Product: DCFW
Version: 8.x
Профиль SSL позволяет указать протоколы SSL или отдельные алгоритмы шифрования и цифровой подписи, которые в дальнейшем могут быть использованы в настройках веб-консоли, страницы авторизации, страницы блокировки.
Для создания профиля SSL необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили SSL и указать необходимые параметры:
|
Наименование
|
Описание
|
|
Название
|
Название профиля SSL.
|
|
Описание
|
Описание профиля SSL.
|
|
Протоколы SSL
|
Минимальная версия TLS — устанавливает минимальную версию TLS, которая может быть использована в данном профиле.
Максимальная версия TLS — устанавливает максимальную версию TLS, которая может быть использована в данном профиле.
Оба эти параметра определяют диапазон версий TLS, которые будут поддерживаться данным профилем.
|
|
Наборы алгоритмов шифрования
|
Данный раздел позволяет выбрать необходимые алгоритмы шифрования и цифровой подписи. Возможные значения указаны в виде строк, в которых перечислены алгоритм и подпись. Администратор может указать только те наборы алгоритмов и подписей, которые считает нужным для безопасной работы организации. Список поддерживаемых комбинаций следующий:
-
TLS AES 128 CCM SHA256
-
TLS AES 128 GCM SHA256
-
TLS AES 256 GCM SHA384
-
TLS DHE DSS WITH 3DES EDE CBC SHA
-
TLS DHE DSS WITH AES 128 CBC SHA
-
TLS DHE DSS WITH AES 128 CBC SHA256
-
TLS DHE DSS WITH AES 128 GCM SHA256
-
TLS DHE DSS WITH AES 256 CBC SHA
-
TLS DHE DSS WITH AES 256 CBC SHA256
-
TLS DHE DSS WITH AES 256 GCM SHA384
-
TLS DHE RSA WITH 3DES EDE CBC SHA
-
TLS DHE RSA WITH AES 128 CBC SHA
-
TLS DHE RSA WITH AES 128 CBC SHA256
-
TLS DHE RSA WITH AES 128 GCM SHA256
-
TLS DHE RSA WITH AES 256 CBC SHA
-
TLS DHE RSA WITH AES 256 CBC SHA256
-
TLS DHE RSA WITH AES 256 GCM SHA384
-
TLS ECDH ECDSA WITH 3DES EDE CBC SHA
-
TLS ECDH ECDSA WITH AES 128 CBC SHA
-
TLS ECDH ECDSA WITH AES 128 CBC SHA256
-
TLS ECDH ECDSA WITH AES 128 GCM SHA256
-
TLS ECDH ECDSA WITH AES 256 CBC SHA
-
TLS ECDH ECDSA WITH AES 256 CBC SHA384
-
TLS ECDH ECDSA WITH AES 256 GCM SHA384
-
TLS ECDH RSA WITH 3DES EDE CBC SHA
-
TLS ECDH RSA WITH AES 128 CBC SHA
-
TLS ECDH RSA WITH AES 128 CBC SHA256
-
TLS ECDH RSA WITH AES 128 GCM SHA256
-
TLS ECDH RSA WITH AES 256 CBC SHA
-
TLS ECDH RSA WITH AES 256 CBC SHA384
-
TLS ECDH RSA WITH AES 256 GCM SHA384
-
TLS ECDHE ECDSA WITH 3DES EDE CBC SHA
-
TLS ECDHE ECDSA WITH AES 128 CBC SHA
-
TLS ECDHE ECDSA WITH AES 128 CBC SHA256
-
TLS ECDHE ECDSA WITH AES 128 GCM SHA256
-
TLS ECDHE ECDSA WITH AES 256 CBC SHA
-
TLS ECDHE ECDSA WITH AES 256 CBC SHA384
-
TLS ECDHE ECDSA WITH AES 256 GCM SHA384
-
TLS ECDHE RSA WITH 3DES EDE CBC SHA
-
TLS ECDHE RSA WITH AES 128 CBC SHA
-
TLS ECDHE RSA WITH AES 128 CBC SHA256
-
TLS ECDHE RSA WITH AES 128 GCM SHA256
-
TLS ECDHE RSA WITH AES 256 CBC SHA
-
TLS ECDHE RSA WITH AES 256 CBC SHA384
-
TLS ECDHE RSA WITH AES 256 GCM SHA384
-
TLS GOST2012256 WITH 28147 CNT IMIT
-
TLS GOSTR341001 WITH 28147 CNT IMIT
-
TLS RSA WITH 3DES EDE CBC SHA
-
TLS RSA WITH AES 128 CBC SHA
-
TLS RSA WITH AES 128 CBC SHA256
-
TLS RSA WITH AES 128 GCM SHA256
-
TLS RSA WITH AES 256 CBC SHA
-
TLS RSA WITH AES 256 CBC SHA256
-
TLS RSA WITH AES 256 GCM SHA384
|
|
Установка алгоритмов шифрования для стандартных протоколов
|
Данный раздел можно использовать для облегчения выбора необходимых алгоритмов шифрования и подписи для стандартных протоколов TLS. Администратор может указать в поле Выберите протокол для установки алгоритмов необходимые версии протоколов TLS, нажать на кнопку Применить, и алгоритмы, соответствующие выбранной версии протокола автоматически будут отмечены. Можно последовательно добавить несколько версий протокола TLS.
|
По умолчанию в продукте создано несколько профилей SSL, которые могут быть использованы администратором как есть, либо изменены/удалены при необходимости. Созданы следующие профили SSL:
|
Наименование
|
Описание
|
|
Default SSL profile
|
Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.1 до TLS v.1.2. Это наиболее распространенные версии протоколов, используемые в сети интернет в данное время. Данный профиль используется по умолчанию в:
|
|
Default SSL profile (TLSv1.3)
|
Содержит алгоритмы и подписи, соответствующие версии TLS v.1.3. По умолчанию не используется.
|
|
Default SSL profile (GOST)
|
Содержит алгоритмы и подписи, соответствующие TLS с ГОСТ-алгоритмами (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT). Может быть использован в организациях, где требуется использование данных алгоритмов. Поддержка данных протоколов должна также быть обеспечена со стороны используемых браузеров. По умолчанию не используется.
|
|
Default SSL profile (web console)
|
Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.0 до TLS v.1.2. Данный профиль используется по умолчанию для предоставления SSL-доступа в веб-консоль.
Важно! Изменение данного профиля следует производить с осторожностью. Указание алгоритмов, не поддерживаемых вашим браузером, может привести к потере доступа в веб-консоль!
|
