Systém D2000 je možné nakonfigurovať tak, aby komunikácia medzi serverom a klientami prebiehala zabezpečeným šifrovaným komunikačným kanálom. Zabezpečenie je implementované protokolom Transport Layer Security (TLS v1.3).
Pre aktiváciu zabezpečenej komunikácie je potrebné vykonať nasledujúce kroky:
Kľúč a certifikát je možné vygenerovať napr. pomocou utility openssl (https://slproweb.com/products/Win32OpenSSL.html).
openssl genrsa -out server.pem 4096 |
openssl req -new -key server.pem -out server.csr |
openssl x509 -req -days 730 -in server.csr -signkey server.pem -out server.crt |
HKEY_LOCAL_MACHINE\SOFTWARE\Ipesoft\<instalacia>\cfg_<aplikacia>\TLS_Server\TLS_CertFile = c:\<cesta>\server.crt HKEY_LOCAL_MACHINE\SOFTWARE\Ipesoft\<instalacia>\cfg_<aplikacia>\TLS_Server\TLS_KeyFile = c:\<cesta>\server.pem HKEY_LOCAL_MACHINE\SOFTWARE\Ipesoft\<instalacia>\cfg_<aplikacia>\TLS_Server\TLS_RequiredLevel = <level> |
Nastavenie vyžadovanej úrovne zabezpečenia pripájajúceho sa klienta <level>:
HKEY_LOCAL_MACHINE\SOFTWARE\Ipesoft\<instalacia>\cfg_<aplikacia>\TLS_Client\TLS_TrustedCerts = c:\<cesta>\server.crt HKEY_LOCAL_MACHINE\SOFTWARE\Ipesoft\<instalacia>\cfg_<aplikacia>\TLS_Client\TLS_RequiredLevel = <level> |
Nastavenie vyžadovanej úrovne zabezpečenia pripájajúceho sa klienta <level>:
Dôvodom je, aby už pred pripojením sa k aplikačnému serveru vedel názov aplikácie a načítal parametre TLS z registrov (viď bod 3).
Alternatívou je nastavenie parametra DefaultApplication v registry.
D2000 Server načítava konfiguráciu TLS pri každom pripájaní klienta, takže je možné zmeniť počas behu D2000 Servera konfiguráciu (včítane výmeny súborov s certifikátom a so súkromným kľúčom). |