Открыть поиск
Открыть меню
869
701
11
7 тыс.
Документация АппОптима
Открыть персональное меню
Вы не представились системе
Your IP address will be publicly visible if you make any edits.

Конфигурация шифра для АктивногоШлюза

Материал из Документация АппОптима
Дополнительные действия
Версия от 18:46, 28 сентября 2022; RGolovanov (обсуждение | вклад) (Новая страница: «Компоненты Ключ-Астром обмениваются данными через SSL, использующий шифры для шифрования...»)
(разн.) ← Предыдущая версия | Текущая версия (разн.) | Следующая версия → (разн.)

Компоненты Ключ-Астром обмениваются данными через SSL, использующий шифры для шифрования HTTP-запросов. Не все доступные шифры в настоящее время считаются достаточно безопасными. Поэтому по умолчанию исключаются некоторые шифры (например, все MD5, все RC4, все DES, все DSS).

Чтобы проверить, какие шифры поддерживаются, и обеспечить правильность именования шифров, всегда используйте Nmap для сканирования шифров в АктивномШлюзе, так как Nmap использует тот же синтаксис, что и Ключ-Астром.

Настройка шифров

Сканирование шифров

  • Сканируйте поддерживаемые шифры с помощью Nmap. Результатом сканирования будет список, подобный следующему:
PORT     STATE SERVICE
9999/tcp open  abyss
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Исключение шифров

  • Исключите нежелательные шифры, перечислив их в файле custom.properties. Мы поддерживаем только исключения шаблонов, поэтому в приведенном ниже примере исключение TLS_DHE_RSA_WITH_AES_256_CBC_SHA также исключает TLS_DHE_RSA_WITH_AES_256_CBC_SHA384. В следующем примере показано, как исключить шифры ECDHE из приведенного выше списка:
[com.compuware.apm.webserver]
excluded-ciphers = TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Проблема с этим подходом заключается в том, что список становится длинным, и поэтому его трудно поддерживать, если OpenSSL изменяется. Более надежным/динамичным способом является использование подшаблона, как показано в примере ниже. 

[com.compuware.apm.webserver]
excluded-ciphers = TLS_ECDHE_

В этом примере будут исключены все имена шифров, содержащие строку TLS_ECDHE_. Этот шаблон исключит дополнительные шифры, если базовый список изменится, например, из-за обновлений OpenSSL.

Чтобы исключить шаблон суффикса, завершите строку шаблона символом $. Чтобы исключить SHA без исключения SHA256, укажите SHA$ в качестве шаблона. Например: 

[com.compuware.apm.webserver]
excluded-ciphers = TLS_RSA_WITH,_SHA$

Кроме того, вы можете определить, какие шифры вы хотите включить. 

[com.compuware.apm.webserver]
included-ciphers = _ECDHE_

Как правило, вы определяете либо включенные, либо исключенные шифры, но не оба.

Обратите внимание, что если шифр был определен в списке как включенных, так и исключенных, он будет считаться исключенным — исключение имеет приоритет над включением.

Источник — https://docs.expert-apm.ru/index.php?title=Конфигурация_шифра_для_АктивногоШлюза&oldid=1451
Последнее изменение