Установка
Настройка TLS (Transport Layer Security) на hbf-агенте обеспечивает шифрование трафика между сервером и клиентом, что повышает безопасность передаваемых данных. В этой документации описан процесс настройки TLS на hbf-агенте, включая использование предоставленного конфигурационного файла.
Прежде чем приступить к настройке TLS, убедитесь, что у вас есть:
- Установленный hbf-агент
- Включен и настроен TLS на hbf-сервере
- Сертификат SSL и соответствующий приватный ключ. Если у вас их нет, вы можете получить их у сертификационного центра (CA) или создать самоподписанный сертификат для тестовых целей.
Шаги по настройке TLS
Создайте файл конфигурации hbf-агента для редактирования:
sudo nano /etc/cmd/sgroups/tls-config.yaml
Далее необходимо настроить секцию для TLS:
- Insecure TLS
- Secure TLS
- mTLS
extapi:
svc:
authn:
type: tls
tls:
server:
verify: false
type - Допустимые значени: none или tls. При значении none tls отключен, при значении tls tls включен.
tls.key-file - В случае если на сервере стоит настройка verify: cert-required/verify, то в этом случае необходимо установить сертификаты со стороны клиента. Необходимо указать полный путь /etc/ssl/private/key-file.pem или относительный путь ./../key-file.pem с названием файла ключа.
tls.cert-file - В случае если на сервере стоит настройка verify: cert-required/verify, то в этом случае необходимо установить сертификаты со стороны клиента. Необходимо указать полный путь /etc/ssl/certs/cert-file.pem или относительный путь ./../cert-file.pem с названием файла сертификата.
verify - Допустимые значени: true или false. При значении true включен режим проверки сертификата сервера, при значении false данный режим отключен.
extapi:
svc:
authn:
type: tls
tls:
server:
verify: true
name: "server-name"
ca-files: ["file1.pem", "file2.pem", ...]
type - Допустимые значени: none или tls. При значении none tls отключен, при значении tls tls включен.
tls.key-file - В случае если на сервере стоит настройка verify: cert-required/verify, то в этом случае необходимо установить сертификаты со стороны клиента. Необходимо указать полный путь /etc/ssl/private/key-file.pem или относительный путь ./../key-file.pem с названием файла ключа.
tls.cert-file - В случае если на сервере стоит настройка verify: cert-required/verify, то в этом случае необходимо установить сертификаты со стороны клиента. Необходимо указать полный путь /etc/ssl/certs/cert-file.pem или относительный путь ./../cert-file.pem с названием файла сертификата.
verify - Допустимые значени: true или false. При значении true включен режим проверки сертификата сервера, при значении false данный режим отключен.
name - При включенном режиме проверки сертификата сервера verify: true можно указать имя сервера. Поле не обязательное для заполнения, в случае если имя сервера не будет указано то подлинность будет проверяться по данным сертификата.
ca-files - При включенном режиме проверки сертификата сервера verify: true необходимо перечислить список certificates authorities с указанием относительного или полного пути к файлам.
extapi:
svc:
authn:
type: tls
tls:
key-file: "/etc/ssl/private/key-file.pem"
cert-file: "/etc/ssl/certs/cert-file.pem"
server:
verify: true
name: "server-name"
ca-files: ["file1.pem", "file2.pem", ...]
type - Допустимые значени: none или tls. При значении none tls отключен, при значении tls tls включен.
key-file - В случае если на сервере стоит настройка verify: cert-required/verify, то в этом случае необходимо установить сертификаты со стороны клиента. Необходимо указать полный путь /etc/ssl/private/key-file.pem или относительный путь ./../key-file.pem с названием файла ключа.
cert-file - В случае если на сервере стоит настройка verify: cert-required/verify, то в этом случае необходимо установить сертификаты со стороны клиента. Необходимо указать полный путь /etc/ssl/certs/cert-file.pem или относительный путь ./../cert-file.pem с названием файла сертификата.
verify - Допустимые значени: true или false. При значении true включен режим проверки сертификата сервера, при значении false данный режим отключен.
name - При включенном режиме проверки сертификата сервера verify: true можно указать имя сервера. Поле не обязательное для заполнения, в случае если имя сервера не будет указано то подлинность будет проверяться по данным сертификата.
ca-files - При включенном режиме проверки сертификата сервера verify: true необходимо перечислить список certificates authorities с указанием относительного или полного пути к файлам.