Это глобальные параметры SSL/TLS (для устройства в целом).
Для взаимной аутентификации сторон и защиты данных в туннеле.
Безопасность обмена данными по туннелю uiTCP обеспечивается с помощью библиотеки OpenSSL. Система предусматривает аутентификацию сторон (одно- или двустороннюю) с использованием сертификатов X.509 и защиту данных с помощью асимметричного ключа. Таким образом, возможности uiTCP в этом отношении эквивалентны SSH, STunnel, OpenVPN, HTTPS и другим протоколам, использующим SSL/TLS. Подробная информация об организации безопасных соединений данного типа доступна в соответствующей литературе и на Web-ресурсах, посвящённых SSL/TLS.
Для взаимной аутентификации и защиты передаваемых данных каждая из сторон должна располагать следующими обязательными атрибутами, которые передаются непосредственно в библиотечные функции openssl:
Ключи и сертификаты генерируются стандартными средствами OpenSSL и могут быть созданы как на одном из устройств NSG (самоподписанные), так и сторонним удостоверяющим центром. Ключи и сертификаты представляют собой файлы в формате PEM. Созданные сертификаты (как правило, на сервере uiTCP) необходимо переносить на клиентские устройства любым безопасным способом (USB Flash, SSH/SFTP, или внутри защищённой локальной сети). Подробнее о процедуре генерации и размещения сертификатов...
Для ускорения поиска среди большого числа сертификатов они записываются также в виде индексных файлов. Индексный файл содержит тот же самый сертификат, но имя файла формируется специальным образом: оно представляет собой хэш от поля Subject этого сертификата (с добавлением счётчика, если хэши для двух сертификатов совпадают).
Сервер uiTCP может использовать как один набор из сертификата и закрытого ключа, так и индивидуальные наборы для каждого клиента или группы клиентов. Корневые сертификат и ключ, на основе которых генерируются прочие сертификаты и ключи, также могут быть общими или индивидуальными.
Список действительных сертификатов хранится в директории, указанной параметром capath
, в виде набора индексных файлов.
Насткойка SSL/TLS может выполняться как глобально для всего устройства, так и локально для отдельных клиентов или туннелей. Если какой-либо параметр при этом описан дважды, то приоритетным является значение, указанное более специфичным образом. В частности, по этой причине выключить SSL/TLS возможно только локально в настройках клиента/туннеля.
ВНИМАНИЕ! Сертификаты имеют конечный срок действия. Во избежание потери связи с клиентами необходимо заблаговременно обновлять сертификаты, срок действия которых истекает.
ВНИМАНИЕ! Для работы SSL необходимо, чтобы на всех устройствах было корректно установлено системное время. Настоятельно рекомендуется синхронизировать все устройства от единого сервера NTP, доступного по открытому каналу или, как минимум, без использования сертификатов.
Подробнее см. справку по вложенным узлам.
capath
на сервере, и выполнить скрипт rehash (с правами пользователя root в его консольной оболочке bash).© Network Systems Group 2015–2024 | Отдел документации |