Эксплуатация ФПСУ-TLS
Previous 

Режимы взаимодействия ФПСУ-TLS и защищаемой службы

 Next

При добавлении в список защищаемых серверов новой записи (см. пункт Настройка защищаемых http-серверов), администратор ФПСУ-TLS может уточнить, каким образом будет осуществляться обработка направляемого к добавляемому серверу клиентского трафика: передаваться в открытом виде с применением только HTTP протокола, или по защищенному TLS-соединению, при котором ФПСУ-TLS будет выступать инициализирующим соединение клиентом, а добавляемый сервер – в роли TLS-сервера.

clip0036_04

Режим «TLS-сервер»

Опция по умолчанию, «TLS-сервер», предполагает защищенное соединение с ФПСУ-TLS от TLS-клиента из внешней сети, и незащищенное http-соединение с защищаемым сервером, транслирующее клиентский трафик к Веб-Сервису:

clip0131_04

Такая схема предполагается к использованию, когда защищаемый сервер установлен в доверенной среде внутренней локальной сети организации, а клиент подключается к локальной сети из общедоступной сети (например, Internet).

Режим «TLS-клиент»

Опции «TLS-клиент ГОСТ» и «TLS-клиент RSA» используют одну и ту же схему работы, отличаясь только используемым в TLS соединении криптографическим протоколом. Эти режимы работы предполагают незащищенное http-соединение с ФПСУ-TLS от клиента из внешней сети, и защищенное TLS-соединение с защищаемым сервером:

clip0132_04

Такая схема может быть использована, когда подключающийся с внешнего порта клиент не имеет возможности использовать TLS-протокол, или находящаяся на внешнем порту сеть передачи данных считается доверенной.

Для организации соединения ФПСУ-TLS с защищаемым сервером потребуются установленный на ФПСУ-TLS клиентский личный сертификат, а на защищаемый сервер – серверный личный сертификат, выданные УЦ. Корневые сертификаты таких УЦ должны быть установлены на ФПСУ-TLS и на защищаемый сервер.

Режим «шлюз TLS-TLS»

Опции «шлюз TLS ГОСТ» и «шлюз TLS RSA» используют одну и ту же схему работы, отличаясь только используемым в TLS соединении криптографическим протоколом. Эти режимы работы предполагают защищенное TLS-соединение с ФПСУ-TLS от клиента из внешней сети, и защищенное TLS-соединение с защищаемым сервером:

clip0133_04

Для организации соединения ФПСУ-TLS с защищаемым сервером потребуются установленный на ФПСУ-TLS клиентский личный сертификат, а на защищаемый сервер – серверный личный сертификат, выданные УЦ. Корневые сертификаты таких УЦ должны быть установлены на ФПСУ-TLS и на защищаемый сервер.