В «КАСКАД Цифра» мультиплексный прокси и HTTP-сервер используют SSL-сертификаты для безопасного соединения. С помощью записей в файле config определяется, какие сертификаты следует использовать для SSL-связи. Этот раздел содержит список конфигурационных записей, необходимых для безопасной связи мультиплексного прокси «КАСКАД Цифра» и HTTP-сервера.
SSL-соединение при помощи файловых сертификатов
В таблице ниже содержатся конфигурационные записи, необходимые для обеспечения SSL-соединения посредством файловых сертификатов. Используйте данные конфигурационные записи для мультиплексного прокси. Подробное описание записей расположено в разделе Справочные таблицы -> конфигурационные файлы -> [секция]. Подробное описание можно открыть по ссылкам ниже.
| Записи в конфигурационном файле | Описание |
| securityMode = «cert» | Определяет режим безопасности (cert, wincert..). См. описание конфигурационной записи. |
| sslCertificate = «<cert-file> <private-key> <CAFile>»Пример:sslCertificate = «D:\certificates\host-cert.pem» | Запись «sslCertificate» указывает абсолютный путь и имя трех файлов, необходимых для зашифрованного соединения SSL/TLS. |
В следующем примере показан конфигурационный файл для настройки одиночной системы (удаленный UI):
Прокси и сервер размещаются на одном и том же хосте. Клиент (на отдельном хосте) связывается с сервером через прокси.
Рисунок: внешний вид файла config для клиента
Рисунок: внешний вид файла config для сервера
В таблице ниже содержатся конфигурационные записи, необходимые для обеспечения SSL-соединения посредством файловых сертификатов. Используйте эти записи конфигурации для HTTP-сервера с ультратонким клинетом. Подробное описание записей расположено в разделе Справочные таблицы -> конфигурационные файлы -> [секция]. Подробное описание можно открыть по ссылкам ниже.
| Записи в конфигурационном файле | Описание |
| [httpServer]uiArguments=»-p login.pnl» | Начальный параметр для ULC UX 2.0. |
| [webClient]httpAuth=1 | Данная запись активирует аутентификацию HTTP-сервера. |
SSL-соединение при помощи хранилища сертификатов Windows
В таблице ниже содержатся конфигурационные записи, необходимые для настройки SSL-соединения при помощи сертификатов из хранилища сертификатов Windows. Используйте данные конфигурационные записи для мультиплексного прокси. Подробное описание записей расположено в разделе Справочные таблицы -> конфигурационные файлы -> [секция]. Подробное описание можно открыть по ссылкам ниже.
Подробную информацию о преобразовании сертификатов в формат хранилища сертификатов Windows и их импорте в хранилище см. в разделе «Хранилище сертификатов Windows».
| Записи в конфигурационном файле | Описание |
| [general]securityMode = «winCert»winCert = «USER:MY:host_MxProxy» winRootCA = «USER:ROOT:root_mxProxy» mxProxy = «127.0.0.1 127.0.0.1 wincert» | Определяет режим безопасности (cert, wincert). См. описание конфигурационной записи.Если настроен режим безопасности «wincert», то конфигурационная запись «winCert» определяет, какой сертификат из хранилища сертификатов Windows будет использоваться для SSL/TLS-соединения.Если настроен режим безопасности «winCert», то конфигурационная запись «winRootCA» определяет, какой сертификат из хранилища сертификатов Windows будет использоваться для проверки сертификата во время согласования сеанса SSL/TLS. Пожалуйста, ознакомьтесь с описанием записи «SecurityMode».Запись «mxProxy» определяет хост-сервер «КАСКАД Цифра» и прокси-хост. |
| Если в проекте будут использоваться сертификаты индивидуальными кодами, используйте следующие записи конфигурации:[general]securityMode = «WINCERT»winCertSearchBy = «SHA1»mxProxy = «127.0.0.1 127.0.0.1 wincert»winRootCA = «USER:ROOT:a7 8F b0 9A 96 A4 A0 4E 6F B3 BF 4D 24 B3 85 0D 4A 64 9B 30»winCert = «USER:MY:0A C4 9B FB 7A 70 65 58 84 08 76 36 35 FF C0 CC 35 BE E8 A3» | См. выше. |
ВНИМАНИЕ
Обратите внимание, чтобы иметь возможность использовать сертификаты для мультиплексного прокси, необходимо задать значение 0 записи в реестре: «HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Cryptography\forcekeyprotection». Откройте реестр с помощью команды «regedit». Если необходимой записи нет, добавьте её. В противном случае измените значение по умолчанию (2) на 0. Обратите внимание, что все импортированные ранее сертификаты следует импортировать повторно. Запись в реестре по умолчанию имеет значение 2 из соображений безопасности (защита для ключей, сохраненных на компьютере).
