Настройка шлюза для бесклиентского доступа

В данном разделе описание настройки серверной части шлюза NGate идёт с момента, когда ПО NGate установлено (в данном примере hostname задано как ngate-vm-complete), сетевым интерфейсам уже назначены соответствующие ip-адреса, создана инфраструктура PKI взаимодействия между АРМ Администратора и СУ (см. пример в Пример настройки демонстрационного стенда минимальной конфигурации).

  1. Дальнейшая настройка производится в веб-интерфейсе СУ NGate с использованием АРМ Администратора. Для тестового стенда, необходимо подключиться по https:// к порту 8000, в данном примере используетсмя hostname машины: ngate-vm-complete.
    1. Запустите браузер с поддержкой TLS по ГОСТ. В адресной строке введите: https://ngate-vm-complete:8000. При аутентификации необходимо ввести логин административного пользователя системы управления ng-admin и пароль, заданные при установке ПО NGate.


    1. Подключите ключевой носитель, с контейнером закрытого ключа администратора, который был создан при настройке демонстрационного стенда и выберите нужный контейнер. Введите пароль от контейнера, если пароль был задан при создании контейнера закрытого ключа.


  2. После успешного подключения к веб-интерфейсу создайте кластер: на боковой панели нажмите кнопку Add cluster.


  3. Введите имя кластера и нажмите Save.


  4. Создадим Узел NGate: нажмите Edit Node на вкладке Nodes меню кластера.


  5. Задайте произвольное имя Узла NGate. Задайте сетевой адрес управления Узла (Management IP: 127.0.0.1 . Нажмите Save для сохранения настроек Узлов.
    Прим.: В данном примере используется вариант реализации шлюза при котором система управления и Узел кластера физически находятся на одной машине, поэтому адрес Узла NGate и будет иметь значение 127.0.0.1.


  6. Создайте конфигурацию: на вкладке Configuration нажмите Add


  7. Введите произвольное имя конфигурации, остальные параметры по умолчанию. Нажмите Save.


  8. В только что созданной конфигурации создайте портал: на вкладке Portals нажмите Add a portal.


  9. Укажите произвольное имя портала. Задайте параметры Server Name и User authentification type, для бесклиентского доступа. Остальные параметры оставьте без изменений. После завершения настройки нажмите Save.
    В поле Server Name укажите DNS имя или адрес к которому будут производить подключение клиенты. Данное имя и адрес должны содержаться в серверном сертификате шлюза. Формирование серверного ключа и сертификата описано ниже.
    В поле User authentification type выберите тип аутентификации Certificate (O/OU). Пользователи будут получать доступ, используя доверенные клиентские сертификаты, формирование которых также будет описано ниже.


  10. Перейдём к настройке ACL (access control list) - правила получения доступа пользователя к защищаемым ресурсам.


  11. В поле Name введите наименование правила в системе Certificate ACL. Затем задайте допустимые значения полей клиентского сертификата O/OU Allowed (O/OU): нажмите Add, и введите в соответствующие поля Allowed O и Allowed OU, например, значения test / test. Сохраните Certificate ACL: Save.


  12. Теперь перейдем к работе с ключами и сертификатами. Для выпуска серверного и клиентских сертификатов в данном примере используется один из тестовых УЦ КРИПТО-ПРО (используйте браузер с поддержкой ГОСТ).
    Выберите в основном меню тестового УЦ действие Получение сертификата Удостоверяющего Центра или действующий список отозванных сертификатов.


  13. Получите корневой сертификат УЦ в формате Base 64. Корневой сертификат будет сохранён на АРМ Администратора.


  14. Импортируйте корневой сертификат в NGate. Выберите в меню веб-итнтерфейса NGate: CA Certifiacates > CA Certificates > Add CA Certificate.


  15. Введите произвольное имя сертификата. Затем через меню выбора файлов поля CA Certificate выберите полученный в тестовом УЦ файл сертификата certnew.cer.


  16. Проверьте параметры корневого сертификата и нажмите Save.


  17. Корневой сертификат успешно добавлен.


  18. Сгенерируйте внешнюю гамму. Это можно сделать на АРМ Администратора при помощи утилиты genkpim из пакета КриптоПро CSP: genkpim.exe.
    Введите в консоль команду вида: .\genkpim.exe y ABC12345 C:\\gamma\, где «y» – количество отрезков гаммы, в нашем примере нужно создать 8; «ABC12345» – номер комплекта внешней гаммы (задайте произвольно 8 символов в шестнадцатеричном коде); «C:\\gamma\» – путь сохранения файлов гаммы (директория gamma в данном примере уже создана заранее).


  19. Затем сгенерируйте случайную последовательность символов при помощи мыши и клавиатуры.


  20. Загрузите файл гаммы через веб-интерфейс: зайдите в меню Gamma Upload, затем выберите файл гаммы вида kis_1 и нажмите Upload.


  21. Перейдём в отдел создания серверных мандатов: Server credentials > Server Certificate Request


  22. В окне генерации запроса на Серверный сертификат введите обязательные параметры имя Name,алгоритм шифрования: в данном примере GOST 2012 256bit), в поле Subject CN указать DNS-имя шлюза,которое будут вводить пользователи (клиенты) при подключении к шлюзу.
    Прим.: В поле DNS names можно также указать перечень DNS-имён и адресов, которые также могут быть использованы при подключении: нажмите Add и введите в поле DNS-имя или ip-адрес.
    Остальные поля не являются обязательным для заполнения в данном примере и остаются не заполненными.


  23. Скопируйте текст запроса из поля Request text кнопкой Copy.


  24. Перейдите к веб-интерфейсу уже использовавшегося тестового УЦ и нажмите на Отправить готовый запрос PKCS#10 или PKCS#7 в кодировке Base64.


  25. Вставьте запрос на сертификат в соответствующее поле Сохранённый запрос и нажмите Выдать >.


  26. Выберите формат шифрования сертификата Base 64 и нажмите Загрузить сертификат.


  27. Откройте ранее созданный запрос на сертификат на странице Server Credentials кнопкой Edit. Выбрать и открыть полученный файл сертификата и нажмите Upload.


  28. Серверный мандат успешно сформирован и добавлен в ПО NGate.


  29. Настройте параметры доступа к защищаемым веб-ресурсам. В данном примере доступ будет осуществляться к тестовой страничке (по http://) веб-сервера nginx, установленного на сервере (хосте) с адресом 192.168.1.4 в защищаемом сегменте сети.
    Создайте профиль защищаемого ресурса: в свойствах созданной ранее конфигурации на вкладке Resources выберите создание нового веб-ресурса Web resource.


  30. Введите параметры ресурса. Задайте произвольное имя ресурса Name. В поле Suffix введите правый слеш «/» (данный символ необходим в данном примере, так как веб-ресурс будет единственным на нашем портале (активна настройка Single web resource). Заполните поля User visible name и User visible description. В поле Remote resource URI введите IP-адрес (или DNS-имя) защищаемого ресурса, в данном примере адрес 192.168.1.4, укажите адрес в соответствии со схемой вашей сети. Остальные параметры оставьте по умолчанию. Сохраните настройки Save.


  31. Профиль ресурса успешно создан и доступен для добавления в конфигурацию.


  32. Теперь перейдем в свойства портала (выберем нужный портал на вкладке Portals конфигурации) и выполним привязку профиля защищаемого ресурса с правилом доступа к нему (ACL)


  33. Выберите Группы доступа (Groups) и Ресурсы (Resources), которые будут присоединены к порталу. Кликните по профилям в соответствующих полях и нажмите Save.


  34. Перейдите на вкладку Certificates и выполните привязку к порталу ранее добавленных Корневого сертификата и Серверного мандата. Нажатие кнопки Assign в соответствующем поле открывает страницу выбора сертификата. Последовательно добавьте все нужные сертификаты.


  35. Выполните привязку ранее добавленного Серверного мандата (Server credentials), установите галочку в поле сертификата и нажмите Save.


  36. Выполните привязку ранее добавленного Сертификат УЦ проверки подлинности (Сredentials CA Certificates). Выберите Assign в соответствующем поле и установите галочку в поле сертификата, нажмите Save


  37. Выполните привязку ранее добавленного Сертификата доверенного УЦ (Trusted CA certificates). Выберите Assign в соответствующем поле и установите галочку в поле сертификата, нажмите Save


  38. После того, как все нужные сертификаты привязаны к порталу, зайдите в свойства портала: кнопка Edit расположена возле названия портала.


  39. Откройте расширенные настройки портала: кнопка Advanced setting. Далее установите галочку в поле Single WEB-Resource. Сохраните настройки Save.


  40. После выполнения всех предыдущих пунктов опубликуйте конфигурацию: перейдите на главную страницу конфигурации и нажмите кнопку Publish возле названия конфигурации.


  41. Дождитесь завершения публикации. Если публикация конфигурации прошла успешно, то будет выведено сообщение .


Далее необходимо произвести настройку клиентской машины и произвести тестовое подключение к шлюзу.