»

Выбор файла серверного сертификата, который будет передан для заданного SNI.

При активированном параметре «PKI» для серверного сертификата указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#certificate»

«PKI»

Активация возможности получения файла из Хранилища секретов для серверного сертификата

«Stapling»

Активация поддержки OCSP Stapling с фоновым обновлением подписи серверного сертификата через OCSP Responder

«Файл ключа»

Выбор файла закрытого ключа, соответствующего серверному сертификату.

При активированном параметре «PKI» для закрытого ключа указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#private_key»

«PKI»

Активация возможности получения файла из Хранилища секретов для закрытого ключа

«Файлы сертификата УЦ»

Выбор файлов сертификата УЦ, которые используются для проверки подлинности клиентского сертификата.

Может быть выбрано несколько файлов последовательным нажатием на файлы в раскрывающемся списке.

При активированном параметре «PKI» для сертификатов УЦ указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#issuing_ca»

«PKI»

Активация возможности получения файлов из Хранилища секретов для сертификатов УЦ

«mTLS»

Активация использования протокола mTLS

«Режим проверки mTLS»

Выбор метода проверки отзыва для клиентских сертификатов.

Возможные значения:

  • «NONE»;

  • «CRL»;

  • «OCSP».

Параметр доступен при активации параметра «mTLS»

«Файл CRL»

Выбор CRL-файла для проверки клиентских сертификатов.

При активированном параметре «PKI» для CRL-файла указывается путь Хранилища секретов. Пример значения параметра: «pki://pki/issue/example-dot-com?common_name=\"app.example.com\"&ttl=\"24h\"#issuing_ca».

Параметр доступен при выборе метода проверки mTLS «CRL»

«PKI»

Активация возможности получения файла из Хранилища секретов для сертификатов УЦ.

Параметр доступен при выборе метода проверки mTLS «CRL»

«URL»

URL-адрес сервера (OCSP Responder)

В текущей версии Termidesk Connect для сервера (OCSP Responder) поддерживается только протокол HTTP.

Параметр доступен при выборе метода проверки mTLS «OCSP»

«HTTP-метод»

Метод HTTP-запроса.

В текущей версии Termidesk Connect поддерживается только метод «POST».

Параметр доступен при выборе метода проверки mTLS «OCSP»

«Таймаут, с»

Время ожидания (в секундах) ответа от сервера (OCSP Responder).

Значение по умолчанию: «10».

Параметр доступен при выборе метода проверки mTLS «OCSP»

«Cache»

Активация кеширования OCSP-ответов.

Параметр доступен при выборе метода проверки mTLS «OCSP»

«Nonce»

Активация поддержки расширения Nonce.

Параметр доступен при выборе метода проверки mTLS «OCSP»

«Strict»

Активация строгого режима проверки.

При активации параметра разрешается допуск только клиентов, чьи сертификаты разрешены. При отключении разрешается допуск клиентов, чьи сертификаты разрешены или чьих сертификатов нет в БД.

Параметр доступен при выборе метода проверки mTLS «OCSP»

«Файл параметров Diffie-Hellman KE»

Выбор файла с параметрами Диффи-Хеллмана для обеспечения безопасного соединения

«Пароль»

Пароль для расшифровки файла закрытого ключа, если ключ зашифрован.

Так же пароль может быть получен из Хранилища секретов. Пример значения параметра:

  • «kv://secret/cert#password» – для kv версии 1;

  • «kv://secret/data/snmp#password» – для kv версии 2

«Secure Renegotiation»

Активация механизма Secure Renegotiation (применяется для протокола TLS версии 1.2 или старше)

«Лимит запросов в минуту на SSL-соединение»

Количество допустимых запросов в минуту на повторное согласование в рамках одного SSL-подключения. При превышении заданного лимита для всех последующих попыток будет возвращено предупреждение о невозможности согласования на уровне протокола, пока период не обновится. При значении «0» ограничение на количество допустимых запросов отсутствует.

Значение по умолчанию: «10»

«Тип Session Reuse»

Тип Session Reuse (применяется для протокола TLS версии 1.2 или старше).

Значение по умолчанию: «STATEFUL»

«Время хранения сессии в кеше, c»

Время хранения (в секундах) SSL-сессии в кеше.

Значение по умолчанию: «7200»

«Поддерживаемые версии TLS (SSL)»

Выбор поддерживаемых версий протокола TLS для установления соединения.

Для использования защищенного соединения нужно отметить галочкой соответствующую версию протокола в списке. Для выбора всех версий протокола следует нажать экранную кнопку [Выбрать всё]. Для очистки списка нужно нажать экранную кнопку [Очистить]

«Наборы криптографических алгоритмов»

Выбор поддерживаемых алгоритмов преобразования данных.

Для использования преобразования данных нужно отметить галочкой соответствующий алгоритм в списке. Для выбора всех алгоритмов следует нажать экранную кнопку [Выбрать всё]. Для очистки списка нужно нажать экранную кнопку [Очистить]

SSL-Политики

Для отображения списка Политик следует перейти «Настройки – Управление трафиком – TLS – Политики».

По умолчанию записи представлены в табличном виде и упорядочены согласно столбцу «Имя».

Основные параметры списка приведены таблице (см. Основные параметры списка SSL-Политик).

Таблица 5. Основные параметры списка SSL-Политик
Параметр Описание

«Имя»

Наименование SSL-Политики

«Количество условий»

Количество условий, привязанных к SSL-Политике

«Используется»

Список Серверов Балансировки и SSL-Профилей, указанных в условиях SSL-Политики

Для добавления SSL-Политики следует перейти «Настройки – Управление трафиком – TLS – Политики» и нажать экранную кнопку [Добавить].

Затем заполнить данные, перечисленные в столбце «Параметр» следующей таблицы (см. Данные для добавления SSL-Политики).

Таблица 6. Данные для добавления SSL-Политики
Параметр Описание

«Имя»

Наименование SSL-Политики

«Условия»

Список условий для SSL-Политики.

Над списком можно выполнять следующие действия:

  • добавить, для этого нажать экранную кнопку [Добавить];

  • изменить, для этого выбрать нужное условие в списке и нажать экранную кнопку [Изменить];

  • удалить, для этого выбрать нужные условие в списке и нажать экранную кнопку [Удалить]

Доступные параметры для добавления условия перечислены в столбце «Параметр» следующей таблицы (см. Данные для добавления условия).

Таблица 7. Данные для добавления условия
Параметр Описание

«Номер»

Порядковый номер обработки условия

«Тип»

Тип условия.

Возможные значения:

  • «SNI» – проверка поля SNI из TLS Hello;

  • «CIPHER» – проверка списка алгоритмов шифрования из TLS Hello. Проверяется последовательность в любом месте на соответствие списку;

  • «ALPN» – проверка списка ALPN из TLS Hello;

  • «DEFAULT» – действие при невыполнении условия

«Условие»

Условие для выполнения действия.

Возможные значения для «SNI»:

  • «EQ» – точное соответствие «SNI» и значения;

  • «NOTEQ» – точное несоответствие «SNI» и значения;

  • «CONTAINS» – содержит последовательность в значении;

  • «NOTCONTAINS» – не содержит последовательность в значении;

  • «STARTSWITH» – начинается с значения;

  • «ENDWITH» – заканчивается значением.

Возможные значения для «CIPHER»:

  • «CONTAINS» – содержит последовательность в значении;

  • «NOTCONTAINS» – не содержит последовательность в значении.

Возможные значения для «ALPN»:

  • «EQ» – точное соответствие «ALPN» и значения;

  • «NOTEQ» – точное несоответствие «ALPN» и значения

«Действие»

Действие при успешном выполнении условия.

Возможные значения:

  • «LBS» – выбор Сервера Балансировки;

  • «SSL» – выбор SSL-Профиля;

  • «DROP» – разрыв соединения