Клиенты ФПСУ > АМИКОННЕКТ Клиент PKI
Previous 

Настройка параметров клиентов PKI

 Next

Для настройки ФПСУ в части работы с клиентами PKI АМИКОННЕКТ выберите команду меню конфигурации «Клиенты → ФПСУ-Клиенты PKI».

На экран будет выдано окно с настройками клиента PKI. Задействованные на ФПСУ настройки передаются клиенту PKI при подключении к ФПСУ в процессе установления соединения. В случае конфликтов настроек в конфигурациях клиента PKI и ФПСУ, приоритет отдается настройкам, указанным на ФПСУ.  

NAT при соединении – При выключенном флаге указание ФПСУ производить трансляцию реальных IP адресов клиентов описываемого диапазона во внутренние (виртуальные) адреса защищаемой подсети при соединениях со стороны данного порта, настройки DHCP серверов не учитываются. При включении флага IP-адреса клиентов PKI запрашиваются у DHCP-сервера.

DHCP сервер основной, DHCP сервер резервный – DHCP-сервер для ретрансляции всех DHCP-запросов, поступающих от Клиентов PKI.

Класс клиента DHCP может определяться атрибутами сертификата, выделить клиентов PKI в отдельный класс можно с помощью следующих опций:

OID класса клиента – указывается часть атрибута или полное значение атрибута в соответствии с объектным идентификатором сертификатов клиентов PKI, на основе этого значения в сертификате клиента DHCP сервер определяет диапазон IP-адресов, из которого будут выдаваться IP-адреса клиентам PKI.

Regexp класса клиента – регулярное выражение для поиска класса клиента в атрибуте сертификата клиента PKI.

Класс клиента – строковое значение класса клиента в атрибуте сертификата клиента PKI.

Если OID класса клиента не задан, то проверяется задано ли значение Класса клиента.

Если Regexp класса клиента задан, то используется подстрока значения атрибута в соответствии с регулярным выражением.

 

Пре-RFC 3004 DHCP – режим совместимости с Microsoft DHCP сервером, в котором реализована предварительная спецификация RFC 3004 не совместимая с финальным RFC.

Количество попыток – может быть задано количество попыток подключения клиента PKI к серверу DHCP, при исчерпании попыток подключение завершается с ошибкой, если сервер не отвечает. Задается с Таймаутом переподключения.

Таймаут (сек) – задержка при последующих попытках подключения к серверу DHCP.

 

Описание блока настроек Запрашивать OCSP:

Запрашивать OCSP – при установлении флага ФПСУ проверяет не отозван ли сертификат клиента PKI, запрашивая у сервера УЦ статус сертификата. Значение времени следующего обновления статуса может содержаться в ответе OCSP, в этом случае проверенный сертификат кешируется на это время, если ответ OCSP не содержит значения времени, то сертификат кешируется на 3 часа (если сертификат проверен и OCSP статус не отозван, проверка не проводится, выборка сертификата осуществляется из кеша по хешу).

URL по умолчанию – URL адрес ответчика OCSP, задается если в сертификате не задан атрибут с URL OCSP.

Количество попыток – может быть задано количество попыток подключения клиента PKI к OCSP, при исчерпании попыток подключение завершается с ошибкой, если сервер не отвечает. Задается с Таймаутом переподключения.

Таймаут (сек) – задержка при последующих попытках подключения к OCSP.

Контроль соединениявременной интервал (от 1 до 10 минут), по истечении которого после получения последних данных от клиента ФПСУ будет производить контроль соединения с ним. В случае отсутствия связи или сетевой активности соединение будет сброшено. Данная опция важна для тех каналов, в которых происходят частые обрывы связи (например, PPP).

 

Все в туннель – при установлении флага при подключении ФПСУ Клиента PKI к ФПСУ все отправляемые станцией пакеты будут переданы в него.

Клиентам блокироватьуказание клиентам при работе со стороны данного порта ФПСУ блокировать соответствующие соединения. Установленные администратором ФПСУ ограничения будут выполняться на всех указанных сетевых адаптерах рабочих станций клиентов принудительно, независимо от собственных установок клиентов.

Не применять к локальной сети – флаг, разрешающий не применять указанные блокировки опции «Клиентам блокировать» для сетевых взаимодействий в пределах локальной сети рабочей станции Клиента PKI.

Разорвать вход. TCP на старте – указание принудительного разрыва всех входящих TCP сессий на рабочей станции Клиента PKI в момент установления соединения с ФПСУ.

Описание активно – указание ФПСУ на активность описания. Если флаг не установлен в положение «Х», работа клиентов данного диапазона будет блокирована. Флаг включается и выключается при помощи клавиши <Пробел>.

Настройки RADIUS – устанавливаются для аутентификации ФПСУ Клиентов PKI в сети (см. пункт «Настройка диапазона клиентов на работу с Radius»).

Сертификаты УЦ – кнопка перехода в окно управления сертификатами УЦ.

В открывшемся окне «Просмотр сертификатов» отображается список загруженных на ФПСУ сертификатов УЦ.

Для авторизации клиентов PKI на ФПСУ должны быть предварительно установлены корневой сертификат УЦ и сертификаты промежуточных УЦ.

Для загрузки сертификата УЦ с внешнего носителя требуется подключить USB-носитель. В окне выбора каталога и файла выберите файл сертификата. Подтвердите загрузку сертификата. В списке сертификатов отобразится загруженный сертификат УЦ.

В списке сертификатов собственный сертификат ФПСУ выделен зеленым фоном.

По нажатию клавиши <Enter> на выделенном сертификате открывается окно с информацией о сертификате. По нажатию клавиши <F3> в окне «Сертификат» открывается информация об открытом ключе данного сертификата.

Абонентысписок IP-адресов абонентов, к которым клиенты могут запрашивать доступ при соединении с ФПСУ. Этот список будет передаваться клиентам при установке туннеля и дополнять их собственные списки абонентов.

Для создания или корректировки списка абонентов, нажмите кнопку «Абоненты», после чего откроется окно списка передаваемых клиенту IP-адресов.

Абонентами могут выступать описатели отдельного IP-адреса (столбец «Хост»), подсети (столбец «Подсеть»), диапазон последовательно идущих IP-адресов (столбец «Диапазон») и специальный абонент «DNS» (DNS-сервер).

Для добавления/удаления/редактирования описателя того или иного абонента для настраиваемой группы клиентов, перейдите в соответствующий столбец курсором и воспользуйтесь клавишами <Ins> (для добавления абонента), <Del> (для удаления), <Enter> или <Пробел> (для редактирования).

Нажатие кнопки «Сохранить» или клавиши <F2> сохраняет настройки абонентов и возвращает в окно описания ФПСУ Клиентов PKI.