Создание и настройка клиентского SSL-профиля

Создание и настройка клиентского SSL-профиля

Для создания и настройки клиентского SSL-профиля используется формат работы с командой:

set ssl-profile client <имя> <параметр> <значение>

Описание параметров также приведено в подразделе Команда set.

Пример команд настройки клиентского профиля:

  • создание клиентского SSL-профиля:
set ssl-profile client <имя>

При создании клиентского SSL-профиля создается минимально необходимая конфигурация для него.

Все настройки, приведенные далее, относятся к переопределению конфигурации по умолчанию.

  • указание версии протокола TLS для данного SSL-профиля:

Команда позволяет за один раз добавить только одно значение протокола TLS.

После создания SSL-профиля по умолчанию уже назначены следующие версии: tls-v1, tls-v11, tls-v12.

set ssl-profile client <имя> versions <версия TLS> true
  • определение набора алгоритмов, которые могут использоваться для преобразования данных между Termidesk Connect и Реальным Сервером:

Команда позволяет за один раз добавить только один алгоритм.

После создания SSL-профиля по умолчанию уже назначены следующие алгоритмы: TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA25, TLS_AES_128_GCM_SHA256, ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256, ECDHE-ECDSA-AES256-SHA384, ECDHE-RSA-AES256-SHA384, ECDHE-ECDSA-AES128-SHA256, ECDHE-RSA-AES128-SHA256, ECDHE-ECDSA-AES256-SHA, ECDHE-RSA-AES256-SHA, ECDHE-ECDSA-AES128-SHA, ECDHE-RSA-AES128-SHA.

set ssl-profile client <имя> ciphers <алгоритм> true
  • указание имени сервера по умолчанию для расширения SNI:

По умолчанию для соединения с Реальным Сервером используется SNI из запроса пользователя. Однако, если в запросе пользователя это поле было пустым, то Termidesk Connect при соединении с Реальным Сервером будет использовать SNI, указанный в sni-default.

set ssl-profile client <имя> sni-default <имя>
  • указание времени ожидания (в секундах) установки соединения с Реальным Сервером:

set ssl-profile client <имя> handshake-timeout <значение>
  • (опционально) указание списка центров сертификации, которые используются для проверки подлинности Реального Сервера (используется, если активирована взаимная аутентификация по протоколу mTLS):
set ssl-profile client <имя> ca-cert <список>
  • (опционально) указание пути к файлу клиентского сертификата, который будет использоваться для аутентификации на Реальном Сервере спользуется, если активирована взаимная аутентификация по протоколу mTLS):

set ssl-profile client <имя> cert <путь>
  • (опционально) указание пути к файлу параметров Диффи-Хеллмана, использующемуся для обмена ключами и обеспечения безопасного соединения:

set ssl-profile client <имя> dh-params <путь>
  • (опционально) указание пути к файлу закрытого ключа, соответствующему клиентскому сертификату спользуется, если активирована взаимная аутентификация по протоколу mTLS):

set ssl-profile client <имя> key <путь>
  • (опционально) если ключ зашифрован, то указать пароль для расшифровки закрытого ключа:

set ssl-profile client <имя> password <пароль>

После настройки профилей необходимо применить и сохранить данные:

  • применение заданных настроек:
commit
  • сохранение настроек:
write
  • просмотр заданных настроек клиентского SSL-профиля (указывается формат вывода – XML, JSON и TXT):
show configuration xml ssl-profile client <имя>
  • просмотр выполненных команд:
show configuration cli ssl-profile client <имя>