1.3.4 Szyfrowanie połączeń za pomocą TLS

 

Największe bezpieczeństwo przesyłanych pomiędzy stanowiskami danych możemy uzyskać poprzez włącznie opcji szyfrowania połączeń za pomocą TLS (ang. Transport Layer Security). Jest to bardzo bezpieczny i powszechnie stosowany w Internecie standard zabezpieczania komunikacji, będący rozwinięciem protokołu SSL. Zapewnia poufność i integralność transmisji danych, a także uwierzytelnienie serwera, a opcjonalnie również klienta. Opiera się na szyfrowaniu asymetrycznym oraz certyfikatach X.509.

Oprócz samego włączenia opcji „Szyfruj połączenia za pomocą TLS” wymagane jest dodatkowo skonfigurowanie dla serwerów certyfikatów. Certyfikat SSL dla serwera musi być zainstalowany na komputerze serwera w grupie 'Komputer lokalny\Osobisty'. Można wtedy przypisać taki certyfikat do stanowiska serwera w ustawieniach zabezpieczeń (Eksplorator aplikacji > Zabezpieczenia > Certyfikaty stanowisk > Certyfikat SSL serwera) poprzez wybranie z listy lub ręczne wpisanie jego odcisku palca. Dla połączeń HTTP(s) należy dodatkowo w systemie Windows przypisać certyfikat SSL do właściwego portu HTTP(s). Można w tym celu wykorzystać narzędzie 'Konfigurator komunikacji Windows'. Oprócz wyboru zainstalowanych na komputerze certyfikatów, narzędzie to pozwala również wygenerować testowy certyfikat dla danego komputera, ale docelowo zalecamy jednak zakup oficjalnego certyfikatu SSL u jednego z wielu oficjalnych dostawców lub w przypadku wewnętrznych sieci korporacyjnych wystawieniu takiego certyfikatu przez administratora Domeny Windows.

Zakupione oficjalnie certyfikaty zwykle nie wymagają po stronie zdalnego stanowiska Asix.Evo przyłączającego się do serwera żadnych dodatkowych operacji. W przypadku certyfikatów wygenerowanych na własną rękę lub certyfikatu testowego Asixa utworzonego narzędziem 'Konfigurator komunikacji Windows', może się okazać konieczne wyeksportowanie z serwera takiego certyfikatu do pliku i zaimportowanie go na zdalnym stanowisku klienta do grupy „Zaufane osoby”. W przypadku komunikacji http należy z serwera wyeksportować certyfikat bazowy dla certyfikatu SSL i zaimportować go na zdalnym stanowisku klienta do grupy ‘Zaufane główne urzędy certyfikacji’ komputera.

Gdy mamy włączone szyfrowanie TLS, to opcjonalnie można również aktywować mechanizm „Uwierzytelnianie wszystkich połączeń przychodzących”. Spowoduje to, że serwer będzie dopuszczał tylko połączenia od zaufanych klientów, ale wymaga skonfigurowania certyfikatów również dla klientów. Certyfikat dla stanowiska klienta musi być zainstalowany na komputerze klienta w grupie 'Bieżący użytkownik\Osobisty'. Można wtedy przypisać taki certyfikat do stanowiska klienta w ustawieniach zabezpieczeń (Eksplorator aplikacji > Zabezpieczenia > Certyfikaty stanowisk > Certyfikat klienta) poprzez wybranie z listy lub ręczne wpisanie jego odcisku palca. Stanowiska serwerowe będą akceptowały połączenia tylko od tych klientów, których certyfikaty będą im znane. Jeżeli serwer nie rozpoznaje automatycznie certyfikatu klienta lub jego wystawcy, to należy taki certyfikat klienta umieścić w grupie 'Komputer lokalny\Zaufane osoby' komputera serwera lub certyfikat jego wystawcy w grupie 'Komputer lokalny \Zaufane główne urzędy certyfikacji' komputera serwera. Certyfikat można wybrać z listy certyfikatów bieżącego komputera lub wpisać ręcznie jego odcisk palca.

 

Rys. Przypisywanie certyfikatów do stanowisk w ustawieniach zabezpieczeń.