Настройка защищенного соединения с использованием ГОСТ-TLS

Установка и настройка nginx

sudo dpkg -i cprocsp-nginx-64_5.0.XXXXX-X _amd64.deb #nginx

Настройка доступа к веб-интерфейсу Центра Мониторинга по протоколу ГОСТ-TLS с односторонней аутентификацией

Для настройки необходимо выполнить следующие действия.

1. Открыть конфигурационный файл cpnginx.conf (/etc/opt/cprocsp/cpnginx/cpnginx.conf).

2. Добавить подключение к Веб-интерфейсу Центра Мониторинга через 443 порт.

server {
    listen 443 sspi;
….
location /hm {
   rewrite /hm(.+) $1 break;
   rewrite /hm /hm/ permanent;
   proxy_pass http://localhost:<ПОРТ ВЕБ-ИНТЕРФЕЙСА МОНИТОРИНГА>;
   proxy_set_header Host $host;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   proxy_set_header X-Forwarded-Proto $scheme;
  }
 location /hmsrv {
   rewrite /hmsrv(.+) $1 break;
   rewrite /hmsrv /hmsrv/ permanent;
   proxy_pass http://localhost:<ПОРТ СЛУЖБЫ МОНИТОРИНГА>;
   proxy_set_header Host $host;
   proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   proxy_set_header X-Forwarded-Proto $scheme;
 }
….
}

3. Отредактировать файл сервиса cprohm-hmfe (/etc/systemd/system/cprohm-hmfe.service), добавив в него следующий параметр:

Environment=DSS_APPLICATION_NAME=hm

4. Перезапустить сервис cpnginx.

sudo systemctl restart cpnginx.service

Настройка доступа к веб-интерфейсу Центра Мониторинга по протоколу ГОСТ-TLS с двусторонней аутентификацией

Для настройки необходимо выполнить следующие действия.

1. Открыть конфигурационный файл cpnginx.conf (/etc/opt/cprocsp/cpnginx/cpnginx.conf).

2. Добавить подключение к Веб-интерфейсу Центра Мониторинга через 443 порт.

server {
    listen 4430 sspi;
….
location /hm {
       set $auth 0;
        if ( $sspi_client_fingerprint = 'ОТПЕЧАТОК СЕРИТИФИКАТА ПОЛЬЗОВАТЕЛЯ') {
                set $auth 1;
        }
        if ( $auth = 0 ) {
                return 403;
        }
        rewrite /hm(.+) $1 break;
        rewrite /hm /hm/ permanent;
        proxy_pass http://localhost:<ПОРТ ВЕБ-ИНТЕРФЕЙСА МОНИТОРИНГА>;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
…
}

3. Отредактировать файл сервиса cprohm-hmfe (/etc/systemd/system/cprohm-hmfe.service), добавив в него следующий параметр:

Environment=DSS_APPLICATION_NAME=hm

4. Перезапустить сервис cpnginx.

sudo systemctl restart cpnginx.service

Настройка получения последнего запуска тестов на Веб-интерфейсе

Примечание

Для выполнения данного пункта требуется созданный экземпляр Центра Мониторинга.

После настройки nginx, описанной в данном разделе, необходимо указать новый адрес Службы Мониторинга, даже если он был задан ранее.

Примечание

Адрес Службы Мониторинга имеет определенный формат (необходимо указывать /hmsrv после адреса узла).

Set-HmFeProperties -MonitoringServiceUrl <HOST>/hmsrv

# Выход из PowerShell:
exit