Объект ssl-profile

Объект ssl-profile

Доступные команды объекта ssl-profile приведены в таблице.

Доступные команды объекта ssl-profile

set ssl-profile server <имя>

Создание серверного SSL-профиля для функционала SSL Offload. Серверный SSL-профиль определяет взаимодействие между пользователем и Termidesk Connect, где Termidesk Connect является сервером

set ssl-profile server <имя> <параметр> <значение>

Настройка серверного SSL-профиля для функционала SSL Offload

Параметром может быть:

  • handshake-timeout – время ожидания (в секундах) установления соединения;
  • host – значения поля SNI из TLS Hello, для которого требуются особые настройки обработки;
  • setting-default – конфигурация по умолчанию. Используется, если пришедший SNI пуст, либо не соответствует SNI, указанному в параметре host.

Для определения конфигурации, которая должна использоваться для SNI из параметра host, применяются параметры:

  • ca-cert – список центров сертификации для проверки подлинности. Используется, если активирована взаимная аутентификация по протоколу mTLS;
  • certфайл сертификата сервера для аутентификации;
  • ciphersсписок используемых алгоритмов преобразований. Полный перечень приведен после таблицы;
  • dh-paramsфайл с ключами Диффи-Хеллмана;
  • key – файл закрытого ключа, соответствующий сертификату сервера;
  • mtls – управление режимом взаимной аутентификации по протоколу mTLS. Значение может быть:
    • true (также можно enable) – взаимная аутентификация включена;
    • false (также можно disable) – взаимная аутентификация отключена;
  • password – пароль к файлу закрытого ключа, если он необходим;
  • versions – версии протокола TLS, которые должны поддерживаться при установлении соединения. 

Для параметра versions могут устанавливаться следующие значения:

  • ssl-v3 – не рекомендуется использовать из-за уязвимостей;
  • tls-v1 – первая версия TLS, которая улучшает безопасность по сравнению с SSLv3, но также содержит некоторые уязвимости;
  • tls-v11 – улучшенная версия TLS 1.0, которая исправляет некоторые недостатки, но все еще считается устаревшей;
  • tls-v12 – широко используемая версия, обеспечивающая улучшенные механизмы шифрования и безопасности;
  • tls-v13 – последняя версия протокола TLS, предлагающая значительные улучшения в производительности и безопасности
set ssl-profile client <имя>

Создание клиентского SSL-профиля для функционала SSL Offload. Клиентский SSL-профиль определяет взаимодействие между Termidesk Connect и Реальным Сервером, где Termidesk Connect является клиентом.

set ssl-profile client <имя> <параметр> <значение>

Настройка клиентского SSL-профиля для функционала SSL Offload.

Параметром может быть:
  • ca-certсписок центров сертификации для проверки подлинности. Используется, если активирована взаимная аутентификация по протоколу mTLS;
  • cert – файл клиентского сертификата для аутентификации Termidesk Connect на Реальном Сервере. Используется, если активирована взаимная аутентификация по протоколу mTLS;
  • ciphers – список используемых алгоритмов преобразования. Полный перечень приведен после таблицы;
  • dh-params – файл с ключами Диффи-Хеллмана;
  • handshake-timeout – время ожидания (в секундах) установления соединения;
  • key – файл закрытого ключа для аутентификации Termidesk Connect и Реального Сервера. Используется, если активирована взаимная аутентификация по протоколу mTLS;
  • password – пароль к файлу закрытого ключа, если он необходим;
  • sni-default – значение по умолчанию для SNI;
  • versionsверсии протокола TLS, которые должны поддерживаться при установлении соединения.

Для параметра versions могут устанавливаться следующие значения:

  • ssl-v3 – не рекомендуется использовать из-за уязвимостей;
  • tls-v1 – первая версия TLS, которая улучшает безопасность по сравнению с SSLv3, но также содержит некоторые уязвимости;
  • tls-v11 – улучшенная версия TLS 1.0, которая исправляет некоторые недостатки, но все еще считается устаревшей;
  • tls-v12 – широко используемая версия, обеспечивающая улучшенные механизмы шифрования и безопасности;
  • tls-v13 – последняя версия протокола TLS, предлагающая значительные улучшения в производительности и безопасности

Список поддерживаемых алгоритмов преобразования для параметра ciphers:

  • AES128-GCM-SHA256;
  • AES256-GCM-SHA384;
  • AES128-SHA AES256-SHA;
  • AES128-SHA256;
  • AES256-SHA256;
  • DHE-PSK-AES128-CBC-SHA;
  • DHE-PSK-AES128-CBC-SHA256;
  • DHE-PSK-AES128-GCM-SHA256;
  • DHE-PSK-AES256-CBC-SHA;
  • DHE-PSK-AES256-CBC-SHA384;
  • DHE-PSK-AES256-GCM-SHA384;
  • DHE-PSK-CHACHA20-POLY1305;
  • DHE-RSA-AES128-GCM-SHA256;
  • DHE-RSA-AES128-SHA;
  • DHE-RSA-AES128-SHA256;
  • DHE-RSA-AES256-GCM-SHA384;
  • DHE-RSA-AES256-SHA;
  • DHE-RSA-AES256-SHA256;
  • DHE-RSA-CHACHA20-POLY1305;
  • ECDHE-ECDSA-AES128-GCM-SHA256;
  • ECDHE-ECDSA-AES128-SHA;
  • ECDHE-ECDSA-AES128-SHA256;
  • ECDHE-ECDSA-AES256-GCM-SHA384;
  • ECDHE-ECDSA-AES256-SHA;
  • ECDHE-ECDSA-AES256-SHA384;
  • ECDHE-ECDSA-CHACHA20-POLY1305;
  • ECDHE-PSK-AES128-CBC-SHA;
  • ECDHE-PSK-AES128-CBC-SHA256;
  • ECDHE-PSK-AES256-CBC-SHA;
  • ECDHE-PSK-AES256-CBC-SHA384;
  • ECDHE-PSK-CHACHA20-POLY1305;
  • ECDHE-RSA-AES128-GCM-SHA256;
  • ECDHE-RSA-AES128-SHA;
  • ECDHE-RSA-AES128-SHA256;
  • ECDHE-RSA-AES256-GCM-SHA384;
  • ECDHE-RSA-AES256-SHA;
  • ECDHE-RSA-AES256-SHA384;
  • ECDHE-RSA-CHACHA20-POLY1305;
  • GOST2001-GOST89-GOST89;
  • GOST2012-GOST8912-GOST8912;
  • PSK-AES128-CBC-SHA;
  • PSK-AES128-CBC-SHA256;
  • PSK-AES128-GCM-SHA256;
  • PSK-AES256-CBC-SHA;
  • PSK-AES256-CBC-SHA384;
  • PSK-AES256-GCM-SHA384;
  • PSK-CHACHA20-POLY1305;
  • RSA-PSK-AES128-CBC-SHA;
  • RSA-PSK-AES128-CBC-SHA256;
  • RSA-PSK-AES128-GCM-SHA256;
  • RSA-PSK-AES256-CBC-SHA;
  • RSA-PSK-CHACHA20-POLY1305;
  • SRP-RSA-AES-128-CBC-SHA;
  • TLS_AES_256_GCM_SHA384;
  • SRP-RSA-AES-256-CBC-SHA;
  • TLS_CHACHA20_POLY1305_SHA256;
  • SRP-AES-256-CBC-SHA;
  • RSA-PSK-AES256-CBC-SHA384;
  • SRP-AES-128-CBC-SHA;
  • RSA-PSK-AES256-GCM-SHA384;
  • TLS_AES_128_GCM_SHA256.