Atom Лента - Форум КриптоПро - Тема:Ngate как реверс-прокси и терминатор tls для одного ресурса - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:Ngatekakrevers-proksiiterminatortlsdljaodnogoresursa-10:1Copyright 2024 Форум КриптоПро2024-03-28T12:05:15Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.rupsyd01986https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57123&name=psyd01986psyd01986https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57123&name=psyd01986Александр Лавникhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=42010&name=Александр Лавникpsyd01986https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57123&name=psyd01986psyd01986https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57123&name=psyd01986psyd01986https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57123&name=psyd01986two_oceanshttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=36490&name=two_oceansНиколай Батищевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=31352&name=Николай Батищевpsyd01986https://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57123&name=psyd01986YetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid119118:1Ngate как реверс-прокси и терминатор tls для одного ресурса<table class="content postContainer_Alt" width="100%"><tr><td>Всем спасибо за помощь.<br />После генерации сервисных ключей, конфигурация опубиковалась.<br />Один момент узнал у технической поддержки:<br />Если использовать просто "TLS Offload" для доступа к порталу и ресурсам, то необходимо создавать веб-ресурс "/", но не включать опцию "сингл веб" , эти две вещи несовместимы.</td></tr></table>2020-09-18T16:38:45+03:002020-09-18T16:38:45+03:00psyd01986<table class="content postContainer_Alt" width="100%"><tr><td>Всем спасибо за помощь.<br />После генерации сервисных ключей, конфигурация опубиковалась.<br />Один момент узнал у технической поддержки:<br />Если использовать просто "TLS Offload" для доступа к порталу и ресурсам, то необходимо создавать веб-ресурс "/", но не включать опцию "сингл веб" , эти две вещи несовместимы.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid119117:1Ngate как реверс-прокси и терминатор tls для одного ресурса<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: psyd01986 <a href="/forum2/default.aspx?g=posts&m=119115#post119115"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: Nikolay Batischev <a href="/forum2/default.aspx?g=posts&m=119105#post119105"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый день!<br /><br />Вам нужен режим аутентификации TLS Offload, в настройках портала поставить галку single-web ресурс.<br />За основу можно взять этот пример<br /><a rel="nofollow" href="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html" title="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html">https://cpdn.cryptopro.r...e-clientless-access.html</a><br />У вас довольно частный вопрос, думаю лучше создать заявку на портале тех.поддержки.<br /><a rel="nofollow" href="https://support.cryptopro.ru/" title="https://support.cryptopro.ru/">https://support.cryptopro.ru/</a></div></div><br />Инструкция хорошая , сделал как в ней сказанно.<br />При попытке опубликовать конфигурацию получаю вот:<br />"<br />Ошибка при сборке конфигурации: Неладно что-то со служебными ключами. Пожалуйста, удостоверьтесь в том, что ключи созданы и распространены, прежде чем публиковать конфигурацию.<br />" <br />Что за служебные ключи? Куда и как их распространять?</div></div><br />Здравствуйте.<br /><br />В случае, когда используется вариант Complete, нужно просто создать служебные ключи.<br /><br />См. <a rel="nofollow" href="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/04-ngate-installation-consol-setting/pki-infrasrtucture/task-service-keys-creation.html" title="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/04-ngate-installation-consol-setting/pki-infrasrtucture/task-service-keys-creation.html"><strong>здесь</strong></a>.</td></tr></table>2020-09-18T15:40:02+03:002020-09-18T15:40:02+03:00Александр Лавник<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: psyd01986 <a href="/forum2/default.aspx?g=posts&m=119115#post119115"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote><div class="quote"><span class="quotetitle">Автор: Nikolay Batischev <a href="/forum2/default.aspx?g=posts&m=119105#post119105"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый день!<br /><br />Вам нужен режим аутентификации TLS Offload, в настройках портала поставить галку single-web ресурс.<br />За основу можно взять этот пример<br /><a rel="nofollow" href="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html" title="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html">https://cpdn.cryptopro.r...e-clientless-access.html</a><br />У вас довольно частный вопрос, думаю лучше создать заявку на портале тех.поддержки.<br /><a rel="nofollow" href="https://support.cryptopro.ru/" title="https://support.cryptopro.ru/">https://support.cryptopro.ru/</a></div></div><br />Инструкция хорошая , сделал как в ней сказанно.<br />При попытке опубликовать конфигурацию получаю вот:<br />"<br />Ошибка при сборке конфигурации: Неладно что-то со служебными ключами. Пожалуйста, удостоверьтесь в том, что ключи созданы и распространены, прежде чем публиковать конфигурацию.<br />" <br />Что за служебные ключи? Куда и как их распространять?</div></div><br />Здравствуйте.<br /><br />В случае, когда используется вариант Complete, нужно просто создать служебные ключи.<br /><br />См. <a rel="nofollow" href="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/04-ngate-installation-consol-setting/pki-infrasrtucture/task-service-keys-creation.html" title="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/04-ngate-installation-consol-setting/pki-infrasrtucture/task-service-keys-creation.html"><strong>здесь</strong></a>.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid119116:1Ngate как реверс-прокси и терминатор tls для одного ресурса<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=119108#post119108"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый день.<br />Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка. <br /></div></div><br /><br />И про реверс прокси , это задел на будующее... Так как сейчас один ресурс , а потом начнется...<br />А железяку недешовую уже купили =) <br />Но для начала просо понять как делать вот такой проброс было бы замечательно.<br />В принципе с вопросом я по инструкции разобрался, а вот с публикации конфигурации возникли трудности.</td></tr></table>2020-09-18T15:26:27+03:002020-09-18T15:26:27+03:00psyd01986<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=119108#post119108"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый день.<br />Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка. <br /></div></div><br /><br />И про реверс прокси , это задел на будующее... Так как сейчас один ресурс , а потом начнется...<br />А железяку недешовую уже купили =) <br />Но для начала просо понять как делать вот такой проброс было бы замечательно.<br />В принципе с вопросом я по инструкции разобрался, а вот с публикации конфигурации возникли трудности.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid119115:1Ngate как реверс-прокси и терминатор tls для одного ресурса<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Nikolay Batischev <a href="/forum2/default.aspx?g=posts&m=119105#post119105"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый день!<br /><br />Вам нужен режим аутентификации TLS Offload, в настройках портала поставить галку single-web ресурс.<br />За основу можно взять этот пример<br /><a rel="nofollow" href="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html" title="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html">https://cpdn.cryptopro.r...e-clientless-access.html</a><br />У вас довольно частный вопрос, думаю лучше создать заявку на портале тех.поддержки.<br /><a rel="nofollow" href="https://support.cryptopro.ru/" title="https://support.cryptopro.ru/">https://support.cryptopro.ru/</a></div></div><br />Инструкция хорошая , сделал как в ней сказанно.<br />При попытке опубликовать конфигурацию получаю вот:<br />"<br />Ошибка при сборке конфигурации: Неладно что-то со служебными ключами. Пожалуйста, удостоверьтесь в том, что ключи созданы и распространены, прежде чем публиковать конфигурацию.<br />" <br />Что за служебные ключи? Куда и как их распространять?</td></tr></table>2020-09-18T15:23:28+03:002020-09-18T15:23:28+03:00psyd01986<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: Nikolay Batischev <a href="/forum2/default.aspx?g=posts&m=119105#post119105"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый день!<br /><br />Вам нужен режим аутентификации TLS Offload, в настройках портала поставить галку single-web ресурс.<br />За основу можно взять этот пример<br /><a rel="nofollow" href="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html" title="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html">https://cpdn.cryptopro.r...e-clientless-access.html</a><br />У вас довольно частный вопрос, думаю лучше создать заявку на портале тех.поддержки.<br /><a rel="nofollow" href="https://support.cryptopro.ru/" title="https://support.cryptopro.ru/">https://support.cryptopro.ru/</a></div></div><br />Инструкция хорошая , сделал как в ней сказанно.<br />При попытке опубликовать конфигурацию получаю вот:<br />"<br />Ошибка при сборке конфигурации: Неладно что-то со служебными ключами. Пожалуйста, удостоверьтесь в том, что ключи созданы и распространены, прежде чем публиковать конфигурацию.<br />" <br />Что за служебные ключи? Куда и как их распространять?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid119114:1Ngate как реверс-прокси и терминатор tls для одного ресурса<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=119108#post119108"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый день.<br />Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка. <br /></div></div><br />Конечно усложняю, но не я, а наше государство с их требованиями=) Первоначально мы через nginx делали гост-tls но для прохождения всех кругов ада нам необходимо именно "сертифицированное" решение из реестра разрешенных =) Вот и мучаемся =)</td></tr></table>2020-09-18T15:21:45+03:002020-09-18T15:21:45+03:00psyd01986<table class="content postContainer_Alt" width="100%"><tr><td><div class="quote"><span class="quotetitle">Автор: two_oceans <a href="/forum2/default.aspx?g=posts&m=119108#post119108"><img src="/forum2/Themes/soclean/icon_latest_reply.gif" title="Перейти к цитате" alt="Перейти к цитате" /></a></span><blockquote>Добрый день.<br />Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка. <br /></div></div><br />Конечно усложняю, но не я, а наше государство с их требованиями=) Первоначально мы через nginx делали гост-tls но для прохождения всех кругов ада нам необходимо именно "сертифицированное" решение из реестра разрешенных =) Вот и мучаемся =)</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid119108:1Ngate как реверс-прокси и терминатор tls для одного ресурса<table class="content postContainer" width="100%"><tr><td>Добрый день.<br />Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка. <br /></td></tr></table>2020-09-18T13:14:17+03:002020-09-18T13:14:17+03:00two_oceans<table class="content postContainer" width="100%"><tr><td>Добрый день.<br />Мне кажется слишком усложняете задачу: реверс-прокси необходим, когда нужно смешивать контент с разных адресов, а если весь корень отправлять на один сервер, то задача более тривиальная - просто наложение TLS слоя на http соединение, с этим технически справляется даже программка stunnel-msspi (например, на том же сервере, где nginx) плюс проброс порта на сетевом оборудовании. В зависимости важно ли Вам наличие сертификата соответствия для решения и какая будет нагрузка. <br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid119105:1Ngate как реверс-прокси и терминатор tls для одного ресурса<table class="content postContainer_Alt" width="100%"><tr><td>Добрый день!<br /><br />Вам нужен режим аутентификации TLS Offload, и проксировать в корень<br />За основу можно взять этот пример<br /><a rel="nofollow" href="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html" title="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html">https://cpdn.cryptopro.r...e-clientless-access.html</a><br />У вас довольно частный вопрос, думаю лучше создать заявку на портале тех.поддержки.<br /><a rel="nofollow" href="https://support.cryptopro.ru/" title="https://support.cryptopro.ru/">https://support.cryptopro.ru/</a></td></tr></table>2020-09-18T16:46:02+03:002020-09-18T16:46:02+03:00Николай Батищев<table class="content postContainer_Alt" width="100%"><tr><td>Добрый день!<br /><br />Вам нужен режим аутентификации TLS Offload, и проксировать в корень<br />За основу можно взять этот пример<br /><a rel="nofollow" href="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html" title="https://cpdn.cryptopro.ru/content/ngate/admin-guide/webhelp-feedback/index.html#source/12-setting-examples/task-setting-gate-clientless-access.html">https://cpdn.cryptopro.r...e-clientless-access.html</a><br />У вас довольно частный вопрос, думаю лучше создать заявку на портале тех.поддержки.<br /><a rel="nofollow" href="https://support.cryptopro.ru/" title="https://support.cryptopro.ru/">https://support.cryptopro.ru/</a></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid119103:1Ngate как реверс-прокси и терминатор tls для одного ресурса<table class="content postContainer" width="100%"><tr><td>Добрый день,<br />развертываем NGATE Крипто-Про в тестовой среде.<br />Делаем все по инструкции , не очень понятно как реализовать следующих функционал.<br />Опишу кейс.<br />Инфраструктура:<br />1) Шлюз ngate с внешним адресом на который можно попасть из интернета используя ДНС имя <a rel="nofollow" href="http://www.exmple.com" title="http://www.exmple.com">www.exmple.com</a><br />2) В локальной сети в которой находится ngate есть веб сервер nginx публикующий страницу по адресу <a rel="nofollow" href="http://192.168.0.154" title="http://192.168.0.154">http://192.168.0.154</a><br />3) Внешние пользователи в своих браузерах (с поддержкой ГОСТ шифрования) должны переходить на адрес <a rel="nofollow" href="https://example.com" title="https://example.com">https://example.com</a> и им должна отображаться страничка публекумая на <a rel="nofollow" href="http://192.168.0.154" title="http://192.168.0.154">http://192.168.0.154</a><br />4) Ни какие сертификаты и прочие средства атентификации не используются, все кто знает адрес example.com могут к нему подключится с ГОСТ-TLS шифрованием и увидеть Страничку опубликованную на nginx в локальной сети.<br />5) Ни каких локешнов в адресе не добавляется, <a rel="nofollow" href="https://example.com" title="https://example.com">https://example.com</a> сразу должно отправлять на сьраничку в сети. Т.е. реверс-прокси всего корня (/) дальше на страничку на nginx.<br /><br />По факту ngate используется как терминатор TLS по ГОСТ шифрованию и реверс прокси.<br /><br />Как настроить такой прозрачный проброс к ресурсу внутри сети?</td></tr></table>2020-09-18T12:51:31+03:002020-09-18T12:51:31+03:00psyd01986<table class="content postContainer" width="100%"><tr><td>Добрый день,<br />развертываем NGATE Крипто-Про в тестовой среде.<br />Делаем все по инструкции , не очень понятно как реализовать следующих функционал.<br />Опишу кейс.<br />Инфраструктура:<br />1) Шлюз ngate с внешним адресом на который можно попасть из интернета используя ДНС имя <a rel="nofollow" href="http://www.exmple.com" title="http://www.exmple.com">www.exmple.com</a><br />2) В локальной сети в которой находится ngate есть веб сервер nginx публикующий страницу по адресу <a rel="nofollow" href="http://192.168.0.154" title="http://192.168.0.154">http://192.168.0.154</a><br />3) Внешние пользователи в своих браузерах (с поддержкой ГОСТ шифрования) должны переходить на адрес <a rel="nofollow" href="https://example.com" title="https://example.com">https://example.com</a> и им должна отображаться страничка публекумая на <a rel="nofollow" href="http://192.168.0.154" title="http://192.168.0.154">http://192.168.0.154</a><br />4) Ни какие сертификаты и прочие средства атентификации не используются, все кто знает адрес example.com могут к нему подключится с ГОСТ-TLS шифрованием и увидеть Страничку опубликованную на nginx в локальной сети.<br />5) Ни каких локешнов в адресе не добавляется, <a rel="nofollow" href="https://example.com" title="https://example.com">https://example.com</a> сразу должно отправлять на сьраничку в сети. Т.е. реверс-прокси всего корня (/) дальше на страничку на nginx.<br /><br />По факту ngate используется как терминатор TLS по ГОСТ шифрованию и реверс прокси.<br /><br />Как настроить такой прозрачный проброс к ресурсу внутри сети?</td></tr></table>