Параметры запуска и переменные окружения задаются в файле CMakeLists.txt для программы Einit с использованием CMake-команды set_target_properties() в свойствах EXTRA_ARGS и EXTRA_ENV. Подробнее см. раздел "Добавление TLS Terminator в решение на базе KasperskyOS".
Параметры запуска
-c|--cacert} <FILE|DIR>Путь к корневым сертификатам.
-s|--cert} <FILE>Путь к клиентскому сертификату.
-k|--key} <FILE>Путь к приватному ключу клиента.
-r|--crl} <FILE|DIR>Путь к списку отозванных сертификатов.
-t|--timeout} <NUMBER>Таймаут операций чтения из сокета на этапе TLS-рукопожатия (в миллисекундах).
-g|--log-level} <NUMBER>Уровень журналирования событий (см. таблицу ниже). TLS Terminator журналирует как собственные события, так и события криптобиблиотек.
Уровни журналирования TLS Terminator и соответствующие им уровни журналирования криптобиблиотек
Уровень журналирования TLS Terminator |
Уровень журналирования криптобиблиотек |
Описание уровня журналирования TLS Terminator |
|---|---|---|
|
|
Нет журналирования. |
|
|
Для TLS Terminator журналируются ошибки. |
|
|
Для TLS Terminator журналируются ошибки, предупреждения и информационные сообщения. Для криптобиблиотек журналируются ошибки. Значение по умолчанию. |
|
|
Полное журналирование событий TLS Terminator. Для криптобиблиотек журналируются ошибки, состояния и информационные сообщения. |
-e|--debug-if-file-exist} <FILE>Включение максимального уровня журналирования при наличии файла с заданным именем. Наличие файла проверяется при каждом новом TLS-подключении. Если файл отсутствует, используется уровень журналирования, заданный через параметр --log-level или переменную окружения NGLOG_ENV_LEVEL.
-d|--enable_dynamic_cert}Автоматическое определение типа аутентификации TLS-соединения на основе доступных сертификатов:
--cacert). Клиент проверяет сертификат сервера, но не аутентифицируется сам.--cacert), клиентского сертификата (--cert) и приватного ключа (--key). В этом режиме происходит взаимная аутентификация обеих сторон TLS-соединения.-v|--cert_verify_required}Включение обязательной проверки сертификатов средствами криптобиблиотек.
-p|--plugin_path} <FILE>Путь к динамической библиотеке, реализующей плагин для расширения функциональности TLS Terminator. Параметр используется, если компонент TLS Terminator собран с использованием тулчейна, который поддерживает динамическую компоновку (значение переменной PLATFORM_SUPPORTS_DYNAMIC_LINKING равно true).
-o|--force_ocsp_stapling_check}Включение проверки актуальности серверного сертификата с использованием OCSP Stapling для всех клиентских соединений. При поддержке сервером OCSP Stapling клиент получает подписанный ответ центра сертификации (OCSP Response) с информацией о статусе сертификата. Клиент проверяет полученный статус сертификата: при значении good соединение устанавливается, при revoked или unknown – отклоняется.
--tls-min-version <VERSION>Минимальная версия TLS-протокола. Допустимые значения: TLS-1.2, TLS-latest.
--tls-max-version <VERSION>Максимальная версия TLS-протокола. Допустимые значения: TLS-1.2, TLS-latest.
--ciphersuite <NAME>Добавление набора шифров в список поддерживаемых.
--server_min_rsa_keys_size <ROOT:INTERMEDIATE:EE>Минимальная длина RSA-ключей для серверных сертификатов (в битах).
--client_min_rsa_keys_size <ROOT:INTERMEDIATE:EE>Минимальная длина RSA-ключей для клиентских сертификатов (в битах).
Переменные окружения
NGLOG_LEVELУровень журналирования компонента TLS Terminator. Допустимые значения от 0 до 4. Эта переменная окружения используется, если не указан параметр запуска --log-level.
VFS_NETWORK_BACKEND=<имя VFS-бэкенда>:<имя IPC-канала до процесса VFS>VFS-бэкенд для работы с сетевым стеком.
VFS_FILESYSTEM_BACKEND=<имя VFS-бэкенда>:<имя IPC-канала до процесса VFS>VFS-бэкенд для работы с файловыми системами.