Настройки SSL/TLS

Эти параметры настраивают политики сервера для связи SSL/TLS и доверия сертификатам.

Версия SSL/TLS

Имя ключа в конфигурационном файле: tlsSettingsProtocol

Тип значения: Строка

Возможные значения: SSL, SSLv2, SSLv3, TLS, TLSv1, TLSv1.1, TLSv1.2, TLSv1.3

Значение по умолчанию: TLS

Указывает минимальную версию протокола SSL/TLS, который будет использоваться для безопасной связи.

Политика доверия к сертификату

Имя ключа в конфигурационном файле: tlsSettingsCertificateTrustPolicy

Тип значения: Целое число

Возможные значения:

  • 0: Доверять всем сертификатам (Опасно! Крайне небезопасно. Избегайте использования, кроме как в строго контролируемых средах тестирования).

  • 1: Доверять самоподписанным активным сертификатам без истекшего срока действия (Использовать с крайней осторожностью, в основном для тестирования или очень изолированных внутренних систем).

  • 2: Доверять сертификатам, проверенным через центры сертификации по умолчанию (встроенные в систему доверенные центры сертификации).

  • 3: Доверять сертификатам, проверенным через локально определенные центры сертификации (пользовательские центры сертификации, добавленные в систему).

  • 4: Доверять сертификатам, проверенным через центры сертификации по умолчанию и локально определенные центры сертификации.

Значение по умолчанию: 4

Определяет, как проверять подлинность сертификатов, представленных во время SSL/TLS-соединения.

Проверка отзыва сертификатов

Имя ключа в файле конфигурации: tlsSettingsRevocationChecking

Тип значения: Целое число

Возможные значения:

  • 0: Нет проверки отзыва.

  • 1: Проверять отзыв для сертификатов, выданных доверенными центрами сертификации по умолчанию.

  • 2: Проверять отзыв для сертификатов, выданных локально определенными центрами сертификации.

  • 3: Проверять отзыв для сертификатов, выданных всеми доверенными центрами сертификации (как по умолчанию, так и пользовательскими).

Значение по умолчанию: 1

Определяет, в каких доверенных центрах сертификации включена проверка отзыва сертификатов.

Предпочитать СОС

Имя ключа в конфигурационном файле: tlsSettingsRevocationPreferCrls

Тип значения: Булево

Возможные значения: true или false

Значение по умолчанию: true

Если включено, то в качестве основного метода проверки статуса отзыва сертификата предпочитается использование списков отзыва сертификатов (CRL), а в качестве резервного используется протокол Online Certificate Status Protocol (OCSP). Если значение отключено, OCSP является основным методом, а CRL - резервным.

Только предпочтительный метод проверки

Имя ключа в конфигурационном файле: tlsSettingsRevocationNoFallback

Тип значения: Булево

Возможные значения: true или false

Значение по умолчанию: true

Используется только предпочтительный метод проверки статуса отзыва сертификата. Отключается механизм резервного копирования.

Игнорировать сетевые ошибки

Имя ключа в конфигурационном файле: tlsSettingsRevocationSoftFail

Тип значения: Булево

Возможные значения: true или false

Значение по умолчанию: true

Разрешить проверке отзыва пройти успешно, если статус отзыва не может быть определен по одной из следующих причин:

  • Ответ CRL или OCSP не может быть получен из-за сетевой ошибки.

  • Ответчик OCSP возвращает одну из следующих ошибок, указанных в разделе 2.3 RFC 2560: internalError или tryLater.

Только сертификаты конечных субъектов

Имя ключа в конфигурационном файле: tlsSettingsRevocationOnlyEndEntity

Тип значения: Булево

Возможные значения: true или false

Значение по умолчанию: false

Если включено, проверять статус отзыва только сертификатов конечных субъектов.

Was this page helpful?