Клиенты ФПСУ > Клиент PKI
Previous 

Настройка параметров клиентов PKI

 Next

Для настройки ФПСУ-IP в части работы с клиентами PKI выберите команду меню конфигурации «Клиенты → Клиенты вер.2».

На экран будет выдано окно с настройками клиента PKI. Задействованные на ФПСУ-IP настройки передаются клиенту PKI при подключении к ФПСУ-IP в процессе установления соединения. В случае конфликтов настроек в конфигурациях клиента PKI и ФПСУ-IP, приоритет отдается настройкам, указанным на ФПСУ-IP.  

NAT при соединении – При выключенном флаге указание ФПСУ-IP производить трансляцию реальных IP адресов клиентов описываемого диапазона во внутренние (виртуальные) адреса защищаемой подсети при соединениях со стороны данного порта, настройки DHCP серверов не учитываются. При включении флага IP-адреса клиентов PKI запрашиваются у DHCP-сервера.

DHCP сервер основной, DHCP сервер резервный – DHCP-сервер для ретрансляции всех DHCP-запросов, поступающих от ФПСУ-IP/Клиентов PKI.

Класс клиента DHCP может определяться атрибутами сертификата, выделить клиентов PKI в отдельный класс можно с помощью следующих опций:

OID класса клиента – указывается часть атрибута или полное значение атрибута в соответствии с объектным идентификатором сертификатов клиентов PKI, на основе этого значения в сертификате клиента DHCP сервер определяет диапазон IP-адресов, из которого будут выдаваться IP-адреса клиентам PKI.

Regexp класса клиента – регулярное выражение для поиска класса клиента в атрибуте сертификата клиента PKI.

Класс клиента – строковое значение класса клиента в атрибуте сертификата клиента PKI.

Если OID класса клиента не задан, то проверяется задано ли значение Класса клиента.

Если Regexp класса клиента задан, то используется подстрока значения атрибута в соответствии с регулярным выражением.

 

Пре-RFC 3004 DHCP – режим совместимости с Microsoft DHCP сервером, в котором реализована предварительная спецификация RFC 3004 не совместимая с финальным RFC.

Количество попыток – может быть задано количество попыток подключения клиента PKI к серверу DHCP, при исчерпании попыток подключение завершается с ошибкой, если сервер не отвечает. Задается с Таймаутом переподключения.

Таймаут (сек) – задержка при последующих попытках подключения к серверу DHCP.

 

Описание блока настроек Запрашивать OCSP:

Запрашивать OCSP – при установлении флага ФПСУ-IP проверяет не отозван ли сертификат клиента PKI, запрашивая у сервера УЦ статус сертификата. Значение времени следующего обновления статуса может содержаться в ответе OCSP, в этом случае проверенный сертификат кешируется на это время, если ответ OCSP не содержит значения времени, то сертификат кешируется на 3 часа (если сертификат проверен и OCSP статус не отозван, проверка не проводится, выборка сертификата осуществляется из кеша по хешу).

URL по умолчанию – URL адрес ответчика OCSP, задается если в сертификате не задан атрибут с URL OCSP.

Количество попыток – может быть задано количество попыток подключения клиента PKI к OCSP, при исчерпании попыток подключение завершается с ошибкой, если сервер не отвечает. Задается с Таймаутом переподключения.

Таймаут (сек) – задержка при последующих попытках подключения к OCSP.

Контроль соединениявременной интервал (от 1 до 10 минут), по истечении которого после получения последних данных от клиента ФПСУ-IP будет производить контроль соединения с ним. В случае отсутствия связи или сетевой активности соединение будет сброшено. Данная опция важна для тех каналов, в которых происходят частые обрывы связи (например, PPP).

 

Все в туннель – при установлении флага при подключении ФПСУ Клиента PKI к ФПСУ-IP все отправляемые станцией пакеты будут переданы в него.

Клиентам блокироватьуказание клиентам при работе со стороны данного порта ФПСУ-IP блокировать соответствующие соединения. Установленные администратором ФПСУ-IP ограничения будут выполняться на всех указанных сетевых адаптерах рабочих станций клиентов принудительно, независимо от собственных установок клиентов.

Не применять к локальной сети – флаг, разрешающий не применять указанные блокировки опции «Клиентам блокировать» для сетевых взаимодействий в пределах локальной сети рабочей станции Клиента PKI.

Разорвать вход. TCP на старте – указание принудительного разрыва всех входящих TCP сессий на рабочей станции Клиента PKI в момент установления соединения с ФПСУ-IP.

Описание активно – указание ФПСУ-IP на активность описания. Если флаг не установлен в положение «Х», работа клиентов данного диапазона будет блокирована. Флаг включается и выключается при помощи клавиши <Пробел>.

Настройки RADIUS – устанавливаются для аутентификации ФПСУ Клиентов PKI в сети (см. пункт «Настройка диапазона клиентов на работу с Radius»).

Сертификаты УЦ – кнопка перехода в окно управления сертификатами УЦ.

В открывшемся окне «Просмотр сертификатов» отображается список загруженных на ФПСУ-IP сертификатов УЦ.

Для авторизации клиентов PKI на ФПСУ-IP должны быть предварительно установлены корневой сертификат УЦ и сертификаты промежуточных УЦ.

Для загрузки сертификата УЦ с внешнего носителя требуется подключить USB-носитель. В окне выбора каталога и файла выберите файл сертификата. Подтвердите загрузку сертификата. В списке сертификатов отобразится загруженный сертификат УЦ.

В списке сертификатов собственный сертификат ФПСУ-IP выделен зеленым фоном.

По нажатию клавиши <Enter> на выделенном сертификате открывается окно с информацией о сертификате. По нажатию клавиши <F3> в окне «Сертификат» открывается информация об открытом ключе данного сертификата.

Абонентысписок IP-адресов абонентов, к которым клиенты могут запрашивать доступ при соединении с ФПСУ-IP. Этот список будет передаваться клиентам при установке туннеля и дополнять их собственные списки абонентов.

Для создания или корректировки списка абонентов, нажмите кнопку «Абоненты», после чего откроется окно списка передаваемых клиенту IP-адресов.

Абонентами могут выступать описатели отдельного IP-адреса (столбец «Хост»), подсети (столбец «Подсеть»), диапазон последовательно идущих IP-адресов (столбец «Диапазон») и специальный абонент «DNS» (DNS-сервер).

Для добавления/удаления/редактирования описателя того или иного абонента для настраиваемой группы клиентов, перейдите в соответствующий столбец курсором и воспользуйтесь клавишами <Ins> (для добавления абонента), <Del> (для удаления), <Enter> или <Пробел> (для редактирования).

Нажатие кнопки «Сохранить» или клавиши <F2> сохраняет настройки абонентов и возвращает в окно описания ФПСУ-IP/Клиентов PKI.