Установка средства создания защищенного TLS-соединения «Континент TLS Клиент. TLS и SSL: Необходимый минимум знаний Криптографическая защита передаваемой информации

TLS и SSL упоминаются в последнее время все чаще и чаще, более актуальным становится использование цифровых сертификатов, и даже появились компании, готовые бесплатно предоставлять цифровые сертификаты всем желающим, чтобы гарантировать шифрование трафика между посещаемыми сайтами и браузером клиента. Нужно это, естественно, для безопасности, чтобы никто в сети не мог получить данные, которые передаются от клиента серверу и обратно. Как же это всё работает и как это использовать? Чтобы это понять, надо, пожалуй, начать с теории, а потом показать на практике. Итак, SSL и TLS.

Что такое SSL и что такое TLS?

SSL — Secure Socket Layer, уровень защищенных сокетов. TLS — Transport Layer Security, безопасность транспортного уровня. SSL является более ранней системой, TLS появился позднее и он основан на спецификации SSL 3.0, разработанной компанией Netscape Communications. Тем не менее, задача у этих протоколов одна — обеспечение защищенной передачи данных между двумя компьютерами в сети Интернет. Такую передачу используют для различных сайтов, для электронной почты, для обмена сообщениями и много еще для чего. В принципе, можно передавать любую информацию таким образом, об этом чуть ниже.

Безопасная передача обеспечивается при помощи аутентификации и шифрования передаваемой информации. По сути эти протоколы, TLS и SSL, работают одинаково, принципиальных различий нет. TLS, можно сказать, является преемником SSL, хотя они и могут использоваться одновременно, причем даже на одном и том же сервере. Такая поддержка необходима для того, чтобы обеспечить работу как с новыми клиентами (устройствами и браузерами), так и с устаревшими, которые TLS не поддерживают. Последовательность возникновения этих протоколов выглядит вот так:

SSL 1.0 — никогда не публиковался
SSL 2.0 — февраль 1995 года
SSL 3.0 — 1996 год
TLS 1.0 — январь 1999 года
TLS 1.1 — апрель 2006 года
TLS 1.2 — август 2008 года

Принцип работы SSL и TLS

Принцип работы SSL и TLS, как я уже сказал, один и тот же. Поверх протокола TCP/IP устанавливается зашифрованный канал, внутри которого передаются данные по прикладному протоколу — HTTP, FTP, и так далее. Вот как это можно представить графически:

Прикладной протокол «заворачивается» в TLS/SSL, а тот в свою очередь в TCP/IP. По сути данные по прикладному протоколу передаются по TCP/IP, но они зашифрованы. И расшифровать передаваемые данные может только та машина, которая установила соединения. Для всех остальных, кто получит передаваемые пакеты, эта информация будет бессмысленной, если они не смогут ее расшифровать.

Установка соединения обеспечивается в несколько этапов:

1) Клиент устанавливает соединение с сервером и запрашивает защищенное подключение. Это может обеспечиваться либо установлением соединения на порт, который изначально предназначен для работы с SSL/TLS, например, 443, либо дополнительным запросом клиентом установки защищенного соединения после установки обычного.

2) При установке соединения клиент предоставляет список алгоритмов шифрования, которые он «знает». Сервер сверяет полученный список со списком алгоритмов, которые «знает» сам сервер, и выбирает наиболее надежный алгоритм, после чего сообщает клиенту, какой алгоритм использовать

3) Сервер отправляет клиенту свой цифровой сертификат, подписанный удостоверяющим центром, и открытый ключ сервера.

4) Клиент может связаться с сервером доверенного центра сертификации, который подписал сертификат сервера, и проверить, валиден ли сертификат сервера. Но может и не связываться. В операционной системе обычно уже установлены корневые сертификаты центров сертификации, с которыми сверяют подписи серверных сертификатов, например, браузеры.

5) Генерируется сеансовый ключ для защищенного соединения. Это делается следующим образом:
— Клиент генерирует случайную цифровую последовательность
— Клиент шифрует ее открытым ключом сервера и посылает результат на сервер
— Сервер расшифровывает полученную последовательность при помощи закрытого ключа
Учитывая, что алгоритм шифрования является асимметричным, расшифровать последовательность может только сервер. При использовании асимметричного шифрования используется два ключа — приватный и публичный. Публичным отправляемое сообщение шифруется, а приватным расшифровывается. Расшифровать сообщение, имея публичный, ключ нельзя.

6) Таким образом устанавливается зашифрованное соединение. Данные, передаваемые по нему, шифруются и расшифровываются до тех пор, пока соединение не будет разорвано.

Корневой сертификат

Чуть выше я упомянул корневой сертификат. Это сертификат авторизационного центра, подпись которым подтверждает, что сертификат, который подписан, является именно тем, который принадлежит соответствующему сервису. В самом сертификате обычно содержится ряд информационных полей, в которых содержится информация об имени сервера, которому выдан сертификат, и сроках действия этого сертификата. Если срок действия сертификата истек, он признается недействительным.

Запрос на подпись (CSR, Certificate Sign Request)

Для получения подписанного серверного сертификата необходимо сгенерировать запрос на подпись (CSR, Certificate Sign Request) и отправить этот запрос авторизационному центру, который вернет подписанный сертификат, устанавливаемый непосредственно на сервер, чуть ниже посмотрим, как это сделать на практике. Сначала генерируется ключ для шифрования, затем на основании этого ключа генерируется запрос на подпись, CSR-файл.

Клиентский сертификат

Клиентский сертификат может быть сгенерирован как для использования в устройствах, так и для использования пользователями. Обычно такие сертификаты используются при двусторонней верификации, когда клиент верифицирует, что сервер действительно тот, за кого себя выдает, и сервер в ответ делает то же самое. Такое взаимодействие называется двусторонней аутентификацией или mutual authentication. Двусторонняя аутентификация позволяет повысить уровень безопасности по сравнению с односторонней, а также может служить заменой аутентификации с использованием логина и пароля.

Цепочка действий по генерации сертификатов

Давайте посмотрим на практике, как происходят действия, связанные с генерацией сертификатов, с самого начала, и при этом на практике.

Первое, что делается — это генерация корневого сертификата. Корневой сертификат подписывается самим собой. А потом уже этим сертификатом будут подписываться другие сертификаты.

$ openssl genrsa -out root.key 2048 Generating RSA private key, 2048 bit long modulus ..........+++ ...........................................+++ e is 65537 (0x10001) $ openssl req -new -key root.key -out root.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :IT Service Common Name (e.g. server FQDN or YOUR name) :My Company Root Certificate Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name :My Company $ openssl x509 -req -days 3650 -in root.csr -signkey root.key -out root.pem Signature ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] Getting Private key

Таким образом мы сгенерировали сначала приватный ключ, затем запрос подписи, а затем своим ключом подписали свой же запрос и получили собственный цифровой сертификат, выданный на 10 лет. Пароль (challenge password) при генерации сертификата можно не вводить.

Приватный ключ ОБЯЗАТЕЛЬНО необходимо хранить в надежном месте, имея его можно подписать от вашего имени любой сертификат. А полученный корневой сертификат можно использовать для идентификации того, что сертификат, например, сервера подписан именно нами, а не кем-то еще. Именно такие действия выполняют авторизационные центры, когда генерируют собственные сертификаты. После создания корневого сертификата можно приступать к генерации сертификата сервера.

Просмотр информации о сертификате

Содержимое сертификата можно просмотреть таким образом:

$ openssl x509 -noout -issuer -enddate -in root.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] notAfter=Jan 22 11:49:41 2025 GMT

Мы видим, кто выдал этот сертификат и когда заканчивается срок его годности.

Серверный сертификат

Для подписи сертификата для сервера нам нужно выполнить следующие действия:

1) Сгенерировать ключ
2) Сгенерировать запрос на подпись
3) Отправить CSR-файл в авторизационный центр или подписать самостоятельно

В серверный сертификат может включаться цепочка сертификатов, которыми подписан сертификат сервера, но ее можно также хранить в отдельном файле. В принципе, выглядит всё примерно так же, как и при генерации корневого сертификата

$ openssl genrsa -out server.key 2048 Generating RSA private key, 2048 bit long modulus ...................................................................................+++ ..........................+++ e is 65537 (0x10001) $ openssl req -new -key server.key -out server.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :IT Service Common Name (e.g. server FQDN or YOUR name) :www.mycompany.com Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name : $ openssl x509 -req -in server.csr -CA root.pem -CAkey root.key -CAcreateserial -out server.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in server.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=www.mycompany.com/[email protected] notAfter=Jan 25 12:22:32 2016 GMT

Таким образом сертификат сервера подписан и мы будем знать, какой организацией выдан этот сертификат. После подписи готовый сертификат можно использовать по назначению, например, установить на веб-сервер.

Установка SSL/TLS-сертификата на сервер с nginx

Для установки SSL/TLS-сертификата на веб-сервер nginx надо выполнить несколько простых шагов:

1) Скопировать файлы.key и.pem на сервер. В различных операционных системах сертификаты и ключи могут храниться в разных директориях. В Debian’е, к примеру, это директория /etc/ssl/certs для сертификатов и /etc/ssl/private для ключей. В CentOS это /etc/pki/tls/certs и /etc/pki/tls/private

2) Прописать необходимые настройки в конфигурационный файл для хоста. Вот как это примерно должно выглядеть (это просто пример):

Server { listen 443; server_name www.mycompany.com; root html; index index.html index.htm; ssl on; ssl_certificate server.pem; ssl_certificate_key server.key; ssl_session_timeout 5m; # Не рекомендуется использовать SSLv3 !!! # Он здесь только для примера ssl_protocols SSLv3 TLSv1; ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP; ssl_prefer_server_ciphers on; location / { try_files $uri $uri/ =404; } }

3) Перезапустить nginx

4) Зайти браузером на 443 порт сервера — https://www.mycompany.com и проверить его работоспособность.

Установка SSL/TLS-сертификата на сервер с Apache

Установка SSL/TLS-сертификата на Apache выглядит примерно так же.

1) Скопировать файлы ключа и сертификата на сервер в соответствующие директории

2) Включить модуль ssl для Apache командой «a2enmod ssl», если он еще не включен

3) Создать виртуальный хост, который будет слушать 443 порт. Конфиг будет выглядеть примерно так:

ServerAdmin [email protected] DocumentRoot /var/www Options FollowSymLinks AllowOverride None Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/ AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all ErrorLog ${APACHE_LOG_DIR}/error.log LogLevel warn CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined SSLEngine on SSLCertificateFile /etc/ssl/certs/server.pem SSLCertificateKeyFile /etc/ssl/private/server.key # Эта директива добавляет файл, содержащий список # всех сертификатов, которыми подписан сертификат сервера #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt SSLOptions +StdEnvVars SSLOptions +StdEnvVars BrowserMatch "MSIE " \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0 BrowserMatch "MSIE " ssl-unclean-shutdown

При этом надо сделать еще кое-что. Найти в файле httpd.conf, или apache2.conf, или ports.conf, в зависимости от системы, такой участок конфига:

Listen 443

Если такого условия нет, его надо добавить в конфиг. И еще одно: Надо добавить строку

NameVirtualHost *:443

Эта строка может находиться в файле httpd.conf, apache2.conf или ports.conf

4) Перезапустить веб-сервер Apache

Создание клиентского сертификата

Клиентский сертификат создается примерно так же, как серверный.

$ openssl genrsa -out client.key 2048 Generating RSA private key, 2048 bit long modulus ........................+++ ..................................................+++ e is 65537 (0x10001) $ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :Saint-Petersburg Locality Name (eg, city) :^C mnorin@mnorin-work:~/Temp/certs/CA$ openssl req -new -key client.key -out client.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ".", the field will be left blank. ----- Country Name (2 letter code) :RU State or Province Name (full name) :N/A Locality Name (eg, city) :Saint-Petrersburg Organization Name (eg, company) :My Company Organizational Unit Name (eg, section) :Engineering Common Name (e.g. server FQDN or YOUR name) :Ivan Ivanov Email Address :[email protected] Please enter the following "extra" attributes to be sent with your certificate request A challenge password : An optional company name : $ openssl x509 -req -in client.csr -CA root.pem -CAkey root.key -CAcreateserial -out client.pem -days 365 Signature ok subject=/C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] Getting CA Private Key $ openssl x509 -noout -issuer -subject -enddate -in client.pem issuer= /C=RU/ST=N/A/L=Saint-Petersburg/O=My Company/OU=IT Service/CN=My Company Root Certificate/[email protected] subject= /C=RU/ST=N/A/L=Saint-Petrersburg/O=My Company/OU=Engineering/CN=Ivan Ivanov/[email protected] notAfter=Jan 25 13:17:15 2016 GMT

Если необходим клиентский сертификат в формате PKCS12, создаем его:

$ openssl pkcs12 -export -in client.pem -inkey client.key -certfile root.pem -out iivanov.p12 Enter Export Password: Verifying - Enter Export Password:

Теперь можно использовать клиентский сертификат для работы с нашим сервером.

Настройка nginx на использование клиентских сертификатов

Чаще всего, как я уже сказал, используется односторонняя аутентификация, обычно проверяется только сертификат сервера. Давайте посмотрим, как заставить веб-сервер nginx проверять клиентский сертификат. Необходимо в секцию server добавить опции для работы с клиентскими сертификатами:

# Корневой сертификат(ы), которым(и) подписан клиентский ssl_client_certificate /etc/nginx/certs/clientroot.pem; # Возможные варианты: on | off | optional | optional_no_ca ssl_verify_client optional; # Глубина проверки цепочки сертификатов, которыми подписан клиентский ssl_verify_depth 2;

После этого надо перезагрузить настройки или сервер целиком и можно проверять работу.

Настройка Apache на использование клиентских сертификатов

Apache настраивается также через добавление дополнительных опций в секцию виртуального хоста:

# Директория, содержащая корневые сертификаты для проверки клиентов SSLCARevocationPath /etc/apache2/ssl.crl/ # или файл, содержащий сертификаты SSLCARevocationFile /etc/apache2/ssl.crl/ca-bundle.crl # Опция верификации клиента. Возможные варианты: # none, optional, require and optional_no_ca SSLVerifyClient require # Глубина просмотра цепочки подписей. По умолчанию 1 SSLVerifyDepth 2

Как видите, опции примерно такие же, как и для nginx, поскольку процесс проверки организован единообразно.

«Прослушка» информации о сертификате при помощи openssl

Для проверки взаимодействия сервера с клиентскими сертификатами можно проверить, устанавливается ли соединение с использованием TLS/SSL.

На стороне сервера запускаем прослушку порта при помощи openssl:

Openssl s_server -accept 443 -cert server.pem -key server.key -state

На стороне клиента обращаемся к серверу, например, culr’ом:

Curl -k https://127.0.0.1:443

В консоли со стороны сервера можно наблюдать процесс обмена информацией между сервером и клиентом.

Можно также использовать опции -verify [глубина проверки] и -Verify [глубина проверки]. Опция с маленькой буквы запрашивает у клиента сертификат, но он не обязан его предоставлять. С большой буквы — если сертификат не предоставлен, возникнет ошибка. Запустим прослушку со стороны сервера таким образом:

Openssl s_server -accept 443 -cert server.pem -key server.key -state -Verify 3

Со стороны сервера ошибка выглядит так:

140203927217808:error:140890C7:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate:s3_srvr.c:3287:

Со стороны клиента так:

Curl: (35) error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure

Добавим с клиентской стороны сертификат и доменное имя (можно для проверки вписать в файл /etc/hosts имя хоста для адреса 127.0.0.1):

Curl https://www.mycompany.com:443 --cacert root.pem --cert client.pem --key client.key

Теперь соединение пройдет успешно и можно устанавливать серверный сертификат на веб-сервер, клиентский отдать клиенту, и работать с ними.

Безопасность

При использовании SSL/TLS одним из основных методов является метод MITM (Man In The Middle), «человек посередине». Этот метод основывается на использовании серверного сертификата и ключа на каком-то узле, который будет прослушивать трафик и расшифровывать информацию, которой обмениваются сервер и клиент. Для организации прослушивания можно использовать, например, программу sslsniff. Поэтому корневой сертификат и ключ обычно желательно хранить на машине, которая не подключена к сети, для подписания приносить запросы на подпись на флэшке, подписывать и так же уносить. И, естественно, делать резервные копии.

В общих чертах именно так и используются цифровые сертификаты и протоколы TLS и SSL. Если есть вопросы/дополнения, пишите в комментарии.

Запись опубликована автором в рубрике с метками , .

Навигация по записям

: 29 комментариев

1. cl-service.com

   CSR клиент генерирует сам при заказе сертификата, где сохранять закрытый ключ также решает клиент, для выпуска сертификата нам не нужен закрытый ключ и клиент нам его никак не передает. Естественно если это происходит на обычном виртуальном, то у администраторов с root доступом к серверу есть доступ и к ключам, которые там хранятся.

2. Доброжелатель.

   Тема сисек не раскрыта, ибо описанная технология работы PKI не имеет ничего общего с заголовком темы. Хоть бы для причия ссылки на rfc привел.
   P.S. Был такой анекдот про собаку и блоху.

3. Доброжелатель.

   Нивкоем случае не хотел тебя обидеть. Искал инфу о различии SSl и TLS на практике и твоя ссылка в гугле была первая. Был заинтрегован названием темы. Все круто, так держать!

4. DrAibolit

   Благодарю за толковые пояснения о цифровой сертификации. Я новичок в этом=)
   Надеюсь разъясните следующий вопрос.
   Поскольку в интернет индустрии очень развита тема мошенничества, хотелось бы научиться определять на «вшивость» самостоятельно посещаемые мною сайты (особенно, где присутствуют кашельки и оплаты, инвестиции и т.д) и определять исходя из этого степень моего доверия (приходится часто регистрироваться, оставлять личную информацию, совершать покупки, транзакции, инвестиции). Если я правильно понял, что наличие данной сертификации позволяет сделать такую оценку. Ну и с другой стороны, получить ее не проблема и даже бесплатно.
   Как или с помощью какой программы можно определить наличие цифрового сертификата у того или иного сайта? и желательно его категорию, которая присваивается при выдаче спецорганом SSL DV (выдача сертификата проводится с проверкой только домена), SSL OV (с проверкой организации), EV (с расширенной проверкой юрлица). Мошеннические сайты скорее всего последним вариантом сертификации пользоваться не станут..
   Буду рад, если поведаете еще способы определения надежности сайтов))

   1. mnorin Автор записи

      Какой-то определенной программы для этих целей я еще не встречал, но пару советов по этому поводу могу дать.
      Можно использовать, например, Chromium или Google Chrome. Возьмем, например, сайт https://www.thawte.com/ — компания, которая собственно цифровымисертификатами и занимается.
      В адресной строке будет написано название компании и зеленый замочек. Это значит, что организация проверена, это как минимум SSL OV.
      Если кликнуть на замочек, а в выпавшем окошке «Details», а затем «View Certificate», то можно увидеть информацию о сертификате. Для Thawte сертификат подписан следующим сертификатом: «thawte Extended Validation SHA256 SSL CA», а сертификат для click.alfabank.ru тоже подписан Thawte, но другим сертификатом. Это «thawte EV SSL CA — G3», то есть они тоже проходили Extended Validation.
      Как-то так.

5. Руслан

   Раздел «Принцип работы SSL и TLS», «Клиент генерирует случайную цифровую последовательность».

   Я был уверен что клиент генерирует сеансовый закрытый и, соответственно, открытый ключи (который вы, очевидно, и назвали «цифровая последовательность»). Открытый ключ передаётся серверу и сервер шифрует пакеты в сторону клиента сеансовым открытым клиентским ключом.

   Уточните, пожалуйста.

6. Новичок

   Статья очень полезная! Даже есть практические примеры=) Только я не понял одну вещь — в чем различие между корневым сертификатом и серверным? или это одно и тоже?

7. Виталий

   Здравствуйте.
   Хостер предложил услугу - SSL для виртуальных серверов. Воспользовались. Оказалось, что для третьего уровня, т.е. http://www.site.ru сертификат недействителен, только для site.ru. Притом, посетителей упорно кидает на протокол https, не важно, заходят они на site.ru или на http://www.site.ru . Разумеется, во втором случае браузер начинает истошно ругаться, а посетитель до сайта так и не добирается.
   А для тех, кто до сайта таки добрался, сайт стал выглядеть криво, пропала часть меню, перестала отображаться часть картинок в выдаче некоторыми компонентами.

Континент TLS VPN - сертифицированное решение защиты доступа удаленных пользователей к защищаемым ресурсам.

Континент TLS VPN имеет клиент-серверную архитектуру и состоит из СЗКИ «Континент TLS VPN Сервер», который устанавливается на границе периметра сети, и VPN -клиента СКЗИ «Континент TLS VPN Клиент», устанавливаемого на компьютеры удаленных пользователей. «Континент TLS VPN Сервер» обеспечивает конфиденциальность, целостность и имитозащиту передаваемой информации и выполняет функции:

• аутентификацию пользователей по сертификатам открытых ключей стандарта x.509v3 (ГОСТ Р 31.11–94, 34.10–2001);
• проверку сертификата пользователя по списку отозванных CRL;
• установление защищенных шифрованных соединений по протоколу HTTPS;
• трансляцию запросов к веб-серверам корпоративной сети и другие.

Континент TLS VPN Сервер IPC-3000F (S021), 2014

СКЗИ «Континент TLS VPN Клиент» представляет собой локальный прозрачный прокси-сервис, который обеспечивает обоюдную аутентификацию с сервером, установку защищенного соединения, обмен зашифрованными данными с сервером. Он также совместим с большинством существующих интернет-браузеров. Кроме того, допускается возможность работы пользователей через «Континент TLS VPN Сервер» без установки клиентского ПО СКЗИ «Континент TLS VPN Клиент». В этом случае на компьютере пользователя должен использоваться браузер MS Internet Explorer c установленным криптосервис-провайдером «КриптоПро CSP » (версии 3.6 или 3.9), обеспечивающим поддержку криптоалгоритмов ГОСТ.

Продукт предназначен для:

• безопасного подключения пользователей к порталам государственных услуг, электронным торговым площадкам, системам интернет-банкинга или корпоративным приложениям через веб-браузер.
• криптографической защиты http-трафика при передаче данных по открытым каналам сетей общего пользования.

Основные возможности

• Криптографическая защита
  • Использование протокола TLS c шифрованием по ГОСТ 28147–89 обеспечивает надежную защиту HTTP-трафика на транспортном уровне
• Мониторинг и журналирование событий ИБ
  • Получение оперативной информации о статистике работы и текущих соединениях сервера «Континент TLS VPN»
• Идентификация и аутентификация пользователей
  • Идентификация и аутентификация пользователей по сертификатам открытых ключей стандарта x.509. Передача аутентификационных данных пользователя на веб-сервер.
• Работа с внешними удостоверяющими центрами (УЦ)
  • Для создания сертификатов x.509 «Континент TLS VPN» использует внешний УЦ «КриптоПро»
• Прозрачное проксирование HTTP-трафика
  • Для защищенного входа на веб-сервис пользователю достаточно указать ip-адрес или доменное имя в адресное строке браузера.
• Масштабируемость и отказоустойчивость
  • Поддержка режима работы в схеме высокопроизводительного кластера с балансировкой нагрузки (внешним балансировщиком). Повышение отказоустойчивости достигается добавлением в кластер избыточной ноды.

Особенности

• Высокая производительность – до 20 000 одновременных подключений на одну ноду (IPC-3000F).
• Совместимость с любыми веб-браузерами.
• Удобство управления – все настройки осуществляются администратором через веб-браузер.
• Неограниченная масштабируемость производительности – возможность объединения в высокопроизводительный кластер для достижения производительности свыше 100 тыс. одновременных соединений.
• Простота внедрения и эксплуатации – готовое решение избавляет от необходимости встраивания в веб-сервер криптографических модулей и прохождения процедуры контроля встраивания СКЗИ.
• Простая интеграция с внешними SIEM -системами.

Сертификаты

• Сертификат ФСТЭК России на соответствие требованиям на отсутствие НДВ по 4-му уровню контроля. Применяется для защиты АС до класса 1Г включительно, ИСПДн до УЗ 1 включительно и ГИС до 1 класса включительно.

• Сертификаты ФСБ России «Континент TLS VPN Сервер» на СКЗИ класса КС2 и «Континент TLS VPN Клиент» на СКЗИ класса КС2 и КС1.

2018: Выпуск «Континент TLS-сервера» версии 2.1

Заказчики «Континент TLS-сервер» 2.1 получили возможность централизованно обновлять клиентскую часть комплекса на компьютерах удаленных пользователей. Кроме того, в представленной версии была упрощена система лицензирования продукта: для кластера из нескольких устройств требуется только одна лицензия на максимальное число одновременных подключений. Также было принято решение объединить лицензии на подключение к прокси-серверу и лицензии на подключение через TLS-туннель. Все это упрощает эксплуатацию и выбор подходящей архитектуры решения.

На июль 2018 года «Континент TLS-сервер» 2.1 передан на сертификацию в ФСБ России . После прохождения испытаний продукт будет сертифицирован по классам КС1 и КС2.

Данная версия продукта «Континент TLS-сервер» призвана облегчить работу администраторов в период смены стандартов шифрования, предоставить возможность удобного мониторинга. Изменения в политике лицензирования и возможность выделения отдельного порта управления продуктом должны расширить область его применения. Поддержка широкого спектра TLS-клиентов позволит быстро построить систему защищенного доступа к веб-приложению там, где уже используются криптопровайдеры сторонних производителей. Теперь наш продукт поддерживает "КриптоПро ", "Валидата" и доверенный браузер "Спутник".

2016

Высокую динамику продемонстрировали и относительно новые (выпущенные в 2015 году) продукты линейки «Континент» – «Континент TLS VPN » и криптокоммутатор «Континент». Объем их продаж составил 71 млн руб. и 62 млн руб. соответственно. Спрос на «Континент TLS VPN» был обусловлен растущим интересом заказчиков к применению российских алгоритмов шифрования для защиты доступа к госпорталам, а также к организации защищенного удаленного доступа с использованием алгоритмов ГОСТ. Фактором роста продаж криптокоммутаторов «Континент» стала необходимость защиты каналов связи в территориально распределенных центрах обработки данных.

Вышел технический релиз «Континент TLS VPN» 1.0.9 с порталом приложений

Компания «Код безопасности» объявила в апреле 2016 года о выходе технического релиза версии продукта «Континент TLS VPN », предназначенного для обеспечения безопасного удаленного доступа к информационным системам, осуществляющим обработку персональных данных (ИСПДн) и государственным информационным системам (ГИС). В продукте реализован ряд новых функций.

Одно из наиболее значимых изменений в «Континент TLS VPN» 1.0.9 – это создание портала приложений с возможностью аутентификации и авторизации с использованием учетных данных из Active Directory . Такая доработка значительно упрощает процесс управления доступом к корпоративным web-сервисам различным категориям пользователей. Например, с помощью портала можно обеспечить единую точку доступа для сотрудников компании и её подрядчиков. При этом набор доступных приложений будет зависеть от категории и прав пользователя.

Еще одно отличие – добавление возможности создания стартовой страницы сервера, доступной по открытому протоколу HTTP . Она позволяет значительно сократить затраты на поддержку защищенного web-приложения.

В версии 1.0.9 также добавлена возможность работы продукта в режиме TLS-туннеля, что позволяет снять с удаленного пользователя ограничения по взаимодействию через канал, зашифрованный по протоколу TLS. Подобное соединение позволяет обеспечить доступ не только к web-ресурсам, но и к другим типам приложений, например, терминальным серверам (по протоколу RDP) или «толстым клиентам» для корпоративных приложений (ERP , CRM и т.д.). Такой подход значительно увеличивает количество сценариев удаленного доступа, при которых может применяться «Континент TLS VPN».

«Код безопасности» оценил сроки перехода госорганов на российские средства шифрования

16 июля 2016 года на сайте Кремля было опубликовано поручение президента главе правительства о необходимости подготовить переход органов власти на использование российских криптографических алгоритмов и средств шифрования до 1 декабря 2017 года. В частности, правительство должно обеспечить разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода на использование российских криптографических алгоритмов и средств шифрования, а также предусмотреть безвозмездный доступ граждан РФ к использованию российских средств шифрования.

Опубликованный документ повлечет за собой определенные шаги по приведению ИТ-инфраструктур государственных органов в соответствие заявленным требованиям. В частности, в госструктурах ожидается массовая установка в дополнение к имеющимся решениям отечественных средств криптографической защиты информации (СКЗИ).

Подробнее:

• Закон Яровой (О внесении изменений в УК и УПК РФ в части установления дополнительных мер противодействия терроризму)

Эксперты «Кода безопасности » отмечают, что нововведение коснется в первую очередь порталов государственных услуг федеральных и региональных ведомств. При этом реализация данной задачи затрагивает два аспекта: внедрение СКЗИ на стороне веб-сервера и на стороне пользователей. Если предположить, что на стороне пользователей будет реализовано встраивание сертифицированной криптобиблиотеки в браузер , то решить задачу на стороне веб-сервера можно двумя способами.

Один из них – это встраивание СКЗИ в веб-серверы, второй – внедрение программно-аппаратного комплекса (ПАК) с реализацией TLS VPN (одним из таких продуктов является «Континент TLS VPN Сервер», разработанный «Кодом безопасности»), который будет перехватывать HTTP/HTTPS -трафик и шифровать его в соответствии с алгоритмом шифрования по ГОСТ (28147-89). Каждый из вариантов имеет свои особенности – как с точки зрения технической реализации, так и с точки зрения сроков выполнения проекта.

По оценкам аналитиков «Кода безопасности», в первом случае (встраивание) этапы работ будут следующими:

• Разработка организационно-распорядительной документации (ОРД) - 2 мес.;
• Внедрение - 0,5 мес.;
• Контроль встраивания СКЗИ в ФСБ России - 7 мес.;

В результате такой проект можно будет осуществить в течение 1 года.

При выборе варианта установки ПАК проект будет разбит на следующие стадии:

• Разработка ОРД - 2 мес.;
• Проведение открытого конкурса по 44-ФЗ - 2,5 мес.;
• Поставка оборудования и ПО - 1,5 мес.;
• Внедрение - 0,5 мес.

Общая длительность проекта в таком случае составит около 7 месяцев.

Эксперты «Кода безопасности» отмечают, что, исходя из общепринятой практики, между выпуском поручения правительству и началом работ компаний по проектам (с учетом необходимости разработки и принятия подзаконных актов) проходит не менее трех месяцев. Соответственно, есть риск, что выбравшие вариант встраивания СКЗИ в веб-серверы организации с трудом уложатся в поставленные президентом сроки. А в случае задержки принятия подзаконных актов свыше трех месяцев возможны срывы сроков внедрения.

«Помимо сложностей со сроками первый путь - встраивание - сопряжен и с другими трудностями. Это дополнительные трудозатраты сначала на оформление и согласование пакета документов для испытательной лаборатории, а затем - на внесение изменений в код и отладку приложения по итогам анализа испытательной лаборатории. Но главное плюс второго варианта в том, что при выборе ПАК заказчик получает мощное высокопроизводительное промышленное решение, рассчитанное на крупные организации. Оно масштабируемо, удобно в управлении, совместимо с любыми интернет-браузерами, легко интегрируется с внешними SIEM-системами», - рассказал Коростелев Павел , менеджер по маркетингу продуктов компании «Код безопасности ».

С учетом вышеизложенного «Код безопасности» рекомендует госзаказчикам выбрать оптимальный алгоритм исполнения требований законодательства и пойти по пути внедрения программно-аппаратного комплекса (ПАК) с реализацией TLS VPN. Для защищенного доступа удаленных пользователей к web-ресурсам применяется сертифицированный ФСБ России программно-аппаратный комплекс «Континент TLS VPN». Он легко развертывается, обладает бесплатным TLS-клиентом для конечных пользователей и может поддерживать свыше 100 тыс. одновременных подключений.

России от 30.07.2015 СФ/124–2676 на СКЗИ «Континент TLS VPN Сервер» и СФ/525-2677, СФ/525-2678 на СКЗИ «Континент TLS VPN Клиент» (исполнение 1 и 2) подтверждают соответствие требованиям, предъявляемым ФСБ России к шифровальным (криптографическим) средствам класса КС2 и КС1. Сертификаты ФСБ России разрешают применение СКЗИ «Континент TLS VPN» для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.

Сертификат ФСТЭК России № 3286, выданный 02.12.2014 на СКЗИ «Континент TLS VPN Сервер», подтверждает соответствие продукта требованиям руководящих документов по 4-му уровню контроля на отсутствие НДВ и разрешает его использование при создании АС до класса защищенности 1Г включительно и для защиты информации в ИСПДн и ГИС до 1 класса включительно.

Программа континент TLS помогает пользователям получить защищенный доступ к определенным веб-ресурсам. Ключевая информация хранится в защищенном контейнере.

Использование

Пользователи корпоративной сети теперь могут получить удаленный и защищенный доступ к конкретным ресурсам в интернете. Во время установки соединения обеспечивается обоюдная аутентификация с сервером. Для получения доступа необходимо ввести в браузере адрес сайта. В итоге, клиент обрабатывает и отправляет запрос на сервер для создания защищенного соединения. Аутентификация обеспечивается на базе сертификатов ключей.

Возможности Клиента

Протокол соединения между сервером и Клиентом - TLSv1. Ресурс, по которому установлен защищенный контакт, должен содержать в имени сервера значение TLS. Если все сделано правильно, то на дисплее отобразится сертификат, который можно обновить, нажав соответствующую кнопку. Присутствует возможность автоматического запоминания логина и пароля при входе в систему. Стоит отметить, что если 5 раз подряд ввести недостоверную информацию в процессе авторизации, то система автоматически заблокируется. Повторно ввести данные можно будет только спустя 10 минут.

Ключевые особенности

• программа полностью совместима со всеми версиями Windows;
• в процессе использования обеспечивается надежная защита между корпоративными пользователями;
• такой Клиент является оптимальным решением, когда происходит обмен данными и утечка информации недопустима;
• для входа потребуется ввести данные (логин и пароль) и запустить сертифицированный ключ;
• работа осуществляется только с серверами, которые поддерживают TLSv1 и TLSv1.2 протоколы.

Настройка АРМ Электронного бюджета происходит в несколько этапов, они не сложные, но требуют внимательности. Делаем все по инструкции по настройке электронного бюджета. Коротко и по делу…

Электронный бюджет настройка рабочего места

Корневой сертификат электронный бюджет

Создайте папку key в Моих документах, чтобы хранить в этой папке скаченные сертификаты:

На сайте http://roskazna.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ в меню ГИС -> Удостоверяющий центр -> Корневые сертификаты, необходимо скачать «Корневой сертификат (квалифицированный)» (см. рисунок), либо если вами была получена флешка с сертификатами скопируйте их с папки Сертификаты.

Сертификат Континент TLS VPN

Второй сертификат который необходимо скачать, это сертификат Континент TLS VPN, но я не смог найти на новом сайте roskazna, поэтому ставлю ссылку со своего сайта. Скачиваем сертификат Континент TLS VPN в папку key, он нам пригодиться позднее, когда будем настраивать программу Континент TLS клиент.

Устанавливаем скаченный Корневой сертификат (квалифицированный) для работы с электронным бюджетом.

В меню ПУСК -> Все программы -> КРИПТО-ПРО -> запустите программу Сертификаты.

Перейдите в пункт Сертификаты как показано на рисунке ниже:

Заходим в меню Действие - Все задачи - Импорт, появится окно Мастер импорта сертификатов - Далее - Обзор - Находим скаченный Корневой сертификат (квалифицированный) в нашем случае он находиться в Моих документах в папке key

Если все сделали правильно, то корневой сертификат УЦ Федерального казначейства появиться в папке сертификаты.

Установка «Континент TLS Клиент» для работы с электронным бюджетом

Continent_tls_client_1.0.920.0 можно найти в интернете.

Распаковываем скаченный архив, заходим в папку CD и запускаем ContinentTLSSetup.exe

Из пункта нажимаем на Континент TLS Клиент KC2 и запускаем установку.

Принимаем условия

В папке назначения оставляем по дефолту

В окне запуск конфигуратора, ставим галочку на Запустить конфигуратор после завершения установки.

При установке появиться окно Настройка сервиса:

Адрес - указываем lk.budget.gov.ru

Сертификат - выбираем второй сертификат скаченный ранее в папке key.

Нажимаем ОК и завершаем установку, Готово.

На запрос о перезагрузке операционной системы отвечаем Нет.

Установка средства электронной подписи «Jinn-Client»

Скачать программу Jinn-Client можно в интернете.

Заходим в папку Jinn-client - CD, запускаем setup.exe

Нажимаем из списка Jinn-Client, запускается установка программы

Не обращаем внимания на ошибку, нажимаем Продолжить, Далее, принимаем соглашение и нажимаем кнопку Далее.

Введите выданный лицензионный ключ

Устанавливаем программу по умолчанию, нажимаем Далее

Завершаем установку, на вопрос о перезагрузке операционной системы отвечаем Нет

Установка модуля для работы с электронной подписью «Cubesign»

Если будет нужен архив с программой, пишите в комментариях.

Запускаем установочный файл cubesign.msi

Настройка браузера Mozilla Firefox для работы с Электронным бюджетом.

1. Откройте меню «Инструменты» и выберите пункт «Настройки».

2. Перейти в раздел «Дополнительные» на вкладку «Сеть»

3. В секции настроек «Соединение» нажать кнопку «Настроить…».

4. В открывшемся окне параметров соединения установить значение

«Ручная настройка сервиса прокси».

5. Задать значения полей HTTP-прокси: 127.0.0.1; Порт: 8080.

6. Нажать кнопку «ОК».

7. В окне «Настройки» нажать кнопку «Ок».

Вход в личный кабинет Электронного бюджета

Откроется окно с выбором сертификата для входа в личный кабинет Электронного бюджета.

Выбираем сертификат для входа в Личный кабинет Электронного бюджета, если есть пароль на закрытую часть сертификата пишем и нажимаем ОК, после откроется Личный кабинет Электронного бюджета.

Для установки ПО «Континент TLS Клиент» необходимо:

Рисунок 33. Стартовое окно мастера установки ПО «Континент TLS Клиент».

Рисунок 34. Окно лицензионного соглашения ПО «Континент TLS Клиент».

3. Поставьте отметку в поле «Я принимаю условия лицензионного соглашения» и нажмите кнопку «Далее». На экране появится окно ввода лицензионного ключа, поставляемого с ПО «Континент TLS Клиент» на бумажном или электронном носителе.

Рисунок 35. Окно ввода лицензионного ключа ПО «Континент TLS Клиент».

4. Введите лицензионный ключ и нажмите кнопку «Далее». На экране появится диалог выбора пути установки ПО «Континент TLS Клиент».

Рисунок 36. Окно выбора пути установки ПО «Континент TLS Клиент».

5. Оставьте путь установки по умолчанию. Нажмите кнопку «Далее». На экране появится диалог «Запуск конфигуратора».

Рисунок 37. Окно запуска конфигуратора ПО «Континент TLS Клиент».

6. Установите отметку в поле «Запустить конфигуратор после завершения установки».

Рисунок 38. Окно готовности к установке ПО «Континент TLS Клиент».

8. Нажмите кнопку «Установить». Начнется установка компонента.

Рисунок 39. Процесс установки ПО «Континент TLS Клиент».

9. На экране отобразится диалог настройки ПО «Континент TLS Клиент».

Рисунок 40. Настройка ПО «Континент TLS Клиент».

Для настройки ПО необходимо:

a) В разделе «Настройки Континент TLS Клиента» значение «Порт» оставить по умолчанию, равное 8080.

b) В разделе «Настройки защищаемого сервера» в поле «Адрес» задать имя сервера TLS: lk.budget.gov.ru.

c) В разделе «Настройки защищаемого сервера» в поле «Сертификат» указать файл сертификата сервера TLS, скопированный в локальную директорию в п.3.1 настоящего Руководства.

Рисунок 41. Настройка ПО «Континент TLS Клиент». Выбор сертификата.

d) Если в АРМ пользователя не используется внешний прокси-сервер, нажать кнопку «ОК».

e) В противном случае, указать адрес и порт используемого внешнего прокси-сервера организации.

Рисунок 42. Настройка сервиса ПО «Континент TLS Клиент». Настройка внешнего прокси-сервера.

f) Нажать кнопку «ОК».

10. На экране отобразится диалог завершения установки ПО «Континент TLS Клиент».

Рисунок 43. Диалог завершения установки ПО «Континент TLS Клиент».

11. Нажать кнопку «Готово».

12. На экране отобразится диалог о необходимости перезагрузки АРМ пользователя.

Рисунок 44. Диалог о необходимости перезагрузки АРМ Пользователя.

13. Нажать кнопку «Нет».