Создание и настройка серверного SSL-профиля

• из интерфейса командной строки Termidesk Connect;
• из веб-интерфейса Termidesk Connect (см. подраздел Профили).

Пример команд настройки серверного SSL-профиля:

Описание параметров также приведено в подразделе Объект ssl-profile.

Команда настройки серверных SSL-профилей включает в себя аналогичные параметры, что и клиентский профиль, с дополнительной настройкой идентификации имени сервера и управлением режимом взаимной аутентификации (mTLS).

• создание SSL-профиля:

set ssl-profile server <имя_профиля>

• указание времени ожидания (в секундах) ответа от пользователя:

set ssl-profile server <имя_профиля> handshake-timeout <значение>

• (опционально) указание значения поля SNI из TLS Hello, для которого требуются особые настройки обработки:

SNI – расширение протокола TLS, позволяющее пользователю сообщать имя узла, с которым он хочет установить соединение во время процесса «рукопожатия». Это позволяет серверу (в Termidesk Connect – Виртуальному Серверу) предоставлять несколько сертификатов на одном IP-адресе и TCP-порту, и, следовательно, позволяет работать нескольким HTTPS-сайтам или другим сервисам поверх TLS на одном IP-адресе без использования одного и того же сертификата на всех сайтах. Имя узла передается в TLS Hello пользователя.

Если требуется задать правила для нескольких SNI, то для каждого из них должна использоваться индивидуальная настройка.

set ssl-profile server <имя_профиля> host <имя>

• указание списка центров сертификации, которые используются для проверки подлинности клиентского сертификата пользователя:

Используется, если активирована взаимная аутентификация по протоколу mTLS.

set ssl-profile server <имя_профиля> host <имя> setting ca-cert <список>

• указание пути к файлу сертификата сервера, который будет использоваться для аутентификации Termidesk Connect:

set ssl-profile server <имя_профиля> host <имя> setting cert <путь>

• указание пути к файлу параметров Диффи-Хеллмана, использующегося для безопасного обмена ключами при установлении SSL-соединения:

set ssl-profile server <имя_профиля> host <имя> setting dh-params <путь>

• указание пути к файлу закрытого ключа, соответствующему серверному сертификату:

set ssl-profile server <имя_профиля> host <имя> setting key <путь>

• (опционально) если ключ зашифрован, то указать пароль для расшифровки закрытого ключа:

set ssl-profile server <имя_профиля> host <имя> setting password <пароль>

• активация поддержки взаимной аутентификации по протоколу mTLS:

set ssl-profile server <имя_профиля> host <имя> setting mtls true

• определение набора алгоритмов, которые могут использоваться для преобразования данных между пользователем и Termidesk Connect:

Команда позволяет за один раз добавить только один алгоритм.

После создания SSL-профиля по умолчанию уже назначены следующие алгоритмы: TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA25, TLS_AES_128_GCM_SHA256, ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES256-SHA384, ECDHE-RSA-AES256-SHA384, ECDHE-ECDSA-AES128-SHA256, ECDHE-RSA-AES128-SHA256, ECDHE-ECDSA-AES256-SHA, ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES128-SHA, ECDHE-RSA-AES128-SHA.

set ssl-profile server <имя_профиля> host <имя> setting ciphers <алгоритм> true

• указание версии протокола TLS для данного серверного SSL-профиля:

set ssl-profile server <имя_профиля> host <имя> setting versions <версия TLS> true

После настройки профилей необходимо применить и сохранить данные:

• применение заданных настроек:

commit

• сохранение настроек:

write

• просмотр заданных настроек серверного SSL-профиля (указывается формат вывода – XML, JSON и TXT):

show configuration xml ssl-profile server <имя_профиля>

• просмотр выполненных команд:

show configuration cli ssl-profile server <имя_профиля>

Termidesk Connect позволяет использовать особую конфигурацию серверного SSL-профиля для соединения, не попавшего в указанные правила.

Если пришедший SNI пуст, либо не соответствует SNI, указанному в параметре host, то для этого соединения будет применена конфигурация setting-default.