Протокол TLS (англ. Transport Layer Security) – безопасный протокол передачи данных в локальных сетях и в интернете с использованием шифрования. Протокол TLS используется в веб-приложениях для создания защищенных соединений между клиентским приложением и веб-сервером.
Протокол TLS используется в Kaspersky IoT Secure Gateway 1000 для организации защищенного канала связи между браузером, с которого пользователь подключается к веб-интерфейсу Kaspersky IoT Secure Gateway 1000, и веб-сервером Kaspersky IoT Secure Gateway 1000. На этапе первичного подключения в веб-интерфейсу Kaspersky IoT Secure Gateway 1000 требуется создать и загрузить сертификат администратора. Загруженный сертификат администратора в дальнейшем будет использоваться для повторной аутентификации пользователя при повторном подключении в веб-интерфейсу Kaspersky IoT Secure Gateway 1000.
Создание сертификата администратора должно производиться на доверенном устройстве в условиях безопасной среды (отсутствуют уязвимости и доступ устройства к интернету).
Для создания сертификата администратора вы можете использовать утилиту OpenSSL.
Чтобы создать сертификат администратора с помощью утилиты OpenSSL:
openssl req -x509 -newkey rsa:4096 -keyout cert_key.pem -out cert.pem -days 365 \
-subj "/C=RU/ST=Moscow/L=Moscow/O=SomeOrganization/OU=SomeUnit/emailAddress=test@example.com/CN=KISGAuthCert" \
-extensions v3_ca
где:
-x509 – параметр, определяющий создание самоподписанного сертификата. В этом случае используется стандарт инфраструктуры открытых ключей протоколов SSL и TLS для управления ключами и сертификатами.-newkey – параметр, определяющий необходимость создания нового сертификата и нового ключа одновременно.rsa:4096 – параметр, определяющий тип и длину ключа. В результате применения этого параметра будет создан ключ с использованием алгоритма шифрования RSA, длиной 4096 бит.-keyout cert_key.pem – имя файла, в котором будет сохранен закрытый ключ созданного сертификата.-out cert.pem – имя файла, в котором будет сохранен созданный сертификат.-days 365 – параметр, определяющий срок действия созданного сертификата администратора.-subj – блок параметров, в котором требуется указать следующие регистрационные данные о компании, выпускающей сертификат:C – страна регистрации компании.ST – регион регистрации компании.L – город регистрации компании.O – наименование компании.OU – наименование подразделения компании.emailAddress – электронный адрес компании.CN – имя сертификата.В результате в директории, в которой была выполнена команда, будет создано два файла:
cert.pem – файл сертификата администратора;cert_key.pem – закрытый ключ сертификата администратора.Созданный файл сертификата администратора cert.pem требуется загрузить при первой авторизации в веб-интерфейсе Kaspersky IoT Secure Gateway 1000.
openssl pkcs12 -export -in cert.pem -inkey cert_key.pem -out cert.p12 -name "cert_key"
В результате в директории, в которой была выполнена команда, будет создан файл закрытого ключа сертификата администратора cert.p12.
Созданный файл закрытого ключа сертификата администратора cert.p12 требуется добавить в браузере, который вы используете для подключения к веб-интерфейсу Kaspersky IoT Secure Gateway 1000. Подробнее о добавлении файла закрытого ключа в браузере см. в руководстве используемого браузера.