tls general minimum-version (SSL3_0|TLS1_0|TLS1_1|TLS1_2|TLS1_3)Установить минимальную версию TLS/SSL. Возможные значения версий:
[no] tls general certificate-validationВключить (или выключить, если no) SSL-исключения по KL-категориям.
[no] tls general log-on-certificate-errorВключить (или выключить, если no) журналирование ошибок проверки сертификата сервера.
tls general action-on-certificate-error (allow|block)Установить действие при ошибке проверки сертификата сервера:
tls general verification-timeout <number>Установить тайм-аут (в миллисекундах) для процедуры верификации цепочки сертификатов. По умолчанию 2000.
show tls general verification-timeoutПоказать установленный тайм-аут (в миллисекундах) верификации цепочки сертификатов.
Пример вывода:
{
"ngfw-tls-cert:tls": {
"general": {
"verification-timeout": 2000
}
}
}
tls exclusions categories-ssl-exceptions (enabled|disabled)Включить или выключить SSL-исключения.
tls exclusions categories-ssl-exceptions-log (enabled|disabled)Включить или выключить журналирование попадания в исключения по категориям.
tls exclusions uncategorized-ssl-exceptions (decrypt|no-decrypt)Разрешить или запретить SSL-исключения для сессий, не имеющих категорий:
tls exclusions predefined-category <name>Задать предопределенную категорию из списка. Пробелы не поддерживаются.
tls exclusions predefined-category=['name']> action (decrypt|no-decrypt)>Разрешить или запретить SSL-исключение для данной категории:
Пример:
ngfw> tls exclusions predefined-category banks
ngfw> tls exclusions predefined-category=['banks']> action decrypt
ngfw> tls exclusions predefined-category=['banks']> exit
show tls exclusions predefined-categoriesПоказать информацию об SSL-исключениях для всех категорий.
Пример вывода:
ngfw> show tls exclusions predefined-categories
{
"ngfw-tls:tls": {
"predefined-ssl-category": [
{
"category": "adult",
"action": "decrypt"
},
{
"category": "pornography-erotic",
"action": "decrypt"
},
tls exclusions trusted-domains-enabled (enabled|disabled)Включить или выключить использование доверенных доменных имен.
tls exclusions trusted-domains-log (enabled|disabled)Включить или выключить журналирование попадания в доверенные домены.
[no] tls trusted trusted-certificates <name>Удалить доверенный CA-сертификат или перейти в меню добавления доверенного CA-сертификата, который будет использоваться для проверки доверенности сертификата сервера в SSL. CA-cертификат обозначается уникальным именем <name>.
tls trusted trusted-certificates=['name']> load <path>Загрузить тело доверенного CA-сертификата из файла с полным путем <path>. Сертификат хранится в файле в формате PEM.
После успешной загрузки файл может быть удален пользователем.
Пример:
ngfw> tls trusted trusted-certificates ca
ngfw> tls trusted trusted-certificates=['ca']> load /tmp/certificate.crt
ngfw> tls trusted trusted-certificates=['ca']> exit
show tls trusted trusted-certificatesПоказать информацию обо всех загруженных доверенных сертификатах.
Пример вывода:
ngfw> show tls trusted trusted-certificates
{
"ngfw-tls:tls": {
"trusted-certificates": [
{
"id": "c9b6ace2-2d3a-4efd-acd8-5666d3b36878",
"name": "ca",
"certificate-body": "-----BEGIN CERTIFICATE-----\u000AMIIDfzCCAmegAwIBAgIJQQAAAAFlu2Y3MA0GCSqGSIb3DQEBCwUAMFQxGTAXBgNV\u000ABAoMEEFPIEthc3BlcnNreSBMYWIxNzA1BgNVBAMMLkthc3BlcnNreSBBbnRpLVZp\u000AcnVzIFBlcnNvbmFsIFJvb3QgQ2VydGlmaWNhdGUwHhcNMTQwMjAzMDkzNjU1WhcN\u000AMzQwMTI5MDkzNjU1WjBUMRkwFwYDVQQKDBBBTyBLYXNwZXJza3kgTGFiMTcwNQYD\u000AVQQDDC5LYXNwZXJza3kgQW50aS1WaXJ1cyBQZXJzb25hbCBSb290IENlcnRpZmlj\u000AYXRlMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA12GklrKSC+v7o/ep\u000At8VfPO3ZpKwdpcK1RRubl5Q3lWIMxnewdFNhhW5jWFAtufXgR/WhoYwB+s1UeJKg\u000AaBO/9Yls8dvLd4ddeclQNbQkhwMh69vxF3GlxN6Suny8aLBvxaBVi+3iHvTlHQY9\u000AALuN/Sm7ZJf6WyyMhqMqXBoM+tHehrMoHd70bwgtDw38l7svI6vzRjApFCtcfc/L\u000Ad/yDFDfMszi6mgEA4uuTlE3n0zGNg5QGf+0gttz85Vk2tmuIv1dKg0Z/o1OqsBPf\u000AAoLiO5AuM/dh0I73bTi4M3s7SfNiEEXGI6+Heq11r8MA0SpLQACU4R/vVftFUl91\u000AFcPsfQIDAQABo1QwUjAPBgNVHRMBAf8EBTADAQH/MB0GA1UdDgQWBBRxvTT8ZOhS\u000AwLf9PJz768tnlAmIFjALBgNVHQ8EBAMCAgQwEwYDVR0lBAwwCgYIKwYBBQUHAwEw\u000ADQYJKoZIhvcNAQELBQADggEBAL5FIIa69NN3EQNUjYFsYr7TtdjzzuYSpRayengj\u000A63VFynPIfzcXVRqG0lUwhaXv7VahofZxoaFdmI4naDPZ19W1KQmVksYM01nveoFP\u000Akt/wcZlmx+0iObOfVdxk8PPQWcHkmkvD13ngdI14bbnjgoUqHMSLrSEkRIWzIOE3\u000AENDEsfvfxzbrNAuQftEYowUsQ60D1FPY8W2N0Hz4mMN/1hM5JkrVZMhBGvF1hJHW\u000AdOhG1hff3E1rJdc7RtwniRHeLOA44JJCTHRy83Ii5MFqcGJvWGb3VHj9ylfQuF2N\u000AFRYSnFE73oYMJVPulRrsN6RjpZJonAFeVoDe+Kw79791dQA=\u000A-----END CERTIFICATE-----\u000A\u000A"
}
]
}
}
[no] tls trusted trusted-domains <mask>Добавление (или удаление, если no) маски домена в/из списка исключений из проверок.
Пример:
tls trusted trusted-domains kaspersky.ru
tls trusted trusted-domains sberbank.ru
show tls trusted trusted-domainsПоказать информацию обо всех масках доменов, исключенных из проверок.
Пример вывода:
ngfw> show tls trusted trusted-domains
{
"ngfw-tls:tls": {
"trusted-domains": [
"kaspersky.ru",
"sberbank.ru"
]
}
}
tls trusted trusted-root <path>Загрузить доверенный корневой CA-сертификат (а также его приватный ключ для SSL/TLS MiTM), который будет использоваться для проверки доверенности сертификата сервера в SSL MITM. В сертификате должно быть задано CommonName (CN).
Пример:
tls trusted trusted-root /tmp/cert.pem
no tls trusted trusted-rootУдалить все загруженные корневые сертификаты.
tls trusted untrusted-root <path>Загрузить недоверенный корневой CA-сертификат (а также его приватный ключ для SSL/TLS MiTM), который будет использоваться, если при включенной валидации сертификата произошла ошибка и было выбрано действие allow.
В сертификате должно быть задано CommonName (CN) и OrganizationName (O).
Пример:
tls trusted untrusted-root /tmp/cert.pem
clear tls trusted trusted-domainsУдалить все маски доменов, исключенных из проверок.
clear tls trusted trusted-certificatesУдалить все загруженные доверенные сертификаты.