Каналы SSL-TX/SSL-RX
ver.2.4, build 0030, 2003-05-04
Описание
Протокол SSL (v.2/v.3) используется поверх TCP/IP для обеспечения аутентификации и шифрации пакетов DTP/DIA. Каналы реализуются на основе библиотеки OpenSSL 0.9.6 или более новой. Так же, как и для каналов TCP, возможны две схемы передачи информации:
- В первом случае источник привязывается к определенному TCP-порту, при этом он должен иметь IP-адрес доступный для всех сборщиков. Эта схема ориентирована на ИИС, в которых один источник передает данные нескольким сборщикам.
- Вторая схема требует, чтобы сборщик привязывался к определенному TCP-порту и имел доступный для всех источников IP-адрес. Такая схема ориентирована на ИИС, в которых один сборщик получает данные от нескольких источников.
Та или иная схема выбирается при помощи ключей Listen или Connect.
Возможность аутентификации реализована на основе обмена сертификатами при установлении соединения по протоколу SSL. Вне зависимости от использованной схемы, обе стороны соединения обязаны предоставить друг другу сертификаты X509, подписанные доверенным агентством сертификации (CA). Если одна из сторон обнаруживает, что не может проверить подлинность предоставленного сертификата, она разрывает соединение. После того, как установлена подлинность сертификата, может быть использовано ограничение по имени субъекта сертификата. Таким образом, используются два файла: один объединяет собственный сертификат узла ИИС (информация о субъекте, информация о CA, открытый ключ субъекта и цифровая подпись CA) и закрытый ключ, а второй содержит сертификат CA.
Для каналов этого типа также используются параметры ReuseAddr, KeepAlive, MaxBacklog из секции <TCP defaults>.
Кроме того, используются несколько глобальных параметров, задаваемых в секции <SSL>.
- Ключ TrustedCA
- Win32[-] Unix[+]
- Ключ определяет имя файла сертификата или каталога с сертификатами,
используемого для проверки подлинности предоставляемого удаленной
стороной сертификата. Файл(ы) должен содержать сертификат доверенного
агентства сертификации в формате PEM.
Значение по умолчанию отсутствует. Если ключ содержит некорректное значение, ни один канал типа SSL не будет функционировать. - Ключ password
- Win32[-] Unix[+]
- Пароль для доступа к закрытому ключу.
Значение по умолчанию отсутствует.
Параметры каналов:
Ключи Listen и Connect взаимоисключающие. Приоритет имеет Listen (используется по умолчанию).
- Ключ Type
- Win32[-] Unix[+]
- Задает тип канала. Ключ обязателен. Для канала-источника (ретранслятора) надо указать SSL-TX, а для канала-сборщика - SSL-RX.
- Ключ Listen
- Win32[-] Unix[+]
- Программа привязывается к указанному порту и "слушает" его, ожидая соединения.
По умолчанию: 3489. - Ключ Connect
- Win32[-] Unix[+]
- Программа устанавливает соединение по указанному адресу.
Адрес задается в виде: IP:port или domainname:port.
По умолчанию: 127.0.0.1:3489.
- Ключ SSL
- Win32[-] Unix[+]
- Ключ определяет имя файла с собственным сертификатом из закрытым ключом системы.
Значение по умолчанию отсутствует. - Ключ CheckSubj
- Win32[-] Unix[+]
- Если ключ присутствует, после проверки подлинности предоставленного удаленной стороной
сертификата производится контроль субъекта сертификата. В имени субъекта предоставленного
сертификата должна присутствовать задаваемая данным ключом строка, в противном случае
фиксируется нарушение контроля субъекта и соединение разрывается.
По умолчанию: отсутствует, контроль субъекта не производится.