Настройка HTTPS-соединения

 

Рис. 1. Использование HTTPS-соединения в системе Pilot.

 

Для прослушивания подключений и ответа на запросы Pilot-Server использует класс .Net HttpListener. Обращения к нему осуществляются по HTTP-протоколу. На ОС Linux HttpListener не поддерживает привязку SSL-сертификата. Для клиент-серверного соединения по протоколу HTTPS необходимо использовать проксирующий сервер с поддержкой SSL/TSL и перенаправить HTTPS траффик на HTTP точку Pilot-Server, как показано на рисунке выше. Примером такого проксирующего сервера может быть Nginx .

Closed

Для Pilot-Server, установленного на OC Windows, дополнительно есть возможность использования прямого HTTPS-соединения.

Чтобы система Pilot могла работать по HTTPS-соединению требуется:

  1. Получить SSL-сертификат уровня Domain Validation.
  2. Установить сертификат на сервере.
  3. Зарегистрировать сертификат за Pilot-Server.

Получение самоподписанных SSL-сертификатов

Для тестирования работы системы Pilot по HTTPS-соединению можно сформировать сертификат самостоятельно. Например, с помощью Средства создания сертификатов (MakeCert.exe).

Чтобы сформировать сертификаты с помощью Makecert.exe:

  1. Нажмите кнопку Пуск, введите сmd в поле Найти программы и файлы и запустите cmd.exe от имени администратора.
  2. Скопируйте команду:
    3. "PATH\makecert.exe" -n "CN=brain_name" -r -sv PATH\brain_name.pvk PATH\brain_name.cer
  3. Замените PATH на ваши пути, brain_name на ваше имя и введите получившуюся команду. Если всё правильно, программа предложит задать пароль.
  4. Затем на основе полученного сертификата необходимо сформировать сертификат для сервера:
    5. "PATH\makecert.exe" -sk vMargeSignedByCA -iv PATH\brain_name.pvk -n "CN=Domain_name" -ic PATH\brain_name.cer PATH\server_certificate.cer -sr localmachine -ss My
  5. Аналогично, замените всё, выделенное жирным, на ваши имена. Domain_name должно быть в виде адреса подключения к Pilot-Server, например, youserver.company.ru.

Установка сертификатов на сервере

Чтобы установить сертификаты на сервере необходимо добавить оснастку Сертификаты в консоль MMC для учетной записи компьютера:

  1. Нажмите кнопку Пуск, введите mmc в поле Найти программы и файлы и нажмите клавишу ENTER.
  2. В меню Файл выберите пункт Добавить или удалить оснастку.
  3. В разделе Доступные оснастки дважды щелкните пункт Сертификаты.
  4. Выберите пункт Учетная запись компьютера и нажмите кнопку Далее.
  5. Установите переключатель в положение Локальный компьютер и нажмите кнопку Готово.
  6. Нажмите кнопку ОК.

Чтобы установить корневой сертификат brain_name.cer:

  1. Перейдите в папку хранения сертификата.
  2. Вызовите контекстное меню и выберите команду Установить сертификат.
  3. В Мастере импорта сертификатов выберите Поместить все сертификаты в выбранное хранилище.
  4. Выберите хранилище Доверенные корневые центры сертификации.
  5. Завершите импорт сертификата, следуя указаниям Мастера.

Чтобы установить сертификат server_certificate.cer повторите то же самое, но при выборе хранилища укажите Личное.

После установки SSL-сертификата убедитесь, что для него есть доступный закрытый ключ. Информацию о наличии закрытого ключа можно узнать в окне Сведения о сертификате оснастки Сертификаты.

Установка сертификатов на клиентах

На клиентских компьютерах, работающих с системой Pilot, необходимо установить сертификат brain_name.cer в хранилище Доверенные корневые центры сертификации.

Если SSL-сертификат получен в Центре Сертификации, устанавливать на клиентах его не требуется.

Регистрация сертификата для Pilot-Server

Чтобы при обращении к Pilot-Server по заданному порту клиенты могли проверить его сертификат, необходимо зарегистрировать сертификат за приложением.

Для начала надо скопировать отпечаток полученного сертификата:

  1. Откройте server_certificate.cer.
  2. Перейдите во вкладку Состав.
  3. Выберите поле Отпечаток. Скопируйте значение.

Чтобы зарегистрировать сертификат:

  1. Нажмите кнопку Пуск, введите сmd в поле Найти программы и файлы и нажмите клавишу ENTER.
  2. Подставьте в следующую строку скопированный отпечаток, только удалите пробелы. И вставьте ее в командую строку.
    3. netsh http add sslcert ipport=0.0.0.0:5548 certhash=Отпечаток_без_пробелов appid={e1733662-7012-49d3-a143-d24839d907f0}

Теперь можно подключаться через HTTPS-соединение по адресу https://yourserver.company.ru:5548

Замена сертификата для Pilot-Server

Для замены сертификата удалите предыдущий командой:

netsh http delete sslcert ipport=0.0.0.0:5548

После этого установите новый сертификат, согласно инструкции выше.

Создание файла сертификата .pfx с помощью OpenSSL

В некоторых случаях для безопасного импорта и экспорта сертификатов и закрытых ключей требуется сохранить их в формате .PFX (PKCS#12). Однако следует помнить, что сертификаты для подписи кода и документов не могут быть сгенерированы в виде pfx-файлов, а их закрытые ключи не могут быть экспортированы.

Для создания pfx-файла с помощью OpenSSL используйте следующую команду:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile more.crt

Где:

openssl — команда для запуска OpenSSL.

pkcs12 — файловая утилита для работы с файлами PKCS#12 в OpenSSL.

-export -out certificate.pfx — экспортировать и сохранить файл PFX как certificate.pfx.

-inkey privateKey.key — используйте файл PrivateKey.key в качестве закрытого ключа для объединения с сертификатом.

-in certificate.crt— используйте файл certificate.crt в качестве сертификата, с которым будет объединен закрытый ключ.

-certfile more.crt — это необязательный параметр. Используется, если у вас есть ещё какие-либо сертификаты, которые вы хотите добавить в файл PFX.

После ввода команды вам будет предложено ввести и подтвердить пароль экспорта для защиты файла PFX. Запомните этот пароль. Он понадобится вам, когда вы захотите экспортировать сертификаты и ключ.

Pilot-ICE | АСКОН | Техническая поддержка