Статті > Налаштуваняя SSL-з'єднання з сервером
Налаштування SSL з'єднання між клієнтськими додатками і сервером FossLook
SSL (TLS) з'єднання встановлює зв'язок між клієнтом та сервером за однойменним протоколом, що забезпечує шифрування та безпечний обмін інформацією. Для роботи за SSL протоколом вам буде потрібен відповідний файл сертифікату.
Розглянемо процес налаштування захищеного з'єднання за SSL-протоколом між сервером і клієнтськими Windows-додатками системи. Для Web-клієнта налаштування захищеного каналу наведенно у статті Інсталяція FossLook. Налаштування та підключення до веб-серверу.
Отже, вам знадобиться виконати наступні кроки:
Отримання SSL-сертифікату
Для початку визначтеся з ім'ям домена, де буде знаходитися сервер системи, далі придбайте SSL-сертифікат на це ім'я або згенеруйте свій власний (самопідписаний), скориставшись, наприклад, утилітою OpenSSL.
Також Ви можете завантажити з нашого сайту наступний архів, де вже є OpenSSL з bat-файлом для генерації ключа. Завантажте та розпакувати його. Далі знайдіть у папці openssl з розпакованого архіву файл generate.bat та відкрийте його будь-яким текстовим редактором.
У строках:
openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout fossdoc.key -out fossdoc.crt -subj "/CN=yourdomain.com"
openssl pkcs12 -export -out fossdoc.pfx -inkey fossdoc.key -in fossdoc.crt
замініть yourdomain.com на ім'я вашого домену, а також можете змінити ім'я fossdoc для вашого сертифікату на будь-яке інше за бажанням.
Запустіть файл generate.bat за допомогою утиліти "Командна строка" від адміністратора Windows або за допомогою будь-якого файлового менеджеру (наприклад, FAR) також від адміністратора. Вам буде запропоновано увести пароль на сертифікат та його підтвердження, сертифікат буде згенеровано, - він буде знаходитися у тій ж папці, де і файл generate.bat.
Налаштування на клієнтських машинах
Візьміть згенерований файл сертифікату у форматі .PFX та помістіть його до довірених сертифікатів Windows на клієнтських машинах. Для цього просто зробіть подвійних клік на цьому файлі та за допомогою Майстру імпорту сертифікатів Windows імпортуйте цей сертифікат до сховища "Довірені кореневі центри сертифікації". Якщо ваші машини входять до домену це можна зробити також за допомогою доменних політик.
У разі, якщо сертифікат було куплено у довіреному центрі сертифікації, імпортувати його до системи на клієнтських машинах не потрібно.
Налаштування на сервері
Перейдіть до папки C:\Program Files (х86)\FOSS\FossLook\FossLook Application Server\Instances\[ім'я Вашого екземпляру сервера] і відкрийте у ній файл App.config за допомогою будь-якого текстового редактора. Знайдіть в ньому секцію CHANNELS і додайте до неї наступний фрагмент:
<channel name="CORBA SSL" port="11501" ifr="false" isBidirChannel="true"
priority="98" type="Ch.Elca.Iiop.IiopChannelSSL, IIOPChannel, Culture=neutral, PublicKeyToken=b32294fdd37a99e1"
TransportFactory="Ch.Elca.Iiop.Security.Ssl.SslTransportFactory, SSLPlugin"
ServerRequiredSecurityAssoc="EstablishTrustInTarget" ServerSupportedSecurityAssoc="EstablishTrustInTarget"
SSLServerCertificatePath="fossdoc.pfx" SSLServerCertificatePassword="123">
<serverProviders>
<formatter type="Ch.Elca.Iiop.IiopServerFormatterSinkProvider, IIOPChannel, Culture=neutral,
PublicKeyToken=b32294fdd37a99e1"/><provider ref="Channel Sink Provider"/>
</serverProviders>
</channel>
Вкажіть порт (port="") , ім'я файлу сертифіката (SSLServerCertificatePath="") і пароль до нього (SSLServerCertificatePassword=""). Збережіть зміни до файлу. Таким чином, буде здійснено налаштування захищеного каналу.
Якщо Ви бажаєте, щоб весь обмін між сервером та клієнтськими додатками виконувався тільки по захищеному каналу, видаліть або закоментуйте у App.config всі інші секції з налаштуваннями каналів <channel>...</channel>
У цю ж папку з файлом App.config покладіть ваш файл з сертифікатом у форматі .PFX.
Підключення до серверу по захищеному каналу
Обов'язково перезапустіть службу сервера після зміни App.config.
Запустіть FossLook Адміністратор або FossLook Клієнт, використовуйте рядок підключення виду: iiop-ssl://[Ваш домен]:[порт], де необхідно вказати ваше доменне ім'я і порт, зазначений в налаштуваннях App.config. Наприклад:
Ви можете зберегти уведені налаштування для строки підключення до серверу, щоб не уводити її кожен раз. Для цього натисніть кнопку, відзначену на малюнку вище. З'явиться розширений діалог налаштувань:
Уведіть ім'я та строку підключення, збережіть зміни.