คอมพิวเตอร์ หน้าต่าง อินเทอร์เน็ต
ขยาย
บ้าน

การติดตั้งเครื่องมือสำหรับสร้างการเชื่อมต่อ TLS ที่ปลอดภัย “Continent TLS Client การติดตั้งเครื่องมือสำหรับสร้างการเชื่อมต่อ TLS ที่ปลอดภัย “ไคลเอนต์ TLS ทวีป ไคลเอนต์ tls ทวีปไม่เห็นที่เก็บข้อมูล

TLS VPN ทวีป- โซลูชันที่ได้รับการรับรองสำหรับการปกป้องการเข้าถึงทรัพยากรที่ได้รับการป้องกันของผู้ใช้ระยะไกล

Continent TLS VPN มีสถาปัตยกรรมไคลเอนต์-เซิร์ฟเวอร์ และประกอบด้วย CIPF “Continent TLS VPN Server” ซึ่งติดตั้งที่ขอบของขอบเขตเครือข่าย และไคลเอนต์ VPN ของ CIPF “Continent TLS VPN Client” ที่ติดตั้งบนคอมพิวเตอร์ ของผู้ใช้ระยะไกล “เซิร์ฟเวอร์ TLS VPN ของทวีป” รับประกันการรักษาความลับ ความสมบูรณ์ และการเลียนแบบของข้อมูลที่ส่ง และทำหน้าที่ต่อไปนี้:

  • การตรวจสอบผู้ใช้โดยใช้ใบรับรองคีย์สาธารณะของมาตรฐาน x.509v3 (GOST R 31.11–94, 34.10–2001)
  • ตรวจสอบใบรับรองผู้ใช้กับรายการเพิกถอน CRL
  • การสร้างการเชื่อมต่อที่เข้ารหัสอย่างปลอดภัยโดยใช้โปรโตคอล HTTPS
  • กระจายเสียงคำขอไปยังเว็บเซิร์ฟเวอร์เครือข่ายองค์กรและอื่น ๆ

เซิร์ฟเวอร์ TLS VPN ทวีป IPC-3000F (S021), 2014

CIPF “Continent TLS VPN Client” เป็นบริการพร็อกซีแบบโปร่งใสภายในที่ให้การรับรองความถูกต้องร่วมกันกับเซิร์ฟเวอร์ การสร้างการเชื่อมต่อที่ปลอดภัย และการแลกเปลี่ยนข้อมูลที่เข้ารหัสกับเซิร์ฟเวอร์ นอกจากนี้ยังสามารถใช้งานร่วมกับอินเทอร์เน็ตเบราว์เซอร์ที่มีอยู่ส่วนใหญ่ได้อีกด้วย นอกจากนี้ ผู้ใช้ยังสามารถทำงานผ่าน “เซิร์ฟเวอร์ VPN ของทวีป TLS” ได้โดยไม่ต้องติดตั้งซอฟต์แวร์ไคลเอนต์ CIPF “ไคลเอนต์ VPN ของ TLS ของทวีป” ในกรณีนี้ คอมพิวเตอร์ของผู้ใช้ต้องใช้เบราว์เซอร์ MS Internet Explorer กับผู้ให้บริการ cryptoservice ที่ติดตั้ง “CryptoPro CSP” (เวอร์ชัน 3.6 หรือ 3.9) ซึ่งให้การสนับสนุนอัลกอริทึมการเข้ารหัส GOST

ผลิตภัณฑ์นี้มีไว้สำหรับ:

  • เชื่อมต่อผู้ใช้กับพอร์ทัลบริการของรัฐบาล แพลตฟอร์มการซื้อขายทางอิเล็กทรอนิกส์ ระบบธนาคารทางอินเทอร์เน็ต หรือแอปพลิเคชันขององค์กรอย่างปลอดภัยผ่านทางเว็บเบราว์เซอร์
  • การป้องกันการเข้ารหัสของการรับส่งข้อมูล http เมื่อส่งข้อมูลผ่านช่องทางเปิดของเครือข่ายสาธารณะ

คุณสมบัติที่สำคัญ

  • การป้องกันการเข้ารหัส
    • การใช้โปรโตคอล TLS พร้อมการเข้ารหัสตาม GOST 28147–89 ช่วยให้มั่นใจได้ถึงการป้องกันการรับส่งข้อมูล HTTP ที่เชื่อถือได้ในระดับการขนส่ง
  • การตรวจสอบและบันทึกเหตุการณ์ความปลอดภัยของข้อมูล
    • รับข้อมูลการปฏิบัติงานเกี่ยวกับสถิติการดำเนินงานและการเชื่อมต่อปัจจุบันของเซิร์ฟเวอร์ “Continent TLS VPN”
  • การระบุผู้ใช้และการรับรองความถูกต้อง
    • การระบุและการรับรองความถูกต้องของผู้ใช้โดยใช้ใบรับรองคีย์สาธารณะของมาตรฐาน x.509 การส่งข้อมูลการตรวจสอบผู้ใช้ไปยังเว็บเซิร์ฟเวอร์
  • การทำงานร่วมกับหน่วยงานออกใบรับรองภายนอก (CA)
    • หากต้องการสร้างใบรับรอง x.509 “Continent TLS VPN” จะใช้ CA ภายนอก “CryptoPro”
  • การพร็อกซีการรับส่งข้อมูล HTTP แบบโปร่งใส
    • เพื่อเข้าสู่ระบบบริการบนเว็บอย่างปลอดภัย ผู้ใช้เพียงแค่ต้องป้อนที่อยู่ IP หรือชื่อโดเมนในแถบที่อยู่ของเบราว์เซอร์
  • ความสามารถในการปรับขนาดและความทนทานต่อข้อผิดพลาด
    • รองรับโหมดการทำงานในรูปแบบคลัสเตอร์ประสิทธิภาพสูงพร้อมโหลดบาลานซ์ (โหลดบาลานเซอร์ภายนอก) ความทนทานต่อข้อผิดพลาดที่เพิ่มขึ้นทำได้โดยการเพิ่มโหนดสำรองให้กับคลัสเตอร์

ลักษณะเฉพาะ

  • ประสิทธิภาพสูง – การเชื่อมต่อพร้อมกันสูงสุด 20,000 รายการต่อโหนด (IPC-3000F)
  • เข้ากันได้กับเว็บเบราว์เซอร์ใด ๆ
  • ความง่ายในการจัดการ – การตั้งค่าทั้งหมดดำเนินการโดยผู้ดูแลระบบผ่านเว็บเบราว์เซอร์
  • ความสามารถในการปรับขนาดประสิทธิภาพได้ไม่จำกัด - ความสามารถในการรวมเข้ากับคลัสเตอร์ประสิทธิภาพสูงเพื่อให้ได้ประสิทธิภาพการเชื่อมต่อพร้อมกันมากกว่า 100,000 รายการ
  • ใช้งานง่ายและดำเนินการ - โซลูชันสำเร็จรูปไม่จำเป็นต้องฝังโมดูลการเข้ารหัสลงในเว็บเซิร์ฟเวอร์ และทำตามขั้นตอนในการตรวจสอบการรวมการป้องกันข้อมูลการเข้ารหัส
  • รวมเข้ากับระบบ SIEM ภายนอกได้อย่างง่ายดาย

ใบรับรอง

  • ใบรับรองของ FSTEC ของรัสเซียสำหรับการปฏิบัติตามข้อกำหนดสำหรับการไม่ปฏิบัติตามการควบคุมระดับที่ 4 ใช้เพื่อปกป้อง AC สูงถึงคลาส 1G รวม ISPDn สูงถึง UZ 1 และ GIS สูงถึงคลาส 1 รวม
  • ใบรับรองของ FSB ของรัสเซีย “เซิร์ฟเวอร์ VPN ทวีป TLS” สำหรับคลาส CIPF KS2 ​​และ “ไคลเอนต์ VPN ทวีป TLS” สำหรับคลาส CIPF KS2 ​​และ KS1

2018: เปิดตัว "Continent TLS Server" เวอร์ชัน 2.1

ลูกค้าของ Continent TLS Server 2.1 สามารถอัปเดตส่วนไคลเอ็นต์ของคอมเพล็กซ์จากส่วนกลางบนคอมพิวเตอร์ของผู้ใช้ระยะไกลได้ นอกจากนี้ ในเวอร์ชันที่นำเสนอ ระบบการออกใบอนุญาตผลิตภัณฑ์ได้รับการปรับปรุงให้ง่ายขึ้น: สำหรับคลัสเตอร์ของอุปกรณ์หลายเครื่อง จำเป็นต้องมีใบอนุญาตเดียวเท่านั้นสำหรับจำนวนการเชื่อมต่อพร้อมกันสูงสุด มีการตัดสินใจที่จะรวมใบอนุญาตสำหรับการเชื่อมต่อกับพร็อกซีเซิร์ฟเวอร์และใบอนุญาตสำหรับการเชื่อมต่อผ่านอุโมงค์ TLS ทั้งหมดนี้ช่วยลดความยุ่งยากในการดำเนินการและการเลือกสถาปัตยกรรมโซลูชันที่เหมาะสม

ในเดือนกรกฎาคม 2018 “เซิร์ฟเวอร์ TLS ทวีป” 2.1 ถูกส่งเพื่อขอการรับรองไปยัง FSB ของรัสเซีย หลังจากผ่านการทดสอบแล้ว ผลิตภัณฑ์จะได้รับการรับรองตามคลาส KS1 และ KS2

ผลิตภัณฑ์เซิร์ฟเวอร์ Continent TLS เวอร์ชันนี้ได้รับการออกแบบมาเพื่ออำนวยความสะดวกในการทำงานของผู้ดูแลระบบในช่วงที่มีการเปลี่ยนแปลงมาตรฐานการเข้ารหัสและให้ความสามารถในการตรวจสอบที่สะดวก การเปลี่ยนแปลงนโยบายการออกใบอนุญาตและความสามารถในการจัดสรรพอร์ตการจัดการผลิตภัณฑ์ที่แยกต่างหากควรขยายขอบเขตของแอปพลิเคชัน การสนับสนุนไคลเอนต์ TLS ที่หลากหลายจะช่วยให้คุณสร้างระบบการเข้าถึงเว็บแอปพลิเคชันที่ปลอดภัยได้อย่างรวดเร็วซึ่งมีการใช้ผู้ให้บริการ crypto บุคคลที่สามอยู่แล้ว ขณะนี้ผลิตภัณฑ์ของเรารองรับ "CryptoPro", "Validata" และเบราว์เซอร์ที่เชื่อถือได้ "Sputnik"

2016

ไดนามิกสูงยังแสดงให้เห็นโดยผลิตภัณฑ์ที่ค่อนข้างใหม่ (เปิดตัวในปี 2558) ของกลุ่มผลิตภัณฑ์ “ทวีป” – “Continent TLS VPN” และสวิตช์เข้ารหัสลับ “ทวีป” ปริมาณการขายของพวกเขาอยู่ที่ 71 ล้านรูเบิล และ 62 ล้านรูเบิล ตามลำดับ ความต้องการ “Continent TLS VPN” เกิดจากความสนใจที่เพิ่มขึ้นของลูกค้าในการใช้อัลกอริธึมการเข้ารหัสของรัสเซียเพื่อปกป้องการเข้าถึงพอร์ทัลของรัฐบาล เช่นเดียวกับการจัดการการเข้าถึงระยะไกลที่ปลอดภัยโดยใช้อัลกอริธึม GOST ปัจจัยหนึ่งในการเติบโตของยอดขายสวิตช์เข้ารหัสลับของทวีปคือความจำเป็นในการปกป้องช่องทางการสื่อสารในศูนย์ข้อมูลที่มีการกระจายทางภูมิศาสตร์

รุ่นทางเทคนิค “Continent TLS VPN” 1.0.9 ได้รับการเผยแพร่พร้อมกับพอร์ทัลแอปพลิเคชัน

บริษัทรหัสรักษาความปลอดภัยประกาศในเดือนเมษายน 2559 การเปิดตัวผลิตภัณฑ์เวอร์ชันทางเทคนิค “Continent TLS VPN” ซึ่งออกแบบมาเพื่อให้การเข้าถึงระบบข้อมูลที่ประมวลผลข้อมูลส่วนบุคคล (ISPD) และระบบข้อมูลภาครัฐ (GIS) จากระยะไกลได้อย่างปลอดภัย ผลิตภัณฑ์มีคุณสมบัติใหม่ๆ มากมาย

หนึ่งในการเปลี่ยนแปลงที่สำคัญที่สุดใน "ทวีป TLS VPN" 1.0.9คือการสร้างพอร์ทัลแอปพลิเคชันที่มีความสามารถในการตรวจสอบและอนุญาตโดยใช้ข้อมูลประจำตัวจาก Active Directory การปรับปรุงนี้ช่วยลดความยุ่งยากในกระบวนการจัดการการเข้าถึงบริการเว็บขององค์กรสำหรับผู้ใช้ประเภทต่างๆ ลงอย่างมาก ตัวอย่างเช่น การใช้พอร์ทัลทำให้คุณสามารถมอบการเข้าถึงจุดเดียวสำหรับพนักงานบริษัทและผู้รับเหมา ในกรณีนี้ ชุดแอปพลิเคชันที่มีอยู่จะขึ้นอยู่กับหมวดหมู่และสิทธิ์ของผู้ใช้

ข้อแตกต่างอีกประการหนึ่งคือการเพิ่มความสามารถในการสร้างหน้าเริ่มต้นของเซิร์ฟเวอร์ ซึ่งสามารถเข้าถึงได้ผ่านโปรโตคอล HTTP แบบเปิด ช่วยให้คุณลดต้นทุนในการดูแลรักษาเว็บแอปพลิเคชันที่ปลอดภัยได้อย่างมาก

เวอร์ชัน 1.0.9 ยังเพิ่มความสามารถในการใช้งานผลิตภัณฑ์ในโหมดทันเนล TLS ซึ่งช่วยให้ผู้ใช้ระยะไกลสามารถลบข้อจำกัดในการโต้ตอบผ่านช่องทางที่เข้ารหัสโดยใช้โปรโตคอล TLS การเชื่อมต่อดังกล่าวช่วยให้คุณไม่เพียงแต่ให้การเข้าถึงทรัพยากรบนเว็บเท่านั้น แต่ยังรวมถึงแอปพลิเคชันประเภทอื่น ๆ ด้วย เช่น เทอร์มินัลเซิร์ฟเวอร์ (ผ่านโปรโตคอล RDP) หรือ "ไคลเอ็นต์แบบหนา" สำหรับแอปพลิเคชันขององค์กร (ERP, CRM เป็นต้น) วิธีการนี้จะเพิ่มจำนวนสถานการณ์การเข้าถึงระยะไกลที่สามารถใช้ Continent TLS VPN ได้อย่างมาก

“รหัสความปลอดภัย” ประเมินช่วงเวลาของการเปลี่ยนแปลงของหน่วยงานภาครัฐเป็นเครื่องมือเข้ารหัสของรัสเซีย

เมื่อวันที่ 16 กรกฎาคม 2016 คำสั่งของประธานาธิบดีต่อหัวหน้ารัฐบาลได้รับการเผยแพร่บนเว็บไซต์เครมลินเกี่ยวกับความจำเป็นในการเตรียมการเปลี่ยนแปลงหน่วยงานของรัฐไปใช้อัลกอริธึมการเข้ารหัสและเครื่องมือเข้ารหัสของรัสเซียภายในวันที่ 1 ธันวาคม 2017 โดยเฉพาะอย่างยิ่ง รัฐบาลจะต้องรับรองการพัฒนาและการดำเนินการตามชุดมาตรการที่จำเป็นสำหรับการเปลี่ยนไปใช้อัลกอริธึมการเข้ารหัสลับและเครื่องมือการเข้ารหัสของรัสเซียเป็นระยะ ๆ ตลอดจนให้พลเมืองของสหพันธรัฐรัสเซียเข้าถึงการใช้การเข้ารหัสของรัสเซียได้ฟรี เครื่องมือ

เอกสารที่เผยแพร่จะมีขั้นตอนบางประการในการทำให้โครงสร้างพื้นฐานด้านไอทีของหน่วยงานภาครัฐปฏิบัติตามข้อกำหนดที่ระบุไว้ โดยเฉพาะอย่างยิ่ง หน่วยงานของรัฐคาดว่าจะมีการติดตั้งเครื่องมือป้องกันข้อมูลการเข้ารหัสลับ (CIPF) จำนวนมาก นอกเหนือจากโซลูชันที่มีอยู่

รายละเอียดเพิ่มเติม:

  • กฎหมาย Yarovaya (ในการแก้ไขประมวลกฎหมายอาญาและประมวลกฎหมายวิธีพิจารณาความอาญาของสหพันธรัฐรัสเซียเกี่ยวกับการจัดตั้งมาตรการเพิ่มเติมเพื่อต่อต้านการก่อการร้าย)

ผู้เชี่ยวชาญด้านรหัสความปลอดภัยทราบว่านวัตกรรมดังกล่าวจะส่งผลต่อพอร์ทัลบริการภาครัฐของหน่วยงานรัฐบาลกลางและระดับภูมิภาคเป็นหลัก ในขณะเดียวกัน การดำเนินงานนี้มีผลกระทบสองด้าน: การใช้งาน CIPF บนเว็บเซิร์ฟเวอร์และด้านผู้ใช้ หากเราสมมติว่าผู้ใช้จะฝังไลบรารี crypto ที่ได้รับการรับรองลงในเบราว์เซอร์ ปัญหาจะสามารถแก้ไขได้ทางฝั่งเว็บเซิร์ฟเวอร์ด้วยสองวิธี

หนึ่งในนั้นคือการรวม CIPF เข้ากับเว็บเซิร์ฟเวอร์ อย่างที่สองคือการใช้งานซอฟต์แวร์และฮาร์ดแวร์คอมเพล็กซ์ (SHC) ด้วยการใช้งาน TLS VPN (หนึ่งในผลิตภัณฑ์ดังกล่าวคือ “เซิร์ฟเวอร์ TLS VPN ของทวีป” พัฒนาโดย “ รหัสความปลอดภัย”) ซึ่งจะสกัดกั้นการรับส่งข้อมูล HTTP /HTTPS และเข้ารหัสตามอัลกอริธึมการเข้ารหัสตาม GOST (28147-89) แต่ละตัวเลือกมีลักษณะเฉพาะของตัวเอง - ทั้งจากมุมมองของการใช้งานทางเทคนิคและจากมุมมองของระยะเวลาของโครงการ

ตามที่นักวิเคราะห์รหัสความปลอดภัยระบุ ในกรณีแรก (การฝัง) ขั้นตอนการทำงานจะเป็นดังนี้:

  • การพัฒนาเอกสารองค์กรและการบริหาร (ORD) - 2 เดือน
  • การดำเนินการ - 0.5 เดือน
  • ติดตามการรวม CIPF เข้ากับ FSB ของรัสเซีย - 7 เดือน

ส่งผลให้โครงการดังกล่าวสามารถแล้วเสร็จได้ภายใน 1 ปี

เมื่อเลือกตัวเลือกการติดตั้ง PAC โครงการจะแบ่งออกเป็นขั้นตอนต่อไปนี้:

  • การพัฒนาเอกสารการปฏิบัติงาน - 2 เดือน
  • จัดการแข่งขันแบบเปิดภายใต้ 44-FZ - 2.5 เดือน
  • การจัดหาอุปกรณ์และซอฟต์แวร์ - 1.5 เดือน
  • การดำเนินการ - 0.5 เดือน

ระยะเวลารวมของโครงการในกรณีนี้จะอยู่ที่ประมาณ 7 เดือน

ผู้เชี่ยวชาญด้านรหัสความปลอดภัยทราบว่าตามแนวทางปฏิบัติที่เป็นที่ยอมรับโดยทั่วไป อย่างน้อยสามเดือนผ่านไประหว่างการออกคำสั่งให้กับรัฐบาลและการเริ่มทำงานโดย บริษัท ในโครงการต่างๆ (โดยคำนึงถึงความจำเป็นในการพัฒนาและนำไปใช้ตามกฎหมาย) ดังนั้นจึงมีความเสี่ยงที่องค์กรที่เลือกตัวเลือกในการฝัง CIPF ลงในเว็บเซิร์ฟเวอร์จะประสบปัญหาในการบรรลุกำหนดเวลาที่ประธานาธิบดีกำหนด และหากการนำข้อบังคับล่าช้าเกินกว่าสามเดือน กำหนดเวลาการดำเนินการอาจพลาดไป

“นอกเหนือจากความยากลำบากในเรื่องจังหวะเวลาแล้ว เส้นทางแรก - การฝัง - ยังเกี่ยวข้องกับความยากลำบากอื่นๆ ด้วย เหล่านี้เป็นค่าแรงเพิ่มเติม ขั้นแรกสำหรับการเตรียมและอนุมัติชุดเอกสารสำหรับห้องปฏิบัติการทดสอบ จากนั้นสำหรับการเปลี่ยนแปลงรหัสและการแก้ไขข้อบกพร่องของแอปพลิเคชันตามผลการวิเคราะห์ของห้องปฏิบัติการทดสอบ แต่ข้อได้เปรียบหลักของตัวเลือกที่สองคือเมื่อเลือก PAK ลูกค้าจะได้รับโซลูชันทางอุตสาหกรรมที่ทรงพลังและมีประสิทธิภาพสูงที่ออกแบบมาสำหรับองค์กรขนาดใหญ่ สามารถปรับขนาดได้ จัดการง่าย เข้ากันได้กับอินเทอร์เน็ตเบราว์เซอร์ และรวมเข้ากับระบบ SIEM ภายนอกได้อย่างง่ายดาย” Pavel Korostelev ผู้จัดการฝ่ายการตลาดผลิตภัณฑ์ของ Code Security กล่าว

เมื่อพิจารณาถึงสิ่งที่กล่าวมาข้างต้น “รหัสความปลอดภัย” แนะนำให้ลูกค้าภาครัฐเลือกอัลกอริธึมที่เหมาะสมที่สุดสำหรับการปฏิบัติตามข้อกำหนดทางกฎหมาย และปฏิบัติตามเส้นทางของการนำระบบซอฟต์แวร์และฮาร์ดแวร์ (SHC) ไปใช้งานด้วยการใช้งาน TLS VPN เพื่อการเข้าถึงทรัพยากรบนเว็บของผู้ใช้ระยะไกลอย่างปลอดภัย มีการใช้ซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อน “Continent TLS VPN” ที่ได้รับการรับรองโดย FSB ของรัสเซีย ง่ายต่อการปรับใช้ มีไคลเอนต์ TLS ฟรีสำหรับผู้ใช้ปลายทาง และสามารถรองรับการเชื่อมต่อพร้อมกันได้มากกว่า 100,000 รายการ

รัสเซียลงวันที่ 30 กรกฎาคม 2015 SF/124–2676 บน CIPF “Continent TLS VPN Server” และ SF/525-2677, SF/525-2678 บน CIPF “Continent TLS VPN Client” (เวอร์ชัน 1 และ 2) ยืนยันการปฏิบัติตาม ข้อกำหนดของ FSB Russia ในการเข้ารหัส (การเข้ารหัส) หมายถึงคลาส KS2 และ KS1 ใบรับรองของ FSB ของรัสเซียอนุญาตให้ใช้ CIPF “Continent TLS VPN” สำหรับการป้องกันการเข้ารหัสข้อมูลที่ไม่มีข้อมูลที่เป็นความลับของรัฐ

ใบรับรอง FSTEC ของรัสเซียหมายเลข 3286 ซึ่งออกเมื่อวันที่ 2 ธันวาคม 2014 สำหรับ CIPF “เซิร์ฟเวอร์ TLS VPN ของทวีป” ยืนยันว่าผลิตภัณฑ์ปฏิบัติตามข้อกำหนดของแนวทางสำหรับการควบคุมระดับที่ 4 สำหรับการไม่ปฏิบัติตามข้อกำหนดของการไม่ปฏิบัติตาม การปฏิบัติตามข้อกำหนดและอนุญาตให้ใช้เมื่อสร้างระบบจนถึงระดับความปลอดภัย 1G รวมและสำหรับการปกป้องข้อมูลใน ISPDn และ GIS จนถึงระดับ 1 รวม

หากต้องการติดตั้งซอฟต์แวร์ Continent TLS Client คุณต้องมี:

รูปที่ 33 หน้าต่างเริ่มต้นของวิซาร์ดการติดตั้งซอฟต์แวร์ “Continent TLS Client”

รูปที่ 34 หน้าต่างข้อตกลงใบอนุญาตสำหรับซอฟต์แวร์ Continent TLS Client

3. ทำเครื่องหมายที่ช่อง "ฉันยอมรับเงื่อนไขของข้อตกลงใบอนุญาต" และคลิกปุ่ม "ถัดไป" หน้าต่างจะปรากฏขึ้นบนหน้าจอเพื่อป้อนรหัสลิขสิทธิ์ที่มาพร้อมกับซอฟต์แวร์ Continent TLS Client บนกระดาษหรือสื่ออิเล็กทรอนิกส์

รูปที่ 35 หน้าต่างสำหรับป้อนรหัสลิขสิทธิ์ของซอฟต์แวร์ Continent TLS Client

4. ป้อนรหัสลิขสิทธิ์แล้วคลิกถัดไป กล่องโต้ตอบสำหรับเลือกเส้นทางการติดตั้งสำหรับซอฟต์แวร์ Continent TLS Client จะปรากฏขึ้นบนหน้าจอ

รูปที่ 36 หน้าต่างสำหรับเลือกเส้นทางการติดตั้งสำหรับซอฟต์แวร์ Continent TLS Client

5. ปล่อยให้เส้นทางการติดตั้งเริ่มต้น คลิก "ถัดไป" กล่องโต้ตอบ "Launch Configurator" จะปรากฏขึ้นบนหน้าจอ

รูปที่ 37 หน้าต่างเปิดใช้งานสำหรับตัวกำหนดค่าซอฟต์แวร์ Continent TLS Client

6. ทำเครื่องหมายในช่อง “เรียกใช้ตัวกำหนดค่าหลังจากการติดตั้งเสร็จสมบูรณ์”

รูปที่ 38 หน้าต่างความพร้อมในการติดตั้งซอฟต์แวร์ Continent TLS Client

8. คลิกปุ่ม "ติดตั้ง" การติดตั้งส่วนประกอบจะเริ่มขึ้น

รูปที่ 39. กระบวนการติดตั้งซอฟต์แวร์ไคลเอ็นต์ TLS ของทวีป

9. กล่องโต้ตอบการตั้งค่าซอฟต์แวร์ “Continent TLS Client” จะปรากฏขึ้นบนหน้าจอ

รูปที่ 40. การกำหนดค่าซอฟต์แวร์ไคลเอ็นต์ TLS ของทวีป

ในการกำหนดค่าซอฟต์แวร์ที่คุณต้องการ:

ก) ในส่วน "การตั้งค่าไคลเอนต์ TLS ทวีป" ให้ปล่อยค่า "พอร์ต" ไว้ที่ค่าเริ่มต้นที่ 8080

b) ในส่วน "การตั้งค่าเซิร์ฟเวอร์ที่ได้รับการป้องกัน" ในช่อง "ที่อยู่" ให้ตั้งชื่อเซิร์ฟเวอร์ TLS: lk.budget.gov.ru

c) ในส่วน "การตั้งค่าเซิร์ฟเวอร์ที่ได้รับการป้องกัน" ในช่อง "ใบรับรอง" ให้ระบุไฟล์ใบรับรองเซิร์ฟเวอร์ TLS ที่คัดลอกไปยังไดเรกทอรีภายในเครื่องในข้อ 3.1 ของคู่มือนี้



รูปที่ 41. การกำหนดค่าซอฟต์แวร์ไคลเอ็นต์ TLS ของทวีป การเลือกใบรับรอง

d) หากเวิร์กสเตชันของผู้ใช้ไม่ได้ใช้พร็อกซีเซิร์ฟเวอร์ภายนอก ให้คลิกปุ่ม "ตกลง"

e) มิฉะนั้น ให้ระบุที่อยู่และพอร์ตของพร็อกซีเซิร์ฟเวอร์ภายนอกขององค์กรที่ใช้

รูปที่ 42. การกำหนดค่าบริการซอฟต์แวร์ไคลเอ็นต์ TLS ของทวีป การตั้งค่าพร็อกซีเซิร์ฟเวอร์ภายนอก

ฉ) คลิกปุ่ม "ตกลง"

10. กล่องโต้ตอบสำหรับการติดตั้งซอฟต์แวร์ Continent TLS Client จะแสดงบนหน้าจอ

รูปที่ 43 บทสนทนาสำหรับการติดตั้งซอฟต์แวร์ Continent TLS Client

11. คลิกปุ่ม "เสร็จสิ้น"

12. กล่องโต้ตอบจะปรากฏขึ้นบนหน้าจอเกี่ยวกับความจำเป็นในการรีบูตเวิร์กสเตชันของผู้ใช้

รูปที่ 44. บทสนทนาเกี่ยวกับความจำเป็นในการรีบูตเวิร์กสเตชันของผู้ใช้

13. คลิกปุ่ม “ไม่”

มีการกล่าวถึง TLS และ SSL มากขึ้นเรื่อยๆ การใช้ใบรับรองดิจิทัลมีความเกี่ยวข้องมากขึ้น และแม้แต่บริษัทต่างๆ ก็ปรากฏว่าพร้อมที่จะมอบใบรับรองดิจิทัลฟรีให้กับทุกคน เพื่อให้แน่ใจว่าการรับส่งข้อมูลระหว่างไซต์ที่เยี่ยมชมและเบราว์เซอร์ของลูกค้าได้รับการเข้ารหัส โดยปกติแล้ว สิ่งนี้จำเป็นสำหรับการรักษาความปลอดภัย ดังนั้นจึงไม่มีใครบนเครือข่ายสามารถรับข้อมูลที่ส่งจากไคลเอนต์ไปยังเซิร์ฟเวอร์และส่งคืนได้ ทั้งหมดนี้ทำงานอย่างไรและใช้งานอย่างไร? เพื่อทำความเข้าใจสิ่งนี้ เราอาจต้องเริ่มต้นด้วยทฤษฎี แล้วจึงแสดงให้เห็นในทางปฏิบัติ ดังนั้น SSL และ TLS

SSL คืออะไร และ TLS คืออะไร

SSL - Secure Socket Layer ซึ่งเป็นชั้นของซ็อกเก็ตที่ปลอดภัย TLS - Transport Layer Security, ความปลอดภัยของเลเยอร์การขนส่ง SSL เป็นระบบรุ่นก่อน TLS มาทีหลังและใช้ข้อกำหนด SSL 3.0 ที่พัฒนาโดย Netscape Communications อย่างไรก็ตาม โปรโตคอลเหล่านี้มีหน้าที่เดียวคือเพื่อให้แน่ใจว่ามีการถ่ายโอนข้อมูลที่ปลอดภัยระหว่างคอมพิวเตอร์สองเครื่องบนอินเทอร์เน็ต การถ่ายโอนนี้ใช้สำหรับเว็บไซต์ต่างๆ อีเมล การรับส่งข้อความ และอื่นๆ อีกมากมาย โดยหลักการแล้ว คุณสามารถส่งข้อมูลใดๆ ด้วยวิธีนี้ โปรดดูข้อมูลเพิ่มเติมด้านล่าง

มั่นใจในการส่งข้อมูลที่ปลอดภัยด้วยการรับรองความถูกต้องและการเข้ารหัสข้อมูลที่ส่ง โดยพื้นฐานแล้ว โปรโตคอล TLS และ SSL เหล่านี้ทำงานเหมือนกัน โดยไม่มีความแตกต่างพื้นฐาน TLS อาจกล่าวได้ว่าเป็นผู้สืบทอดต่อจาก SSL แม้ว่าจะสามารถใช้งานพร้อมกันได้ แม้จะอยู่บนเซิร์ฟเวอร์เดียวกันก็ตาม การสนับสนุนดังกล่าวมีความจำเป็นเพื่อให้แน่ใจว่าจะทำงานร่วมกับทั้งไคลเอนต์ใหม่ (อุปกรณ์และเบราว์เซอร์) และไคลเอนต์รุ่นเก่าที่ไม่รองรับ TLS ลำดับการเกิดโปรโตคอลเหล่านี้มีลักษณะดังนี้:

SSL 1.0 - ไม่เคยเผยแพร่
SSL 2.0 - กุมภาพันธ์ 1995
SSL 3.0 - 1996
TLS 1.0 - มกราคม 1999
มรท. 1.1 - เมษายน 2549
มรท. 1.2 - สิงหาคม 2551

SSL และ TLS ทำงานอย่างไร

หลักการทำงานของ SSL และ TLS อย่างที่ฉันบอกไปแล้วนั้นเหมือนกัน ช่องทางที่เข้ารหัสถูกสร้างขึ้นบนโปรโตคอล TCP/IP ซึ่งภายในข้อมูลจะถูกถ่ายโอนผ่านโปรโตคอลแอปพลิเคชัน - HTTP, FTP และอื่นๆ ต่อไปนี้คือวิธีการแสดงแบบกราฟิก:

โปรโตคอลแอปพลิเคชันถูก "ห่อ" ใน TLS/SSL ซึ่งในทางกลับกันจะถูกห่อใน TCP/IP โดยพื้นฐานแล้ว ข้อมูลโปรโตคอลของแอปพลิเคชันจะถูกส่งผ่าน TCP/IP แต่จะถูกเข้ารหัส และมีเพียงเครื่องที่สร้างการเชื่อมต่อเท่านั้นที่สามารถถอดรหัสข้อมูลที่ส่งได้ สำหรับคนอื่นๆ ที่ได้รับแพ็กเก็ตที่ส่ง ข้อมูลนี้จะไม่มีความหมายหากไม่สามารถถอดรหัสได้

การเชื่อมต่อเกิดขึ้นในหลายขั้นตอน:

1) ไคลเอนต์สร้างการเชื่อมต่อกับเซิร์ฟเวอร์และร้องขอการเชื่อมต่อที่ปลอดภัย ซึ่งสามารถทำได้โดยการสร้างการเชื่อมต่อกับพอร์ตที่ตั้งใจให้ทำงานกับ SSL/TLS ในตอนแรก เช่น 443 หรือโดยการร้องขอเพิ่มเติมให้ไคลเอ็นต์สร้างการเชื่อมต่อที่ปลอดภัยหลังจากสร้างการเชื่อมต่อปกติ

2) เมื่อสร้างการเชื่อมต่อ ไคลเอนต์จะจัดเตรียมรายการอัลกอริธึมการเข้ารหัสที่ "รู้" เซิร์ฟเวอร์ตรวจสอบรายการที่ได้รับพร้อมรายการอัลกอริธึมที่เซิร์ฟเวอร์ "รู้" และเลือกอัลกอริธึมที่เชื่อถือได้มากที่สุด หลังจากนั้นจะแจ้งให้ลูกค้าทราบว่าจะใช้อัลกอริธึมใด

3) เซิร์ฟเวอร์จะส่งใบรับรองดิจิทัลให้กับลูกค้า ซึ่งลงนามโดยผู้ออกใบรับรอง และคีย์สาธารณะของเซิร์ฟเวอร์

4) ลูกค้าสามารถติดต่อเซิร์ฟเวอร์ของผู้ออกใบรับรองที่เชื่อถือได้ซึ่งลงนามใบรับรองเซิร์ฟเวอร์และตรวจสอบว่าใบรับรองเซิร์ฟเวอร์นั้นถูกต้องหรือไม่ แต่อาจจะไม่ โดยปกติระบบปฏิบัติการจะมีใบรับรองรูทของหน่วยงานออกใบรับรองติดตั้งอยู่แล้ว เพื่อใช้ตรวจสอบลายเซ็นของใบรับรองเซิร์ฟเวอร์ เช่น โดยเบราว์เซอร์

5) คีย์เซสชันถูกสร้างขึ้นสำหรับการเชื่อมต่อที่ปลอดภัย ทำได้ดังนี้:
— ไคลเอนต์สร้างลำดับดิจิทัลแบบสุ่ม
— ไคลเอนต์เข้ารหัสด้วยกุญแจสาธารณะของเซิร์ฟเวอร์และส่งผลลัพธ์ไปยังเซิร์ฟเวอร์
— เซิร์ฟเวอร์ถอดรหัสลำดับที่ได้รับโดยใช้รหัสส่วนตัว
เนื่องจากอัลกอริธึมการเข้ารหัสไม่สมมาตร มีเพียงเซิร์ฟเวอร์เท่านั้นที่สามารถถอดรหัสลำดับได้ เมื่อใช้การเข้ารหัสแบบอสมมาตร จะใช้สองคีย์ - ส่วนตัวและสาธารณะ ข้อความที่ส่งแบบสาธารณะจะถูกเข้ารหัส และข้อความที่ส่งแบบส่วนตัวจะถูกถอดรหัส เป็นไปไม่ได้ที่จะถอดรหัสข้อความหากคุณมีรหัสสาธารณะ

6) สิ่งนี้จะสร้างการเชื่อมต่อที่เข้ารหัส ข้อมูลที่ส่งผ่านจะถูกเข้ารหัสและถอดรหัสจนกว่าการเชื่อมต่อจะสิ้นสุดลง

ใบรับรองหลัก

ข้างต้นฉันพูดถึงใบรับรองหลัก นี่คือใบรับรองศูนย์อนุญาตซึ่งมีลายเซ็นยืนยันว่าใบรับรองที่ลงนามนั้นเป็นใบรับรองที่เป็นของบริการที่เกี่ยวข้อง ใบรับรองมักจะประกอบด้วยช่องข้อมูลจำนวนหนึ่งซึ่งมีข้อมูลเกี่ยวกับชื่อของเซิร์ฟเวอร์ที่ออกใบรับรองและระยะเวลาที่มีผลบังคับใช้ของใบรับรองนี้ หากใบรับรองหมดอายุแสดงว่าเป็นโมฆะ

คำขอลงนาม (CSR, คำขอลงนามใบรับรอง)

หากต้องการรับใบรับรองเซิร์ฟเวอร์ที่ลงนามคุณจะต้องสร้างคำขอลายเซ็น (CSR, คำขอลงนามใบรับรอง) และส่งคำขอนี้ไปยังศูนย์อนุญาตซึ่งจะส่งคืนใบรับรองที่ลงนามซึ่งติดตั้งบนเซิร์ฟเวอร์โดยตรง ด้านล่างเราจะดูวิธีดำเนินการนี้ ในทางปฏิบัติ ขั้นแรก คีย์การเข้ารหัสจะถูกสร้างขึ้น จากนั้นคำขอลายเซ็นไฟล์ CSR จะถูกสร้างขึ้นตามคีย์นี้

ใบรับรองลูกค้า

สามารถสร้างใบรับรองไคลเอ็นต์สำหรับทั้งอุปกรณ์และการใช้งานของผู้ใช้ โดยทั่วไป ใบรับรองดังกล่าวใช้ในการยืนยันแบบสองทาง โดยที่ไคลเอนต์ตรวจสอบว่าเซิร์ฟเวอร์คือผู้ที่แจ้งไว้ และเซิร์ฟเวอร์ก็ทำเช่นเดียวกันเป็นการตอบแทน การโต้ตอบนี้เรียกว่าการรับรองความถูกต้องแบบสองทางหรือการรับรองความถูกต้องร่วมกัน การตรวจสอบสิทธิ์แบบสองทางช่วยเพิ่มระดับความปลอดภัยเมื่อเทียบกับการตรวจสอบสิทธิ์แบบทางเดียว และยังสามารถใช้แทนการตรวจสอบสิทธิ์โดยใช้การเข้าสู่ระบบและรหัสผ่านได้อีกด้วย

ห่วงโซ่การดำเนินการในการสร้างใบรับรอง

มาดูเชิงปฏิบัติว่าการดำเนินการที่เกี่ยวข้องกับการสร้างใบรับรองเกิดขึ้นตั้งแต่เริ่มต้นและในทางปฏิบัติอย่างไร

สิ่งแรกที่ต้องทำคือสร้างใบรับรองหลัก ใบรับรองหลักลงนามด้วยตนเอง จากนั้นใบรับรองอื่น ๆ จะถูกลงนามด้วยใบรับรองนี้

$ openssl genrsa -out root.key 2048 การสร้างคีย์ส่วนตัว RSA, โมดูลัสยาว 2048 บิต .......+++ ....... ............... ........+++ e คือ 65537 (0x10001) $ openssl req -new -key root.key -out root.csr คุณกำลังจะโดนขอให้ป้อนข้อมูลที่จะรวมอยู่ในคำขอใบรับรองของคุณ . สิ่งที่คุณกำลังจะป้อนคือสิ่งที่เรียกว่า Distinguished Name หรือ DN มีฟิลด์ค่อนข้างน้อยแต่คุณสามารถเว้นว่างไว้ได้ สำหรับบางฟิลด์จะมีค่าเริ่มต้น หากคุณป้อน "." ฟิลด์นั้นจะเว้นว่างไว้ ----- ชื่อประเทศ (รหัส 2 ตัวอักษร) :RU ชื่อรัฐหรือจังหวัด (ชื่อเต็ม) :N/A ชื่อท้องที่ (เช่น เมือง) :ชื่อองค์กรเซนต์ปีเตอร์สเบิร์ก (เช่น บริษัท) :บริษัทของฉัน ชื่อหน่วยองค์กร (เช่น ส่วน) :ชื่อสามัญของบริการไอที (เช่น เซิร์ฟเวอร์ FQDN หรือชื่อของคุณ) :ใบรับรองหลักของบริษัทของฉัน ที่อยู่อีเมล : [ป้องกันอีเมล]โปรดป้อนแอตทริบิวต์ "พิเศษ" ต่อไปนี้ที่จะส่งไปพร้อมกับคำขอใบรับรองของคุณ รหัสผ่านที่ท้าทาย : ชื่อบริษัทที่เป็นทางเลือก :บริษัทของฉัน $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem ลายเซ็น ok subject=/C=RU/ST=N/A/L=เซนต์ปีเตอร์สเบิร์ก/O=บริษัทของฉัน/OU=บริการด้านไอที/CN=ใบรับรองหลักบริษัทของฉัน/ [ป้องกันอีเมล]รับรหัสส่วนตัว

ดังนั้นเราจึงสร้างคีย์ส่วนตัวก่อน จากนั้นจึงขอลายเซ็น จากนั้นลงนามคำขอของเราเองด้วยคีย์ของเรา และได้รับใบรับรองดิจิทัลของเราเอง ซึ่งออกให้เป็นเวลา 10 ปี คุณไม่จำเป็นต้องป้อนรหัสผ่านท้าทายเมื่อสร้างใบรับรอง

รหัสส่วนตัวจะต้องเก็บไว้ในที่ปลอดภัย คุณสามารถลงนามใบรับรองในนามของคุณได้ และใบรับรองหลักที่เป็นผลลัพธ์สามารถใช้เพื่อระบุว่าใบรับรอง เช่น ของเซิร์ฟเวอร์นั้นลงนามโดยเรา ไม่ใช่โดยบุคคลอื่น สิ่งเหล่านี้คือการดำเนินการที่ศูนย์อนุญาตดำเนินการเมื่อสร้างใบรับรองของตนเอง หลังจากสร้างใบรับรองหลักแล้ว คุณสามารถเริ่มสร้างใบรับรองเซิร์ฟเวอร์ได้

ดูข้อมูลใบรับรอง

เนื้อหาของใบรับรองสามารถดูได้ดังต่อไปนี้:

$ openssl x509 -noout -issuer -enddate -in root.pem ผู้ออก= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/ [ป้องกันอีเมล] notAfter=22 มกราคม 11:49:41 2025 GMT

เราจะดูว่าใครเป็นผู้ออกใบรับรองนี้ และเมื่อวันหมดอายุหมดอายุ

ใบรับรองเซิร์ฟเวอร์

ในการลงนามใบรับรองสำหรับเซิร์ฟเวอร์ เราจำเป็นต้องทำดังต่อไปนี้:

1) สร้างคีย์
2) สร้างคำขอลายเซ็น
3) ส่งไฟล์ CSR ไปยังศูนย์อนุญาตหรือลงนามด้วยตนเอง

ใบรับรองเซิร์ฟเวอร์สามารถรวมสายของใบรับรองที่ลงนามใบรับรองเซิร์ฟเวอร์ แต่สามารถจัดเก็บไว้ในไฟล์แยกต่างหากได้ โดยหลักการแล้ว ทุกอย่างจะดูเหมือนกับตอนสร้างใบรับรองหลักโดยประมาณ

$ openssl genrsa -out server.key 2048 กำลังสร้างคีย์ส่วนตัว RSA, โมดูลัสยาว 2048 บิต ......................... ....... .................................................. . +++ .........................+++ e คือ 65537 (0x10001) $ openssl req -new -key server.key - out server .csr คุณจะถูกขอให้ป้อนข้อมูลที่จะรวมไว้ในคำขอใบรับรองของคุณ สิ่งที่คุณกำลังจะป้อนคือสิ่งที่เรียกว่า Distinguished Name หรือ DN มีฟิลด์ค่อนข้างน้อยแต่คุณสามารถเว้นว่างไว้ได้ สำหรับบางฟิลด์จะมีค่าเริ่มต้น หากคุณป้อน "." ฟิลด์นั้นจะเว้นว่างไว้ ----- ชื่อประเทศ (รหัส 2 ตัวอักษร) :RU ชื่อรัฐหรือจังหวัด (ชื่อเต็ม) :N/A ชื่อท้องที่ (เช่น เมือง) :ชื่อองค์กรเซนต์ปีเตอร์สเบิร์ก (เช่น บริษัท) :บริษัทของฉัน ชื่อหน่วยองค์กร (เช่น ส่วน) :ชื่อสามัญของบริการไอที (เช่น เซิร์ฟเวอร์ FQDN หรือชื่อของคุณ) :www.mycompany.com ที่อยู่อีเมล : [ป้องกันอีเมล]โปรดป้อนแอตทริบิวต์ "พิเศษ" ต่อไปนี้ที่จะส่งไปพร้อมกับคำขอใบรับรองของคุณ รหัสผ่านที่ท้าทาย : ชื่อบริษัทที่เป็นทางเลือก : $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server pem -days 365 ลายเซ็น ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/ [ป้องกันอีเมล]รับคีย์ส่วนตัวของ CA $ openssl x509 -noout -issuer -subject -enddate -in server.pem ผู้ออก= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN =ใบรับรองหลักบริษัทของฉัน/ [ป้องกันอีเมล] subject= /C=RU/ST=N/A/L=Saint-Petersburg/O=บริษัทของฉัน/OU=IT Service/CN=www.mycompany.com/emailAd [ป้องกันอีเมล] notAfter=25 มกราคม 12:22:32 2016 GMT

วิธีนี้เป็นการลงนามใบรับรองเซิร์ฟเวอร์ และเราจะทราบว่าองค์กรใดออกใบรับรองนี้ หลังจากการลงนามแล้ว ใบรับรองที่เสร็จสมบูรณ์จะสามารถนำมาใช้ตามวัตถุประสงค์ที่ต้องการได้ เช่น ติดตั้งบนเว็บเซิร์ฟเวอร์

การติดตั้งใบรับรอง SSL/TLS บนเซิร์ฟเวอร์ด้วย nginx

หากต้องการติดตั้งใบรับรอง SSL/TLS บนเว็บเซิร์ฟเวอร์ nginx คุณต้องทำตามขั้นตอนง่ายๆ ไม่กี่ขั้นตอน:

1) คัดลอกไฟล์ .key และ .pem ไปยังเซิร์ฟเวอร์ บนระบบปฏิบัติการที่แตกต่างกัน ใบรับรองและคีย์อาจถูกจัดเก็บไว้ในไดเร็กทอรีที่แตกต่างกัน ตัวอย่างเช่น ใน Debian นี่คือไดเร็กทอรี /etc/ssl/certs สำหรับใบรับรอง และ /etc/ssl/private สำหรับคีย์ บน CentOS นี่คือ /etc/pki/tls/certs และ /etc/pki/tls/private

2) เขียนการตั้งค่าที่จำเป็นในไฟล์กำหนดค่าสำหรับโฮสต์ นี่คือสิ่งที่ควรมีลักษณะโดยประมาณ (เป็นเพียงตัวอย่าง):

เซิร์ฟเวอร์ ( ฟัง 443; server_name www.mycompany.com; root html; ดัชนี index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # SSLv3 ไม่แนะนำ !!! # อยู่ที่นี่ ตัวอย่างเช่นเฉพาะ ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; location / ( try_files $uri $uri/ =404; ) )

3) รีสตาร์ท nginx

4) ไปที่พอร์ตเซิร์ฟเวอร์ 443 ด้วยเบราว์เซอร์ - https://www.mycompany.com และตรวจสอบฟังก์ชันการทำงาน

การติดตั้งใบรับรอง SSL/TLS บนเซิร์ฟเวอร์ที่ใช้ Apache

การติดตั้งใบรับรอง SSL/TLS บน Apache มีลักษณะคล้ายกัน

1) คัดลอกไฟล์คีย์และใบรับรองไปยังเซิร์ฟเวอร์ในไดเร็กทอรีที่เหมาะสม

2) เปิดใช้งานโมดูล ssl สำหรับ Apache ด้วยคำสั่ง “a2enmod ssl” หากยังไม่ได้เปิดใช้งาน

3) สร้างโฮสต์เสมือนที่จะฟังพอร์ต 443 การกำหนดค่าจะมีลักษณะดังนี้:

ผู้ดูแลระบบเซิร์ฟเวอร์ [ป้องกันอีเมล] DocumentRoot /var/www ตัวเลือก FollowSymLinks AllowOverride ไม่มี ตัวเลือกดัชนี FollowSymLinks MultiViews AllowOverride ไม่มี คำสั่งซื้ออนุญาตปฏิเสธอนุญาตจากทั้งหมด ScriptAlias ​​​​/cgi-bin/ /usr/lib/cgi-bin/ ตัวเลือก AllowOverride ไม่มี + ExecCGI - MultiViews + SymLinksIfOwnerMatch ลำดับอนุญาตปฏิเสธอนุญาตจากทั้งหมด ErrorLog $(APACHE_LOG_DIR)/error.log LogLevel เตือน CustomLog $(APACHE_LOG_DIR)/ssl_access.log รวม SSLEngine บน SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificateKeyFile /etc/ssl/private/server.key # คำสั่งนี้เพิ่ม ไฟล์ที่มีรายการ # ของใบรับรองทั้งหมดที่ลงนามใบรับรองเซิร์ฟเวอร์ #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions +StdEnvVars SSLOptions +StdEnvVars BrowserMatch "MSIE" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 บังคับตอบสนอง-1.0 BrowserMatch "MSIE" ssl-unclean-shutdown

ในขณะเดียวกันก็มีอย่างอื่นที่ต้องทำ ค้นหาไฟล์ httpd.conf หรือ apache2.conf หรือ ports.conf ขึ้นอยู่กับระบบในส่วนการกำหนดค่าต่อไปนี้:

ฟัง 443

หากไม่มีเงื่อนไขดังกล่าว จะต้องเพิ่มเงื่อนไขดังกล่าวในการกำหนดค่า และอีกอย่างหนึ่ง: คุณต้องเพิ่มบรรทัด

ชื่อ VirtualHost *:443

บรรทัดนี้อาจอยู่ในไฟล์ httpd.conf, apache2.conf หรือ ports.conf

4) รีสตาร์ทเว็บเซิร์ฟเวอร์ Apache

การสร้างใบรับรองไคลเอ็นต์

ใบรับรองไคลเอ็นต์ถูกสร้างขึ้นในลักษณะเดียวกับใบรับรองเซิร์ฟเวอร์

$ openssl genrsa -out client.key 2048 การสร้างคีย์ส่วนตัว RSA, โมดูลัสยาว 2048 บิต ........................+++ ..... .........................................+++ e คือ 65537 (0x10001) $ openssl req -new -key client.key -out client.csr คุณกำลังจะถูกขอให้ป้อนข้อมูลที่จะรวมอยู่ในคำขอใบรับรองของคุณ สิ่งที่คุณกำลังจะป้อนคือสิ่งที่เรียกว่า Distinguished Name หรือ DN มีฟิลด์ค่อนข้างน้อยแต่คุณสามารถเว้นว่างไว้ได้ สำหรับบางฟิลด์จะมีค่าเริ่มต้น หากคุณป้อน "." ฟิลด์นั้นจะเว้นว่างไว้ ----- ชื่อประเทศ (รหัส 2 ตัวอักษร) :RU ชื่อรัฐหรือจังหวัด (ชื่อเต็ม) :เซนต์ปีเตอร์สเบิร์ก ชื่อท้องถิ่น (เช่น เมือง) :^C mnorin@mnorin-work:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr คุณกำลังจะถูกขอให้ป้อนข้อมูลที่จะรวมอยู่ในคำขอใบรับรองของคุณ สิ่งที่คุณกำลังจะป้อนคือสิ่งที่เรียกว่า Distinguished Name หรือ DN มีฟิลด์ค่อนข้างน้อยแต่คุณสามารถเว้นว่างไว้ได้ สำหรับบางฟิลด์จะมีค่าเริ่มต้น หากคุณป้อน "." ฟิลด์นั้นจะเว้นว่างไว้ ----- ชื่อประเทศ (รหัสตัวอักษร 2 ตัว) :RU ชื่อรัฐหรือจังหวัด (ชื่อเต็ม) :N/A ชื่อท้องที่ (เช่น เมือง) :ชื่อองค์กรเซนต์ปีเตอร์สเบิร์ก (เช่น บริษัท) :บริษัทของฉัน ชื่อหน่วยองค์กร (เช่น ส่วน) :ชื่อสามัญทางวิศวกรรม (เช่น เซิร์ฟเวอร์ FQDN หรือชื่อของคุณ) :Ivan Ivanov ที่อยู่อีเมล : [ป้องกันอีเมล]โปรดป้อนแอตทริบิวต์ "พิเศษ" ต่อไปนี้ที่จะส่งไปพร้อมกับคำขอใบรับรองของคุณ รหัสผ่านที่ท้าทาย : ชื่อบริษัทที่เป็นทางเลือก : $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client pem -วัน 365 ลายเซ็น ok subject=/C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/ [ป้องกันอีเมล]รับคีย์ส่วนตัวของ CA $ openssl x509 -noout -issuer -subject -enddate -in client.pem ผู้ออก= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN =ใบรับรองหลักบริษัทของฉัน/ [ป้องกันอีเมล] subject= /C=RU/ST=N/A/L=Saint-Petrersburg/O=บริษัทของฉัน/OU=วิศวกรรม/CN=Ivan Ivanov/อีเมล [ป้องกันอีเมล] notAfter=25 มกราคม 13:17:15 2016 GMT

หากคุณต้องการใบรับรองไคลเอ็นต์ในรูปแบบ PKCS12 ให้สร้างใบรับรองดังกล่าว:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 ป้อนรหัสผ่านการส่งออก: กำลังยืนยัน - ป้อนรหัสผ่านการส่งออก:

ตอนนี้คุณสามารถใช้ใบรับรองไคลเอ็นต์เพื่อทำงานกับเซิร์ฟเวอร์ของเราได้แล้ว

การกำหนดค่า nginx เพื่อใช้ใบรับรองไคลเอ็นต์

อย่างที่ฉันบอกไปแล้วว่ามีการใช้การรับรองความถูกต้องแบบทางเดียวบ่อยที่สุด โดยปกติจะมีการตรวจสอบเฉพาะใบรับรองเซิร์ฟเวอร์เท่านั้น เรามาดูวิธีการบังคับให้เว็บเซิร์ฟเวอร์ nginx ตรวจสอบใบรับรองไคลเอ็นต์ จำเป็นต้องเพิ่มตัวเลือกให้กับส่วนเซิร์ฟเวอร์เพื่อทำงานกับใบรับรองไคลเอ็นต์:

# ใบรับรองหลักที่ไคลเอนต์ลงนาม ssl_client_certificate /etc/nginx/certs/clientroot.pem; # ตัวเลือกที่เป็นไปได้: บน | ปิด | ไม่จำเป็น | option_no_ca ssl_verify_client เป็นทางเลือก; # ความลึกของการตรวจสอบห่วงโซ่ใบรับรองที่ลูกค้าลงนาม ssl_verify_deep 2;

หลังจากนี้คุณจะต้องรีบูตการตั้งค่าหรือเซิร์ฟเวอร์ทั้งหมดและคุณสามารถตรวจสอบการทำงานได้

การกำหนดค่า Apache เพื่อใช้ใบรับรองไคลเอ็นต์

Apache ยังสามารถกำหนดค่าได้โดยเพิ่มตัวเลือกเพิ่มเติมให้กับส่วนโฮสต์เสมือน:

# ไดเร็กทอรีที่มีใบรับรองหลักสำหรับการตรวจสอบไคลเอ็นต์ SSLCARevocationPath /etc/apache2/ssl.crl/ # หรือไฟล์ที่มีใบรับรอง SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl # ตัวเลือกการตรวจสอบไคลเอ็นต์ ตัวเลือกที่เป็นไปได้: # ไม่มี, เป็นทางเลือก, ต้องการ และ option_no_ca SSLVerifyClient ต้องการ # ดูความลึกของห่วงโซ่ลายเซ็น ค่าเริ่มต้น 1 SSLVerifyDepth 2

อย่างที่คุณเห็นตัวเลือกต่างๆ นั้นใกล้เคียงกับ nginx โดยประมาณ เนื่องจากกระบวนการตรวจสอบได้รับการจัดระเบียบอย่างสม่ำเสมอ

การฟังข้อมูลใบรับรองโดยใช้ openssl

หากต้องการทดสอบว่าเซิร์ฟเวอร์โต้ตอบกับใบรับรองไคลเอ็นต์อย่างไร คุณสามารถตรวจสอบได้ว่าการเชื่อมต่อถูกสร้างขึ้นโดยใช้ TLS/SSL หรือไม่

ที่ฝั่งเซิร์ฟเวอร์ เราเริ่มฟังบนพอร์ตโดยใช้ openssl:

Opensl s_server - ยอมรับ 443 -cert server.pem -key server.key -state

ในฝั่งไคลเอ็นต์ เราเข้าถึงเซิร์ฟเวอร์ เช่น ด้วย culr:

Curl -k https://127.0.0.1:443

ในคอนโซลฝั่งเซิร์ฟเวอร์ คุณสามารถสังเกตกระบวนการแลกเปลี่ยนข้อมูลระหว่างเซิร์ฟเวอร์และไคลเอนต์ได้

คุณยังสามารถใช้ตัวเลือก -ตรวจสอบ [ความลึกของการตรวจสอบ] และ -ตรวจสอบ [ความลึกของการตรวจสอบ] ตัวเลือกกรณีเล็กจะขอใบรับรองจากไคลเอ็นต์ แต่ไม่จำเป็นต้องจัดเตรียมไว้ ตัวพิมพ์ใหญ่ - หากไม่ได้ระบุใบรับรอง จะเกิดข้อผิดพลาด มาเริ่มฟังทางฝั่งเซิร์ฟเวอร์กันดีกว่า:

Opensl s_server - ยอมรับ 443 -cert server.pem -key server.key -state -Verify 3

จากฝั่งเซิร์ฟเวอร์ข้อผิดพลาดจะมีลักษณะดังนี้:

140203927217808:error:140890C7:SSL รูทีน:SSL3_GET_CLIENT_CERTIFICATE:peer ไม่ได้ส่งคืนใบรับรอง:s3_srvr.c:3287:

จากฝั่งไคลเอ็นต์เช่นนี้:

Curl: (35) ข้อผิดพลาด: 14094410: รูทีน SSL: SSL3_READ_BYTES: sslv3 แจ้งเตือนการจับมือกันล้มเหลว

มาเพิ่มใบรับรองและชื่อโดเมนในฝั่งไคลเอ็นต์ (คุณสามารถป้อนชื่อโฮสต์สำหรับที่อยู่ 127.0.0.1 ในไฟล์ /etc/hosts เพื่อตรวจสอบ):

Curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

ขณะนี้การเชื่อมต่อจะสำเร็จและคุณสามารถติดตั้งใบรับรองเซิร์ฟเวอร์บนเว็บเซิร์ฟเวอร์ มอบใบรับรองไคลเอ็นต์ให้กับไคลเอ็นต์ และทำงานร่วมกับใบรับรองเหล่านั้นได้

ความปลอดภัย

เมื่อใช้ SSL/TLS หนึ่งในวิธีหลักคือวิธี MITM (Man In The Middle) วิธีการนี้อาศัยการใช้ใบรับรองเซิร์ฟเวอร์และคีย์บนบางโหนดที่จะรับฟังการรับส่งข้อมูลและถอดรหัสข้อมูลที่แลกเปลี่ยนระหว่างเซิร์ฟเวอร์และไคลเอนต์ หากต้องการจัดระเบียบการฟัง คุณสามารถใช้โปรแกรม sslsniff เป็นต้น ดังนั้นจึงแนะนำให้เก็บใบรับรองหลักและคีย์ไว้ในเครื่องที่ไม่ได้เชื่อมต่อกับเครือข่าย สำหรับการลงนาม ให้นำคำขอลายเซ็นมาไว้ในแฟลชไดรฟ์ ลงชื่อ และนำออกไปด้วย และแน่นอนว่าต้องสำรองข้อมูลด้วย

โดยทั่วไป นี่คือวิธีการใช้ใบรับรองดิจิทัลและโปรโตคอล TLS และ SSL หากคุณมีคำถาม/ข้อมูลเพิ่มเติม โปรดเขียนความคิดเห็น

รายการถูกเผยแพร่โดยผู้เขียนในหมวดหมู่ที่ติดแท็ก ,

การนำทางโพสต์

: 29 ความคิดเห็น

  1. cl-service.com

    ไคลเอนต์สร้าง CSR เองเมื่อสั่งซื้อใบรับรอง โดยที่ลูกค้าตัดสินใจจัดเก็บคีย์ส่วนตัวด้วย ในการออกใบรับรอง เราไม่จำเป็นต้องใช้คีย์ส่วนตัว และไคลเอนต์ไม่ได้มอบมันให้กับเราในทางใดทางหนึ่ง โดยปกติหากสิ่งนี้เกิดขึ้นบนเซิร์ฟเวอร์เสมือนปกติ ผู้ดูแลระบบที่มีสิทธิ์การเข้าถึงรูทไปยังเซิร์ฟเวอร์ก็สามารถเข้าถึงคีย์ที่เก็บไว้ที่นั่นได้เช่นกัน

  2. ผู้หวังดี.

    ไม่ครอบคลุมหัวข้อเรื่องหน้าอก เนื่องจากเทคโนโลยี PKI ที่อธิบายไว้ไม่เกี่ยวข้องกับชื่อหัวข้อ อย่างน้อยก็ด้วยเหตุผลที่ดีที่ฉันให้ลิงก์ไปยัง rfc
    ป.ล. มีเรื่องตลกเกี่ยวกับสุนัขและหมัด

  3. ผู้หวังดี.

    ฉันไม่ได้ตั้งใจจะทำให้คุณขุ่นเคืองแต่อย่างใด ฉันกำลังมองหาข้อมูลเกี่ยวกับความแตกต่างระหว่าง SSL และ TLS ในทางปฏิบัติ และลิงก์ของคุณเป็นลิงก์แรกใน Google ฉันรู้สึกทึ่งกับชื่อหัวข้อ ทุกอย่างเจ๋ง ติดตามมัน!

  4. ดร.ไอโบลิท

    ขอขอบคุณสำหรับคำอธิบายเชิงลึกเกี่ยวกับการรับรองดิจิทัล ฉันยังใหม่กับสิ่งนี้ =)
    ฉันหวังว่าคุณจะสามารถชี้แจงคำถามต่อไปนี้ได้
    เนื่องจากหัวข้อเรื่องการฉ้อโกงได้รับการพัฒนาอย่างมากในอุตสาหกรรมอินเทอร์เน็ต ฉันต้องการเรียนรู้วิธีระบุ “เหา” ของเว็บไซต์ที่ฉันเยี่ยมชมด้วยตัวเอง (โดยเฉพาะอย่างยิ่งเมื่อมีเงินสดและการชำระเงิน การลงทุน ฯลฯ) และขึ้นอยู่กับ สิ่งนี้กำหนดระดับความไว้วางใจของฉัน (ฉันต้องลงทะเบียนบ่อยครั้ง ทิ้งข้อมูลส่วนบุคคล ทำการซื้อ ทำธุรกรรม ลงทุน) หากฉันเข้าใจถูกต้อง การมีใบรับรองนี้จะทำให้คุณสามารถประเมินได้ ในทางกลับกัน การได้รับมันไม่ใช่ปัญหา และยังฟรีอีกด้วย
    คุณจะทราบได้อย่างไรว่าเว็บไซต์มีใบรับรองดิจิทัลหรือไม่ด้วยโปรแกรมใด และควรเป็นหมวดหมู่ซึ่งกำหนดเมื่อหน่วยงานพิเศษออก SSL DV (ใบรับรองออกพร้อมการตรวจสอบโดเมนเท่านั้น), SSL OV (พร้อมการตรวจสอบองค์กร), EV (พร้อมการตรวจสอบเพิ่มเติมของนิติบุคคล) ไซต์ที่ฉ้อโกงมักจะไม่ใช้ตัวเลือกการรับรองล่าสุด
    ฉันจะดีใจถ้าคุณบอกวิธีเพิ่มเติมในการพิจารณาความน่าเชื่อถือของไซต์))

    1. มโนรินผู้เขียนโพสต์

      ฉันยังไม่พบโปรแกรมเฉพาะใดๆ สำหรับวัตถุประสงค์เหล่านี้ แต่ฉันสามารถให้คำแนะนำสองสามข้อเกี่ยวกับเรื่องนี้ได้
      คุณสามารถใช้ Chromium หรือ Google Chrome ได้ ตัวอย่างเช่น ไซต์ https://www.thawte.com/ ซึ่งเป็นบริษัทที่เกี่ยวข้องกับใบรับรองดิจิทัลจริงๆ
      แถบที่อยู่จะมีชื่อบริษัทและแม่กุญแจสีเขียว ซึ่งหมายความว่าองค์กรได้รับการยืนยันแล้ว ซึ่งก็คือ SSL OV เป็นอย่างน้อย
      หากคุณคลิกที่ล็อคและในหน้าต่างแบบเลื่อนลง "รายละเอียด" จากนั้นเลือก "ดูใบรับรอง" คุณสามารถดูข้อมูลเกี่ยวกับใบรับรองได้ สำหรับ Thawte ใบรับรองจะลงนามโดยใบรับรองต่อไปนี้: “thawte Extended Validation SHA256 SSL CA” และใบรับรองสำหรับ click.alfabank.ru ก็ลงนามโดย Thawte เช่นกัน แต่มีใบรับรองอื่น นี่คือ "thawte EV SSL CA - G3" นั่นคือพวกเขายังผ่านการตรวจสอบเพิ่มเติมด้วย
      บางอย่างเช่นนี้

  5. รุสลัน

    ส่วน “วิธีการทำงานของ SSL และ TLS” “ไคลเอนต์สร้างลำดับดิจิทัลแบบสุ่ม”

    ฉันแน่ใจว่าไคลเอนต์สร้างเซสชั่นส่วนตัวและกุญแจสาธารณะตามลำดับ (ซึ่งเห็นได้ชัดว่าคุณเรียกว่า "ลำดับดิจิทัล") รหัสสาธารณะจะถูกส่งไปยังเซิร์ฟเวอร์ และเซิร์ฟเวอร์จะเข้ารหัสแพ็กเก็ตไปยังไคลเอ็นต์ด้วยรหัสสาธารณะเซสชันของไคลเอ็นต์

    กรุณาชี้แจง.

  6. มือใหม่

    บทความนี้มีประโยชน์มาก! มีตัวอย่างที่ใช้งานได้จริง =) แต่ฉันไม่เข้าใจสิ่งหนึ่ง - อะไรคือความแตกต่างระหว่างใบรับรองหลักและใบรับรองเซิร์ฟเวอร์? หรือมันคือสิ่งเดียวกัน?

  7. วิทาลี

    สวัสดี
    ผู้ให้บริการโฮสต์เสนอบริการ - SSL สำหรับเซิร์ฟเวอร์เสมือน เราใช้ประโยชน์จากมัน ปรากฎว่าสำหรับระดับที่สามคือ ใบรับรอง http://www.site.ru ไม่ถูกต้อง เฉพาะสำหรับ site.ru เท่านั้น นอกจากนี้ ผู้เยี่ยมชมยังสลับไปใช้โปรโตคอล https อย่างต่อเนื่อง ไม่ว่าพวกเขาจะไปที่ site.ru หรือ http://www.site.ru ก็ตาม แน่นอนว่าในกรณีที่สองเบราว์เซอร์เริ่มสาบานอย่างสุดหัวใจและผู้เยี่ยมชมไม่เคยไปที่ไซต์เลย
    แต่สำหรับผู้ที่เข้าไปที่ไซต์นั้น ไซต์เริ่มดูบิดเบี้ยว เมนูบางส่วนหายไป และรูปภาพบางส่วนในผลการค้นหาหยุดแสดงโดยส่วนประกอบบางส่วน

ซอฟต์แวร์ TLS VPN ทวีป– ระบบสำหรับการเข้าถึงเว็บแอปพลิเคชันระยะไกลอย่างปลอดภัยโดยใช้อัลกอริธึมการเข้ารหัส GOST TLS VPN ของทวีปให้การป้องกันการเข้ารหัสของการรับส่งข้อมูล HTTP ในระดับเซสชัน ข้อมูลถูกเข้ารหัสโดยใช้อัลกอริทึม GOST 28147–89

การระบุและการรับรองความถูกต้องของผู้ใช้ระยะไกล

การระบุและการรับรองความถูกต้องของผู้ใช้ดำเนินการโดยใช้ใบรับรองคีย์สาธารณะของมาตรฐาน x.509v3 (GOST R 31.11–94, 34.10–2001) TLS VPN ของทวีปจะตรวจสอบใบรับรองคีย์กับรายการเพิกถอนใบรับรอง (CRL) ใบรับรองจะออกโดยหน่วยงานออกใบรับรองภายนอก

หากขั้นตอนการรับรองความถูกต้องเสร็จสมบูรณ์ คำขอของผู้ใช้จะถูกเปลี่ยนเส้นทางผ่าน HTTP ไปยังเครือข่ายที่ปลอดภัยไปยังเว็บเซิร์ฟเวอร์ที่เหมาะสม ในกรณีนี้ ตัวระบุพิเศษ (ตัวระบุไคลเอ็นต์และตัวระบุ IP) จะถูกเพิ่มในเซสชัน HTTP ของผู้ใช้แต่ละราย

การป้องกันการเข้ารหัสข้อมูลที่ส่ง

TLS VPN ของทวีปให้การป้องกันการเข้ารหัสของการรับส่งข้อมูล HTTP ในระดับเซสชัน ข้อมูลถูกเข้ารหัสโดยใช้อัลกอริทึม GOST 28147–89 ฟังก์ชันแฮชคำนวณโดยใช้อัลกอริทึม GOST R 34.11–94, GOST R 34.11–2012 การสร้างและการตรวจสอบลายเซ็นอิเล็กทรอนิกส์ดำเนินการตามอัลกอริทึม GOST R 34.10–2001, GOST R 34.10–2012

การซ่อนเซิร์ฟเวอร์ที่ได้รับการป้องกันและการแปลที่อยู่

TLS VPN ของทวีปจะกรองคำขอและส่งที่อยู่คำขอไปยังเว็บเซิร์ฟเวอร์บนเครือข่ายองค์กร การแปลที่อยู่ดำเนินการตามกฎที่กำหนดโดยผู้ดูแลระบบ “Continent TLS VPN”

ความทนทานต่อข้อผิดพลาดและความสามารถในการขยายขนาด

TLS VPN ของทวีปรองรับการทำงานในการออกแบบคลัสเตอร์ประสิทธิภาพสูงพร้อมการทำโหลดบาลานซ์ (โหลดบาลานเซอร์ภายนอก) ความทนทานต่อข้อผิดพลาดที่เพิ่มขึ้นทำได้โดยการเพิ่มโหนดสำรองให้กับคลัสเตอร์ ในเวลาเดียวกัน การขยายองค์ประกอบคลัสเตอร์ที่สมดุลสามารถดำเนินการได้ไม่จำกัด ความล้มเหลวขององค์ประกอบคลัสเตอร์ไม่ได้นำไปสู่การเชื่อมต่อที่เสียหาย เนื่องจากโหลดมีการกระจายอย่างสม่ำเสมอระหว่างองค์ประกอบที่เหลือ

การตรวจสอบและบันทึกเหตุการณ์

ใน Continent TLS VPN ผู้ดูแลระบบสามารถรับข้อมูลการดำเนินงานเกี่ยวกับสถานะปัจจุบันของการเชื่อมต่อที่สร้างขึ้นและสถิติในการดำเนินงานได้ตลอดเวลา เหตุการณ์ความปลอดภัยของข้อมูลถูกบันทึกไว้บนเซิร์ฟเวอร์ เหตุการณ์ทั้งหมดสามารถส่งไปยังเซิร์ฟเวอร์ที่ระบุในรูปแบบ syslog เพื่อการวิเคราะห์เพิ่มเติม ซึ่งทำให้การรวมเข้ากับระบบ SIEM ง่ายที่สุด

เครื่องมือการจัดการที่สะดวก

การผสมผสานระหว่างเครื่องมือภายในและระยะไกลพร้อมอินเทอร์เฟซเว็บและคอนโซลการจัดการแบบกราฟิกที่สะดวกสบาย ช่วยให้การกำหนดค่า Continent TLS VPN มีความยืดหยุ่นตามข้อกำหนดของนโยบายความปลอดภัย

โปรโตคอลที่รองรับ

TLS VPN ของทวีปรองรับโปรโตคอล TLS v.1, TLS v.2

ประสบการณ์ผู้ใช้ผ่านเว็บเบราว์เซอร์ใดก็ได้

การใช้แอปพลิเคชัน Continent TLS VPN Client ผู้ใช้สามารถเข้าถึงทรัพยากรที่ได้รับการป้องกันจากเว็บเบราว์เซอร์ใดก็ได้ ไคลเอนต์ TLS VPN ของทวีปเป็นพร็อกซีในเครื่อง สกัดกั้นการรับส่งข้อมูลของเบราว์เซอร์ไปยังเว็บเซิร์ฟเวอร์ที่ได้รับการป้องกัน และแพ็คลงในอุโมงค์ http ด้วยเหตุนี้ ผู้ใช้สามารถทำงานกับเว็บเบราว์เซอร์ใดก็ได้ที่ติดตั้งบนอุปกรณ์ของเขา

การใช้ไคลเอนต์ซอฟต์แวร์ที่เป็นมิตรต่อผู้ใช้

การใช้ไคลเอ็นต์ซอฟต์แวร์ที่เป็นมิตรต่อผู้ใช้ Continent TLS VPN Client หรือ CryptoPro CSP เวอร์ชัน 3.6.1 สามารถใช้เป็นไคลเอ็นต์บนอุปกรณ์ของผู้ใช้ได้

โปรแกรม Continent TLS ช่วยให้ผู้ใช้สามารถเข้าถึงทรัพยากรบนเว็บได้อย่างปลอดภัย ข้อมูลสำคัญจะถูกจัดเก็บไว้ในคอนเทนเนอร์ที่ปลอดภัย

การใช้งาน

ผู้ใช้เครือข่ายองค์กรสามารถเข้าถึงทรัพยากรเฉพาะบนอินเทอร์เน็ตจากระยะไกลและปลอดภัยได้แล้ว ในระหว่างการสร้างการเชื่อมต่อ จะมีการตรวจสอบความถูกต้องร่วมกันกับเซิร์ฟเวอร์ หากต้องการเข้าถึง คุณต้องป้อนที่อยู่ไซต์ในเบราว์เซอร์ของคุณ เป็นผลให้ไคลเอนต์ประมวลผลและส่งคำขอไปยังเซิร์ฟเวอร์เพื่อสร้างการเชื่อมต่อที่ปลอดภัย การรับรองความถูกต้องมีให้ตามใบรับรองหลัก

ความสามารถของไคลเอ็นต์

โปรโตคอลการเชื่อมต่อระหว่างเซิร์ฟเวอร์และไคลเอนต์คือ TLSv1 ทรัพยากรที่สร้างผู้ติดต่อที่ปลอดภัยจะต้องมีค่า TLS ในชื่อเซิร์ฟเวอร์ หากทุกอย่างถูกต้องจอแสดงผลจะแสดงใบรับรองที่สามารถอัปเดตได้โดยการกดปุ่มที่เหมาะสม คุณสามารถจดจำข้อมูลเข้าสู่ระบบและรหัสผ่านของคุณโดยอัตโนมัติเมื่อเข้าสู่ระบบ เป็นที่น่าสังเกตว่าหากคุณป้อนข้อมูลเท็จ 5 ครั้งติดต่อกันระหว่างขั้นตอนการอนุญาต ระบบจะถูกบล็อกโดยอัตโนมัติ คุณสามารถป้อนข้อมูลใหม่ได้หลังจากผ่านไป 10 นาทีเท่านั้น

คุณสมบัติที่สำคัญ

  • โปรแกรมนี้เข้ากันได้กับ Windows ทุกรุ่นอย่างสมบูรณ์
  • ระหว่างการใช้งานจะมีการป้องกันที่เชื่อถือได้ระหว่างผู้ใช้องค์กร
  • ลูกค้าดังกล่าวเป็นทางออกที่ดีที่สุดเมื่อมีการแลกเปลี่ยนข้อมูลและการรั่วไหลของข้อมูลเป็นสิ่งที่ยอมรับไม่ได้
  • ในการเข้าสู่ระบบคุณจะต้องป้อนข้อมูลของคุณ (เข้าสู่ระบบและรหัสผ่าน) และเรียกใช้รหัสที่ได้รับการรับรอง
  • งานจะดำเนินการกับเซิร์ฟเวอร์ที่รองรับโปรโตคอล TLSv1 และ TLSv1.2 เท่านั้น


ไม่พบคำตอบสำหรับคำถามของคุณ? ดูที่นี่
วิธีสมัครรับข้อมูลผู้ติดต่อที่คุณสนใจวิธีสมัครรับข้อมูลผู้ติดต่อที่คุณสนใจ
การกู้คืนบัญชีการกู้คืนบัญชี Google: คำแนะนำทีละขั้นตอน
สวมใส่'t Starve: консольные командыDon't Starve: คำสั่งคอนโซล