В JAS реализована поддержка следующих версий протоколов защиты транспортного уровня:

  • SSL 3.0;
  • TLS 1.0;
  • TLS 1.1;
  • TLS 1.2.

По умолчанию в JAS включена поддержка TLS 1.0, TLS 1.1 и TLS 1.2.. Техническая возможность использования того или иного протокола и его автоматический выбор будет зависеть от следующих параметров (Табл. 19, ниже).           

Табл. 19 – Объекты настройки для обеспечения защищенного соединения компонентов JAS по SSL/TLS

Объект настройки

Раздел настоящего документа

Операционная система Windows

«Настройка SSL/TLS в операционной системе», с. 97

Операционная система Linux

«Настройка SSL/TLS в операционной системе Linux», c. 97

Сервер JAS (поддержка версии протокола)

«Установка версий защищённого протокола на стороне сервера JAS», с. 98

Сервер JAS (настройка SSL/TLS на API-интерфейсах)

«Настройка SSL-подключения на API-интерфейсах сервера JAS», с. 98


В частности разделы:


·   «Настройка SSL-подключения сервера JMS к серверу JAS (AdministrationService API)»

·   «Настройка SSL/TLS на интерфейсе AuthenticationService»

JAS-плагины NPS и AD FS

«Настройка SSL/TLS на стороне клиентов», с. 102

Компонент JOL

«Настройка SSL/TLS на стороне компонента JOL», с. 102

Таким образом, для обеспечения поддержки этих протоколов необходимо выполнить ряд настроек как на стороне сервера JAS, так и на другой стороне соединения (Рис. 75).

Рис. 75 – Схема настроек SSL/TLS на сторонах – участниках защищенного соединения

Настройка SSL/TLS в операционной системе Windows

Операционная система Windows на клиентах JAS (JAS-плагины NPS, AD FS, MS RDG, JOL), а также на почтовом сервере (если он работает под управлением ОС Windows) должна поддерживать требуемый протокол SSL/TLS. Настройки поддержки протоколов на уровне ОС задаются в разделе реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols

Для настройки протоколов SSL/TLS в операционной системе обратитесь к ее документации.

После редактирования реестра с целью настройки SSL/TLS необходимо перезагрузить операционную систему.

Настройка SSL/TLS в операционной системе Linux

Операционная система Linux на соответствующих компонентах системы (сервер JAS, JMS, почтовый сервер, сервер СУБД) должна поддерживать требуемый протокол SSL/TLS.

Проверку текущего набора поддерживаемых протоколов можно выполнить соответствующей командой OpenSSL в используемой версии Linux, например:

openssl ciphers -v | awk '{print $2}' | sort | uniq

Пример выдачи такой команды:

Рис. 76 – Пример выдачи при проверке поддерживаемых протоколов SSL/TLS в ОС Linux

Для настройки протоколов SSL/TLS в операционной системе обратитесь к ее документации.

Установка версий защищённого протокола на стороне сервера JAS

Для настройки протоколов защиты транспортного уровня исходящих соединений сервера JAS на его хосте откройте на редактирование конфигурационный файл /etc/aladdin/jas-engine/AppSettings.json и в секции "Name": "Engine" проверьте значение параметра "SecurityProtocols", например:

{
"Name": "Engine",
"Settings": {
"ID": "{02707361-31a2-42d0-b664-2dc5e8d41023}",
"SecurityProtocols": "Tls, Tls11, Tls12"
...
}
 
{

В данном параметр указывается список поддерживаемых протоколов шифрования для обмена данных между сетевыми узлами. Значения перечисляются через запятую (например: "Ssl3, Tls, Tls11, Tls12"). Допустимые значения:

  • Ssl3;
  • Tls;
  • Tls11;
  • Tls12.

Значение по умолчанию: "Tls, Tls11, Tls12"

При необходимости выполните редактирование значения параметра и перезагрузите процесс сервера JAS командой:

systemctl restart jas-engine

Настройка SSL-подключения на API-интерфейсах сервера JAS

Для обеспечения поддержки защищенных протоколов SSL/TLS необходимо выполнить ряд настроек в API-интерфейсах сервера JAS (Рис. 77).

Рис. 77 – Схема настройки SSL на API-интерфейсах компонентов JAS/MS

Перед настройкой SSL в JAS необходимо выпустить SSL-сертификат сервера JAS. В случае если для подключения по SSL/TLS со стороны сервера JMS (интерфейс AdministrationService API) и клиентов  (интерфейс AuthenticationService API) планируется использовать разные сертификаты, нужно выпустить два сертификата.

 Настройка SSL-подключения сервера JMS к серверу JAS (AdministrationService API)

Подключения сервера JMS к JAS по SSL выполняется в два этапа. Сначала использование защищённого протокола необходимо включить на интерфейсе AdministrationService API сервера JAS, а затем установленные параметры подключения (новый адрес интерфейса)  нужно указать в настройках сервера JMS. Для настройки выполните следующие шаги.

  1. Для включения SSL на интерфейсе AdministrationService API сервера JAS следует использовать команду ssl enable консольного агентаJAS.Agent.Terminal. Например:
sudo Aladdin.JAS.Agent.Terminal ssl enable --path /home/user/Desktop/jas1.jms4.local.pfx --password P@ssw0rd! --api admin

В результате успешной настройки конфигурации на консоли отобразится:

Рис. 78 – Выдача команды настройки SSL на API-интерфейсах сервера JAS

В приведенном примере используется ssl-сертификат сервера JAS. Команда предусматривает также возможность использовать уже ранее установленный в системе сертификат.

Примечания:

  1. Если для интерфейсов AdministrationService и AuthenticationService необходимо использовать один и тот же SSL-сертификат сервера JAS, то в команде ssl enable можно использовать ключ "--api all", защищённые протокол будет включен на обоих интерфейсах с одним и тем же сертификатом.
  2. Подробное описание команды ssl enable ее см. в разделе «Приложение 2. Справочник команд консольного агента Aladdin.JAS.Agent.Terminal», с. 131.

Для проверки текущей настройки SSL на интерфейсах сервера JAS используйте команду консольного агента ssl show, например:

sudo Aladdin.JAS.Agent.Terminal ssl show

Рис. 79 – Пример выдачи команды ssl show


  2. На сервере JMS выполните команду jas configure консольного агента JMS Aladdin.EAP.Agent.Terminal, указав https-адрес Adminstration API сервера JAS, настроенного на шаге 1, например:

Aladdin.EAP.Agent.Terminal jas configure -u https://<fqdn_Сервера_JAS>:8220 -s <тип аутентификации> -l <логин_пользователя_JAS> -p <логин_пользователя_JAS>

где:

<fqdn_Сервера_JAS> — Полное доменное имя сервера JAS, указанное в его SSL-сертификате;

<тип_аутентификации> —значение параметр  SecurityType, установленного в для программного интерфейса       AdminstrationService (подробнее см. Табл. 11, с. 22)

<логин_пользователя_JAS> —логин пользователя, под которым осуществляется аутентификация на сервере JAS

<пароль_пользователя_JAS> —пароль пользователя, под которым осуществляется аутентификация на сервере JAS

Подробное описание команды jas configure консольного агента JMS см. в Части 1 Руководства администратора [2] , раздел «Приложение 2. Справочник команд консольного агента Aladdin.EAP.Agent.Terminal»

Настройка SSL/TLS на интерфейсе AuthenticationService                       

Для включения защищённого протокола на интерфейсе AuthenticationService API сервера JAS выполните команду ssl enable консольного агента Aladdin.JAS.Agent.Terminal, как это было описано в разделе «Настройка SSL-подключения сервера JMS к серверу JAS (AdministrationService API)», но с ключом "--api auth", например:

Aladdin.JAS.Agent.Terminal ssl enable --path /opt/41/f_pfx/ssl.pfx --password P@ssw0rd --api auth

Примечание. Подробное описание команды ssl enable ее см. в разделе «Приложение 2. Справочник команд консольного агента Aladdin.JAS.Agent.Terminal», с. 131.

После включения защищенного протокола на интерфейсе аутентификации для корректной работы системы необходимо внести изменения также на клиентских компьютерах, подробнее см. разделы «Настройка SSL/TLS на стороне клиентов», с. 102 и «Настройка SSL/TLS на стороне компонента JOL», с. 102.

Настройка SSL/TLS для интерфейса ControlService

Для настройки защищённого подключения к JAS по интерфейсу ControlService (например для управления сервером через консольный агент) на хосте сервера JAS откройте на редактирование конфигурационный файл /etc/aladdin/jas-engine/AppSettings.json и внесите следующие изменения.

  3. В секции "Name": "ControlServiceWebApi" в параметре "ControlServiceWebApiAddresses" замените http на https, например:

{
"Name": "ControlServiceWebApi",
"Settings": {
...
"ControlServiceWebApiAddresses": "https://*:8219",

 Примечание. Подробное описание параметров сетевых интерфейсов сервера JAS и их настройки приведено в разделе «Настройка сетевых программных интерфейсов сервера JAS», Табл. 11, с. 22.

  4. В той же секции добавьте параметр "Thumbprint" со значением отпечатка SSL-сертификата хоста с сервером JAS, предварительно установленного на данном хосте (допускается использование сертификата, установленного, как описано в разделах «Настройка SSL-подключения сервера JMS к серверу JAS (AdministrationService API)» или «Настройка SSL/TLS на интерфейсе AuthenticationService»), например:

{
"Name": "AdministrationServiceWebApi",
"Settings": {
...
"Thumbprint": "2CE4D90BF553B28C45E20B828F955582E9D6CCAE"

  5. Для вступления в силу внесенных изменений перезагрузите процесс сервера JAS:

systemctl restart jas-engine

Настройка SSL/TLS для интерфейса Healthcheck API

Для настройки защищённого подключения к интерфейсу Healthcheck API (проверка работоспособности) на хосте сервера JAS откройте на редактирование конфигурационный файл /etc/aladdin/jas-engine/AppSettings.json и внесите следующие изменения.

  1. В секции "Name": "HealthcheckServiceWebApi" в параметре "HealthcheckServiceWebApiAddresses" замените http на https, например:
{
"Name": "HealthcheckServiceWebApi",
"Settings": {
...
"HealthcheckServiceWebApiAddresses": "https://*:8223",

Примечание. Подробное описание параметров сетевых интерфейсов сервера JAS и их настройки приведено в разделе «Настройка сетевых программных интерфейсов сервера JAS», Табл. 11, с. 22.

  2. В той же секции добавьте параметр "Thumbprint" со значением отпечатка SSL-сертификата хоста с сервером JAS, предварительно установленного на данном хосте (допускается использование сертификата, уже установленного для интерфейсов AdministrationService или AuthenticationService), например:

{
"Name": "HealthcheckServiceWebApi",
"Settings": {
...
"Thumbprint": "2CE4D90BF553B28C45E20B828F955582E9D6CCAE"

3. Для вступления в силу внесенных изменений перезагрузите процесс сервера JAS:

systemctl restart jas-engine

Настройка SSL/TLS на стороне клиентов

Для настройки протоколов SSL/TLS на стороне клиентов (JAS-плагинов для NPS, AD FS, MS RDG) выполните следующие действия.

  1. В случае если клиенты JAS не имеют доступа к выпустившему сертификат удостоверяющему центру, импортируйте сертификат SSL в раздел Доверенные корневые центры сертификации хранилища клиентского компьютера.
  2. Выполните настройку протоколов SSL/TLS на компьютере клиента.

  2.1. В случае JAS-плагина для NPS в разделе реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Aladdin\JAS NPS Plugin]

Примечание. Операции настройки можно выполнить в конфигураторе NPS (см. раздел «Работа с конфигуратором JAS-плагина для NPS», с. 41)

  2.1.1. Отредактируйте строковый параметр ServiceUri (в конфигураторе – Адрес JAS) – после редактирования этот параметр должен иметь то же значение, что было настроено на сервере JAS для службы AuthenticationService (см. раздел «Настройка SSL/TLS на интерфейсе AuthenticationService», с. 100).

Для настройки набора поддерживаемых протоколов SSL/TLS отредактируйте параметр SecurityProtocol=Ssl3, Tls, Tls11, Tls12 (в конфигураторе – Поддерживаемые протоколы).

Разрешается указывать один или несколько протоколов.

По умолчанию разрешены все протоколы.

  2.2. В случае JAS-плагинов для AD FS и MS RDG в соответствующих разделах реестра (или посредством соответствующих графических конфигураторов, см. разделы «Работа с конфигуратором JAS-плагина для AD FS» с. 65 и «Работа с конфигуратором JAS-плагина для MS RDG», c. 79) выполните те же настройки, что были выполнены на шагах 1.1—0 для JAS-плагина для NPS.

Важно! После редактирования реестра, связанного с настройкой SSL/TLS, следует перезапустить службу клиента (сервиса NPS, AD FS или MS RDG соответственно).

Настройка SSL/TLS на стороне компонента JOL

Для настройки протоколов SSL/TLS на стороне компонента JOL выполните следующие действия.

  1. В случае если компонент JOL установлен на рабочей стации вне домена ресурсной системы, в которой функционирует сервер JAS, или если участники SSL-соединения не имеют доступа к выпустившему сертификат удостоверяющему центру, импортируйте сертификат SSL в раздел Доверенные корневые центры сертификации хранилища рабочей станции с установленным компонентом JOL.
  2. В настройках JOL в адресе сервиса аутентификации JAS (параметр ServiceUri) замените протокол «http» на «https» (порядок выполнения настроек компонента JOL на рабочих станциях приведен в разделе «Настройки JOL и порядок их применения», с. 87).
  3. При необходимости ограничить максимальную используемую версию TLS, вызванной особенностями конфигурации сетевой инфраструктуры, в реестровом параметре SSLVersionTLS на компьютере с JOL установите необходимую версию TLS (подробнее см. раздел  «Настройки JOL и порядок их применения», с. 87).
  4. В случае если в операционной системе на компьютере, где установлен JOL, необходимо согласовать с JOL список поддерживаемых протоколов SSL/TLS, выполните соответствующие настройки средствами ОС Windows (см. раздел «Настройка SSL/TLS в операционной системе», с. 97).

Примечание. Настройки платформы .Net Framework, в частности в отношении поддерживаемых протоколов SSL/TLS, на защищенное подключение JOL к серверу JAS не влияют.

Настройка SSL/TLS в JAS для связи с ресурсной системой

Поскольку сервер JAS использует настройки подключения к ресурсным системам, взятые из JMS, используя общую с JMS базу данных, специальных настроек в конфигурации JAS не требуется.

Однако если сервер JAS размещен на отдельном хосте, и при этом данный компьютер не введен в домен Samba AD или AD, то необходимо cделать доверенным на этой машине SSL-сертификат ресурсной системы (т.е. установить корневой сертификат ресурсной системы). Для этого необходимо выполнить шаги по добавлению корневого сертификата в качестве доверенного, описанные в Части 1 Руководства администратора [2], в разделе «Настройка SSL для доступа к ресурсной системе», но уже в отношении сервера JAS.