Создание и настройка клиентского SSL-профиля
Создание и настройка клиентского SSL-профиля
Для создания и настройки клиентского SSL-профиля используется формат работы с командой:
set ssl-profile client <имя> <параметр> <значение>
Описание параметров также приведено в подразделе Команда set
.
Пример команд настройки клиентского профиля:
- создание клиентского SSL-профиля:
set ssl-profile client <имя>
При создании клиентского SSL-профиля создается минимально необходимая конфигурация для него.
Все настройки, приведенные далее, относятся к переопределению конфигурации по умолчанию.
указание версии протокола TLS для данного SSL-профиля:
Команда позволяет за один раз добавить только одно значение протокола TLS.
После создания SSL-профиля по умолчанию уже назначены следующие версии: tls-v1, tls-v11, tls-v12.
set ssl-profile client <имя> versions <версия TLS> true
- определение набора алгоритмов, которые могут использоваться для преобразования данных между Termidesk Connect и Реальным Сервером:
Команда позволяет за один раз добавить только один алгоритм.
После создания SSL-профиля по умолчанию уже назначены следующие алгоритмы: TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA25, TLS_AES_128_GCM_SHA256, ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES256-SHA384, ECDHE-RSA-AES256-SHA384, ECDHE-ECDSA-AES128-SHA256, ECDHE-RSA-AES128-SHA256, ECDHE-ECDSA-AES256-SHA, ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES128-SHA, ECDHE-RSA-AES128-SHA.
set ssl-profile client <имя> ciphers <алгоритм> true
указание имени сервера по умолчанию для расширения SNI:
По умолчанию для соединения с Реальным Сервером используется SNI из запроса пользователя. Однако, если в запросе пользователя это поле было пустым, то Termidesk Connect при соединении с Реальным Сервером будет использовать SNI, указанный в sni-default
.
set ssl-profile client <имя> sni-default <имя>
указание времени ожидания (в секундах) установки соединения с Реальным Сервером:
set ssl-profile client <имя> handshake-timeout <значение>
- (опционально) указание списка центров сертификации, которые используются для проверки подлинности Реального Сервера (используется, если активирована взаимная аутентификация по протоколу mTLS):
set ssl-profile client <имя> ca-cert <список>
(опционально) указание пути к файлу клиентского сертификата, который будет использоваться для аутентификации на Реальном Сервере (используется, если активирована взаимная аутентификация по протоколу mTLS):
set ssl-profile client <имя> cert <путь>
(опционально) указание пути к файлу параметров Диффи-Хеллмана, использующемуся для обмена ключами и обеспечения безопасного соединения:
set ssl-profile client <имя> dh-params <путь>
(опционально) указание пути к файлу закрытого ключа, соответствующему клиентскому сертификату (используется, если активирована взаимная аутентификация по протоколу mTLS):
set ssl-profile client <имя> key <путь>
(опционально) если ключ зашифрован, то указать пароль для расшифровки закрытого ключа:
set ssl-profile client <имя> password <пароль>
После настройки профилей необходимо применить и сохранить данные:
- применение заданных настроек:
commit
- сохранение настроек:
write
- просмотр заданных настроек клиентского SSL-профиля (указывается формат вывода –
XML
,JSON
иTXT
):
show configuration xml ssl-profile client <имя>
- просмотр выполненных команд:
show configuration cli ssl-profile client <имя>