- Настройка SSL/TLS в операционной системе Windows
- Настройка SSL/TLS в операционной системе Linux
- Установка версий защищённого протокола на стороне сервера JAS
- Настройка SSL-подключения на API-интерфейсах сервера JAS
- Настройка SSL/TLS на стороне клиентов
- Настройка SSL/TLS на стороне компонента JOL
- Настройка SSL/TLS в JAS для связи с ресурсной системой
В JAS реализована поддержка следующих версий протоколов защиты транспортного уровня:
- SSL 3.0;
- TLS 1.0;
- TLS 1.1;
- TLS 1.2.
По умолчанию в JAS включена поддержка TLS 1.0, TLS 1.1 и TLS 1.2.. Техническая возможность использования того или иного протокола и его автоматический выбор будет зависеть от следующих параметров (Табл. 19, ниже).
Табл. 19 – Объекты настройки для обеспечения защищенного соединения компонентов JAS по SSL/TLS
Объект настройки | Раздел настоящего документа |
|---|---|
Операционная система Windows | «Настройка SSL/TLS в операционной системе», с. 97 |
Операционная система Linux | «Настройка SSL/TLS в операционной системе Linux», c. 97 |
Сервер JAS (поддержка версии протокола) | «Установка версий защищённого протокола на стороне сервера JAS», с. 98 |
Сервер JAS (настройка SSL/TLS на API-интерфейсах) | «Настройка SSL-подключения на API-интерфейсах сервера JAS», с. 98 В частности разделы: · «Настройка SSL-подключения сервера JMS к серверу JAS (AdministrationService API)» · «Настройка SSL/TLS на интерфейсе AuthenticationService» |
JAS-плагины NPS и AD FS | «Настройка SSL/TLS на стороне клиентов», с. 102 |
Компонент JOL | «Настройка SSL/TLS на стороне компонента JOL», с. 102 |
Таким образом, для обеспечения поддержки этих протоколов необходимо выполнить ряд настроек как на стороне сервера JAS, так и на другой стороне соединения (Рис. 75).
Рис. 75 – Схема настроек SSL/TLS на сторонах – участниках защищенного соединения
Настройка SSL/TLS в операционной системе Windows
Операционная система Windows на клиентах JAS (JAS-плагины NPS, AD FS, MS RDG, JOL), а также на почтовом сервере (если он работает под управлением ОС Windows) должна поддерживать требуемый протокол SSL/TLS. Настройки поддержки протоколов на уровне ОС задаются в разделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
Для настройки протоколов SSL/TLS в операционной системе обратитесь к ее документации.
После редактирования реестра с целью настройки SSL/TLS необходимо перезагрузить операционную систему.
Настройка SSL/TLS в операционной системе Linux
Операционная система Linux на соответствующих компонентах системы (сервер JAS, JMS, почтовый сервер, сервер СУБД) должна поддерживать требуемый протокол SSL/TLS.
Проверку текущего набора поддерживаемых протоколов можно выполнить соответствующей командой OpenSSL в используемой версии Linux, например:
openssl ciphers -v | awk '{print $2}' | sort | uniqПример выдачи такой команды:
Рис. 76 – Пример выдачи при проверке поддерживаемых протоколов SSL/TLS в ОС Linux
Для настройки протоколов SSL/TLS в операционной системе обратитесь к ее документации.
Установка версий защищённого протокола на стороне сервера JAS
Для настройки протоколов защиты транспортного уровня исходящих соединений сервера JAS на его хосте откройте на редактирование конфигурационный файл /etc/aladdin/jas-engine/AppSettings.json и в секции "Name": "Engine" проверьте значение параметра "SecurityProtocols", например:
{ "Name": "Engine", "Settings": { "ID": "{02707361-31a2-42d0-b664-2dc5e8d41023}", "SecurityProtocols": "Tls, Tls11, Tls12" ... }{В данном параметр указывается список поддерживаемых протоколов шифрования для обмена данных между сетевыми узлами. Значения перечисляются через запятую (например: "Ssl3, Tls, Tls11, Tls12"). Допустимые значения:
- Ssl3;
- Tls;
- Tls11;
- Tls12.
Значение по умолчанию: "Tls, Tls11, Tls12"
При необходимости выполните редактирование значения параметра и перезагрузите процесс сервера JAS командой:
systemctl restart jas-engineНастройка SSL-подключения на API-интерфейсах сервера JAS
Для обеспечения поддержки защищенных протоколов SSL/TLS необходимо выполнить ряд настроек в API-интерфейсах сервера JAS (Рис. 77).
Рис. 77 – Схема настройки SSL на API-интерфейсах компонентов JAS/MS
Перед настройкой SSL в JAS необходимо выпустить SSL-сертификат сервера JAS. В случае если для подключения по SSL/TLS со стороны сервера JMS (интерфейс AdministrationService API) и клиентов (интерфейс AuthenticationService API) планируется использовать разные сертификаты, нужно выпустить два сертификата.
Настройка SSL-подключения сервера JMS к серверу JAS (AdministrationService API)
Подключения сервера JMS к JAS по SSL выполняется в два этапа. Сначала использование защищённого протокола необходимо включить на интерфейсе AdministrationService API сервера JAS, а затем установленные параметры подключения (новый адрес интерфейса) нужно указать в настройках сервера JMS. Для настройки выполните следующие шаги.
- Для включения SSL на интерфейсе AdministrationService API сервера JAS следует использовать команду ssl enable консольного агентаJAS.Agent.Terminal. Например:
sudo Aladdin.JAS.Agent.Terminal ssl enable --path /home/user/Desktop/jas1.jms4.local.pfx --password P@ssw0rd! --api adminВ результате успешной настройки конфигурации на консоли отобразится:
Рис. 78 – Выдача команды настройки SSL на API-интерфейсах сервера JAS
В приведенном примере используется ssl-сертификат сервера JAS. Команда предусматривает также возможность использовать уже ранее установленный в системе сертификат.
Примечания:
- Если для интерфейсов AdministrationService и AuthenticationService необходимо использовать один и тот же SSL-сертификат сервера JAS, то в команде ssl enable можно использовать ключ "--api all", защищённые протокол будет включен на обоих интерфейсах с одним и тем же сертификатом.
- Подробное описание команды ssl enable ее см. в разделе «Приложение 2. Справочник команд консольного агента Aladdin.JAS.Agent.Terminal», с. 131.
Для проверки текущей настройки SSL на интерфейсах сервера JAS используйте команду консольного агента ssl show, например:
sudo Aladdin.JAS.Agent.Terminal ssl showРис. 79 – Пример выдачи команды ssl show
2. На сервере JMS выполните команду jas configure консольного агента JMS Aladdin.EAP.Agent.Terminal, указав https-адрес Adminstration API сервера JAS, настроенного на шаге 1, например:
Aladdin.EAP.Agent.Terminal jas configure -u https://<fqdn_Сервера_JAS>:8220 -s <тип аутентификации> -l <логин_пользователя_JAS> -p <логин_пользователя_JAS>где:
<fqdn_Сервера_JAS> — Полное доменное имя сервера JAS, указанное в его SSL-сертификате;
<тип_аутентификации> —значение параметр SecurityType, установленного в для программного интерфейса AdminstrationService (подробнее см. Табл. 11, с. 22)
<логин_пользователя_JAS> —логин пользователя, под которым осуществляется аутентификация на сервере JAS
<пароль_пользователя_JAS> —пароль пользователя, под которым осуществляется аутентификация на сервере JAS
Подробное описание команды jas configure консольного агента JMS см. в Части 1 Руководства администратора [2] , раздел «Приложение 2. Справочник команд консольного агента Aladdin.EAP.Agent.Terminal»
Настройка SSL/TLS на интерфейсе AuthenticationService
Для включения защищённого протокола на интерфейсе AuthenticationService API сервера JAS выполните команду ssl enable консольного агента Aladdin.JAS.Agent.Terminal, как это было описано в разделе «Настройка SSL-подключения сервера JMS к серверу JAS (AdministrationService API)», но с ключом "--api auth", например:
Aladdin.JAS.Agent.Terminal ssl enable --path /opt/41/f_pfx/ssl.pfx --password P@ssw0rd --api authПримечание. Подробное описание команды ssl enable ее см. в разделе «Приложение 2. Справочник команд консольного агента Aladdin.JAS.Agent.Terminal», с. 131.
После включения защищенного протокола на интерфейсе аутентификации для корректной работы системы необходимо внести изменения также на клиентских компьютерах, подробнее см. разделы «Настройка SSL/TLS на стороне клиентов», с. 102 и «Настройка SSL/TLS на стороне компонента JOL», с. 102.
Настройка SSL/TLS для интерфейса ControlService
Для настройки защищённого подключения к JAS по интерфейсу ControlService (например для управления сервером через консольный агент) на хосте сервера JAS откройте на редактирование конфигурационный файл /etc/aladdin/jas-engine/AppSettings.json и внесите следующие изменения.
3. В секции "Name": "ControlServiceWebApi" в параметре "ControlServiceWebApiAddresses" замените http на https, например:
{ "Name": "ControlServiceWebApi", "Settings": {... "ControlServiceWebApiAddresses": "https://*:8219",Примечание. Подробное описание параметров сетевых интерфейсов сервера JAS и их настройки приведено в разделе «Настройка сетевых программных интерфейсов сервера JAS», Табл. 11, с. 22.
4. В той же секции добавьте параметр "Thumbprint" со значением отпечатка SSL-сертификата хоста с сервером JAS, предварительно установленного на данном хосте (допускается использование сертификата, установленного, как описано в разделах «Настройка SSL-подключения сервера JMS к серверу JAS (AdministrationService API)» или «Настройка SSL/TLS на интерфейсе AuthenticationService»), например:
{ "Name": "AdministrationServiceWebApi", "Settings": {... "Thumbprint": "2CE4D90BF553B28C45E20B828F955582E9D6CCAE"5. Для вступления в силу внесенных изменений перезагрузите процесс сервера JAS:
systemctl restart jas-engineНастройка SSL/TLS для интерфейса Healthcheck API
Для настройки защищённого подключения к интерфейсу Healthcheck API (проверка работоспособности) на хосте сервера JAS откройте на редактирование конфигурационный файл /etc/aladdin/jas-engine/AppSettings.json и внесите следующие изменения.
- В секции "Name": "HealthcheckServiceWebApi" в параметре "HealthcheckServiceWebApiAddresses" замените http на https, например:
{ "Name": "HealthcheckServiceWebApi", "Settings": {... "HealthcheckServiceWebApiAddresses": "https://*:8223",Примечание. Подробное описание параметров сетевых интерфейсов сервера JAS и их настройки приведено в разделе «Настройка сетевых программных интерфейсов сервера JAS», Табл. 11, с. 22.
2. В той же секции добавьте параметр "Thumbprint" со значением отпечатка SSL-сертификата хоста с сервером JAS, предварительно установленного на данном хосте (допускается использование сертификата, уже установленного для интерфейсов AdministrationService или AuthenticationService), например:
{ "Name": "HealthcheckServiceWebApi", "Settings": {... "Thumbprint": "2CE4D90BF553B28C45E20B828F955582E9D6CCAE"3. Для вступления в силу внесенных изменений перезагрузите процесс сервера JAS:
systemctl restart jas-engineНастройка SSL/TLS на стороне клиентов
Для настройки протоколов SSL/TLS на стороне клиентов (JAS-плагинов для NPS, AD FS, MS RDG) выполните следующие действия.
- В случае если клиенты JAS не имеют доступа к выпустившему сертификат удостоверяющему центру, импортируйте сертификат SSL в раздел Доверенные корневые центры сертификации хранилища клиентского компьютера.
- Выполните настройку протоколов SSL/TLS на компьютере клиента.
2.1. В случае JAS-плагина для NPS в разделе реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\JAS NPS Plugin]
Примечание. Операции настройки можно выполнить в конфигураторе NPS (см. раздел «Работа с конфигуратором JAS-плагина для NPS», с. 41)
2.1.1. Отредактируйте строковый параметр ServiceUri (в конфигураторе – Адрес JAS) – после редактирования этот параметр должен иметь то же значение, что было настроено на сервере JAS для службы AuthenticationService (см. раздел «Настройка SSL/TLS на интерфейсе AuthenticationService», с. 100).
Для настройки набора поддерживаемых протоколов SSL/TLS отредактируйте параметр SecurityProtocol=Ssl3, Tls, Tls11, Tls12 (в конфигураторе – Поддерживаемые протоколы).
Разрешается указывать один или несколько протоколов.
По умолчанию разрешены все протоколы.
2.2. В случае JAS-плагинов для AD FS и MS RDG в соответствующих разделах реестра (или посредством соответствующих графических конфигураторов, см. разделы «Работа с конфигуратором JAS-плагина для AD FS» с. 65 и «Работа с конфигуратором JAS-плагина для MS RDG», c. 79) выполните те же настройки, что были выполнены на шагах 1.1—0 для JAS-плагина для NPS.
Важно! После редактирования реестра, связанного с настройкой SSL/TLS, следует перезапустить службу клиента (сервиса NPS, AD FS или MS RDG соответственно).
Настройка SSL/TLS на стороне компонента JOL
Для настройки протоколов SSL/TLS на стороне компонента JOL выполните следующие действия.
- В случае если компонент JOL установлен на рабочей стации вне домена ресурсной системы, в которой функционирует сервер JAS, или если участники SSL-соединения не имеют доступа к выпустившему сертификат удостоверяющему центру, импортируйте сертификат SSL в раздел Доверенные корневые центры сертификации хранилища рабочей станции с установленным компонентом JOL.
- В настройках JOL в адресе сервиса аутентификации JAS (параметр ServiceUri) замените протокол «http» на «https» (порядок выполнения настроек компонента JOL на рабочих станциях приведен в разделе «Настройки JOL и порядок их применения», с. 87).
- При необходимости ограничить максимальную используемую версию TLS, вызванной особенностями конфигурации сетевой инфраструктуры, в реестровом параметре SSLVersionTLS на компьютере с JOL установите необходимую версию TLS (подробнее см. раздел «Настройки JOL и порядок их применения», с. 87).
- В случае если в операционной системе на компьютере, где установлен JOL, необходимо согласовать с JOL список поддерживаемых протоколов SSL/TLS, выполните соответствующие настройки средствами ОС Windows (см. раздел «Настройка SSL/TLS в операционной системе», с. 97).
Примечание. Настройки платформы .Net Framework, в частности в отношении поддерживаемых протоколов SSL/TLS, на защищенное подключение JOL к серверу JAS не влияют.
Настройка SSL/TLS в JAS для связи с ресурсной системой
Поскольку сервер JAS использует настройки подключения к ресурсным системам, взятые из JMS, используя общую с JMS базу данных, специальных настроек в конфигурации JAS не требуется.
Однако если сервер JAS размещен на отдельном хосте, и при этом данный компьютер не введен в домен Samba AD или AD, то необходимо cделать доверенным на этой машине SSL-сертификат ресурсной системы (т.е. установить корневой сертификат ресурсной системы). Для этого необходимо выполнить шаги по добавлению корневого сертификата в качестве доверенного, описанные в Части 1 Руководства администратора [2], в разделе «Настройка SSL для доступа к ресурсной системе», но уже в отношении сервера JAS.




