...
Для повышения безопасности передачи данных между клиентом и ТД необходимо обеспечить шифрование трафика с использованием SSL. Это требуетДля этого требуется:
SSL-сертификата сертификат (формат PEM);
Приватного ключа Приватный ключ (формат PEM).
| Предупреждение |
|---|
На На ТД возможно использовать RSA-сертификаты, ECDSA-сертификаты, не . ECDSA-сертификаты не поддержаны. |
Рекомендация по защите Для защиты приватного ключа в схеме с портальной авторизацией , рекомендуется использовать пароль.
Стандартный процесс выпуска сертификатов не предусматривает автоматическое шифрование приватного ключа. Однако это можно выполнить вручную с помощью утилиты OpenSSL.
...
-aes256– алгоритм шифрования (можно заменить на-aes128или-aes192);-in private_key.pem– исходный незашифрованный ключ;-out private_key_encrypted.pem– зашифрованный ключ.
После выполнения команды OpenSSL команды OpenSSL запросит пароль, который будет использоваться для защиты ключа.
Этот подход обеспечит дополнительный уровень защиты приватного обеспечит дополнительный уровень защиты приватного ключа от несанкционированного доступа.
| Подсказка |
|---|
Данная процедура проводится вне процесса выпуска сертификата и является дополнительной мерой безопасности. |
...
Допустимо использовать сертификат без шифрованного ключа. В таком случае приватный ключ добавляется к сертификату. Настройка crypto private-key-password не требуется.
Формат файла для сертификата без шифрованного ключа:
...