Установка
Настройка TLS (Transport Layer Security) на hbf-сервере обеспечивает шифрование трафика между сервером и клиентом, что повышает безопасность передаваемых данных. В этой документации описан процесс настройки TLS на hbf-сервере, включая использование предоставленного конфигурационного файла.
Прежде чем приступить к настройке TLS, убедитесь, что у вас есть:
- Установленный hbf-сервер
- Сертификат SSL и соответствующий приватный ключ. Если у вас их нет, вы можете получить их у сертификационного центра (CA) или создать самоподписанный сертификат для тестовых целей.
Шаги по настройке TLS
Создайте файл конфигурации hbf-сервера для редактирования:
sudo nano /etc/cmd/to-nft/internal/tls-config.yaml
Далее необходимо настроить секцию для TLS:
- Insecure TLS
- Secure TLS
- mTLS
authn:
type: tls
tls:
key-file: "/etc/ssl/private/key-file.pem"
cert-file: "/etc/ssl/certs/cert-file.pem"
client:
verify: skip
type - Допустимые значени: none или tls. При значении none tls отключен, при значении tls tls включен.
key-file - Необходимо указать полный путь /etc/ssl/private/key-file.pem или относительный путь ./../key-file.pem с названием файла ключа.
cert-file - Необходимо указать полный путь /etc/ssl/certs/cert-file.pem или относительный путь ./../cert-file.pem с названием файла сертификата.
verify - Допусти�мые значени: skip, cert-required или verify. При значении skip сертификат клиента не проверяется.
authn:
type: tls
tls:
key-file: "/etc/ssl/private/key-file.pem"
cert-file: "/etc/ssl/certs/cert-file.pem"
client:
verify: cert-required
type - Допустимые значени: none или tls. При значении none tls отключен, при значении tls tls включен.
key-file - Необходимо указать полный путь /etc/ssl/private/key-file.pem или относительный путь ./../key-file.pem с названием файла ключа.
cert-file - Необходимо указать полный путь /etc/ssl/certs/cert-file.pem или относительный путь ./../cert-file.pem с названием файла сертификата.
verify - Допустимые значени: skip, cert-required или verify. При значении cert-required от клиента требуется наличие сертификатов, но со стороны сервена данные сертификаты не проверяются.
authn:
type: tls
tls:
key-file: "/etc/ssl/private/key-file.pem"
cert-file: "/etc/ssl/certs/cert-file.pem"
client:
verify: verify
ca-files: ["file1.pem", "file2.pem", ...]
type - Допустимые значени: none или tls. При значении none tls отключен, при значении tls tls включен.
key-file - Необходимо указать полный путь /etc/ssl/private/key-file.pem или относительный путь ./../key-file.pem с названием файла ключа.
cert-file - Необходимо указать полный путь /etc/ssl/certs/cert-file.pem или относительный путь ./../cert-file.pem с названием файла сертификата.
verify - Допустимые значени: skip, cert-required или verify. При значени verify включается режим mTLS, когда сертификат клиента необходим и происходит его проверка.
ca-files - При включенном режиме проверки сертификата сервера verify: verify необходимо перечислить список certificates authorities с указанием относительного или полного пути к файлам.