Перейти к содержанию

Настройка HTTP_HTTPS#

Безопасный механизм входа в систему Numa Edge и получения доступа к графическому пользовательскому Web-интерфейсу обеспечивается при помощи HTTPS (HTTP Secure), который представляет собой расширение протокола HTTP, использующее подключения на основе SSL/TLS.

По умолчанию доступ к Web-интерфейсу разрешен на управляющем интерфейсе (192.168.200.1) на портах 80 (HTTP) и 443 (HTTPS). Для обеспечения безопасного соединения доступ к Web-интерфейсу осуществляется при помощи HTTPS. Для совместимости Web-сервер принимает также HTTP трафик на порту 80, который автоматически перенаправляется на порт 443 (HTTPS). Для того чтобы обеспечить возможность подключений на базе HTTPS, в системе Numa Edge должен быть в указан используемый Web-сервером сертификат.

По умолчанию в системе Numa Edge предустановлен удостоверяющий центр, на базе которого создан и заверен сертификат Web-сервера. Вследствие этого при получении доступа к Web-интерфейсу может быть выдано предупреждение системы безопасности о том, что сертификат узла подписан неизвестным удостоверяющим центром. В этом случае следует подтвердить согласие на открытие узла, после чего страница продолжит загружаться.

При необходимости можно также настроить доступ к Web-интерфейсу на других интерфейсах системы, изменить номера сетевых портов на которых принимаются подключения, а также изменить сертификат Web-сервера.

По умолчанию для аутентификации Web-сервера используется криптографический алгоритм на основе стандарта ГОСТ 34.10-2012, для шифрования передаваемых данных используется криптографические алгоритмы на основе стандартов ГОСТ 34.12-2018, ГОСТ 34.13-2018. По этой причине необходимо использовать браузер, который поддерживает данный набор криптографических алгоритмов.

Настройка доступа к Web-интерфейсу с использованием стороннего сертификата#

В приведенном примере разрешается доступ к Web-интерфейсу по заранее настроенному в системе адресу 192.168.10.1, а также выполняется замена сертификата, используемого по умолчанию, на сертификат, созданный сторонним удостоверяющим центром.

Пример - Разрешение доступа к Web-интерфейсу по указанному адресу с использованием стороннего сертификата#
  1. В операционном режиме выполняется импорт сертификата веб-сервера, сгенерированного сторонним УЦ, с подключенного флэш-накопителя 
    1
2
3
4
5
6
    admin@edge:~$ pki import from WebCert.tgz
Импортируется сертификат УЦ Web CA как webca
Импортируется сертификат Web Cert как webcert
Импортируется CRL для webca
Импортируется ключ для webcert
admin@edge:~$

  2. Отображение импортированного сертификата в режиме конфигурирования 

     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
    [edit]
admin@edge# show pki ca webca 
   certificate webcert {
       cn "Web Cert"
       expires-on "Sat Dec 17 12:58:22 2022"
   }
   cn "Web CA"
   expires-on "Sat Jun 17 12:58:20 2023"
   key-size 4096
   key-type rsa
   last-update "Fri Jun 17 12:58:20 2022"
   next-update "Sat Jun 17 12:58:20 2023"

  3. Указание адреса, который будет прослушиваться на предмет входящих подключений 

    1
2
    [edit] 
admin@edge# set service https address 192.168.10.1

  4. Указание имени сертификата, который будет использоваться для подключения к Web-интерфейсу с использованием HTTPS 

    1
2
    [edit] 
admin@edge# set service https x509-cert webcert

  5. Фиксация настройки 
    1
2
    [edit] 
admin@edge# commit
  6. Просмотр настроек сервиса HTTPS 
    1
2
3
4
5
6
7
    [edit]
admin@edge# show service https 
   address 192.168.10.1 {
       https-port 443
       www-port 80
   }
   x509-cert webcert