Настройка доступа к ресурсам с объединением шлюзов

В данном разделе будет показан пример настройки доступа клиента к защищаемым ресурсам с объединением шлюзов. Схема сети в соответствии с рисунком ниже.

Рис. 1. Схема сети с объединением шлюзов


При таком типе подключения с объединением шлюзов пользователь client-PC через браузер (даже без поддержки шифрования по ГОСТ) получает доступ к страничке веб-сервера (ресурсам), расположенного на хосте wl-res.

В общем виде настройки шлюзов должны быть следующими:
  • серверный мандат на первом шлюзе wl-ngate-1 был сгенерирован на зарубежных криптографических алгоритмах (RSA), а метод аутентификации на портале шлюза — TLS-offload;
  • шлюз wl-ngate-1 в должен быть настроен как клиент для второго шлюза wl-ngate-2. Требуется выпустить еще и клиентский мандат (теперь шифрование по ГОСТ);
  • ресурс (веб-ресурс) на wl-ngate-1 будет иметь тип аутентификации на уделенном сервере -CSP TLS + Certificate
  • на шлюзе wl-ngate-2 портал будет иметь тип аутентификации Certificate + TLS Offload, а веб-ресурс — простой вариант аутентификации без шифрования по http.
  • В качестве защищаемого ресурса (wl-res) в данном примере используется debian с установленным nginx, страничка приветствия которого доступна по http.

Основные этапы и важные моменты настройки:

  1. Надо установить корневой сертификат УЦ (RSA), на котором будет выпущен серверный мандат шлюза wl-ngate-1.
  2. На шлюзе wl-ngate-1 необходимо произвести первичную стандартную настройку шлюза (версия Complete).
    Порядок основных действий при настройке шлюза NGate
  3. На шлюзе wl-ngate-1 настройте HTTP-портал Cluster > Configuration > Portals > HTTP portal) на тип аутентификации None (TLS Offload):


  4. На шлюзе wl-ngate-1 задаём веб-ресурс (Cluster > Configuration > Resources > Web resource) с параметрами как на рисунке ниже. URI ресурса: wl-ngate-2.ex.ru. Тип аутентификации на удаленном сервере в продвинутых настройках нужно выбрать: CSP TLS + Certificate).
    Прим.: Поле суффикс не должен быть пустым, в примере введён символ — «/».


  5. Генерируйте на wl-ngate-1 серверный мандат: Credentials > Server Credential > Server Certificate Request. При создании запроса нужно выбрать RSA (2048 bits).


  6. Генерируйте на wl-ngate-1 мандат шлюза: Credentials > Gateway Credential > Gateway Certificate Request. При создании запроса для мандата шлюза нужно выбрать GOST.


  7. Выполните на wl-ngate-1 привязку созданного ранее клиентского мандата (в примере client_GOST), вместе с корневым сертификатом УЦ, выпустившим мандаты (в данном примере Тестовый УЦ «КРИПТО-ПРО»).


  8. На шлюзе wl-ngate-2 создайте портал с типом аутентификации Certificate (TLS Offload).


  9. На шлюзе wl-ngate-2 задайте целевой веб-ресурс wl-res.
    Прим.: Поле суффикс не должен быть пустым, в примере введён символ — «/».


  10. Произведите тестовую аутентификацию из браузера без поддержки ГОСТ к целевому ресурсу через шлюз wl-ngate-1, введите в адресной строке: wl-ngate-1.ex.ru.