При двусторонней аутентификации пользователь ресурса и ресурс проверяют сертификаты друг друга, чтобы убедиться, что происходит взаимодействие с тем партнером, с которым и планировали.
Для аутентификации сторон используются сертификаты открытого ключа формата Х.509.
Метод двусторонней аутентификации на С-Терра TLS Шлюз используется для ограничения доступа к защищаемым ресурсам.
Рисунок 48
Настройка двусторонней аутентификации с использованием сертификатов осуществляется следующим образом (Рисунок 48).
1. На С-Терра TLS Шлюз зарегистрируйте СА сертификат пользователя ресурса как описано в разделе «Регистрация СА сертификата пользователя ресурса на С-Терра TLS Шлюз».
2. На С-Терра TLS Шлюз сформируйте запрос на локальный сертификат ресурса, который затем отправьте на УЦ. Контейнер с ключевой парой сохраняется на С-Терра TLS Шлюз. Требования к УЦ и полям локального сертификата ресурса описаны в разделе «Требования к УЦ и полям сертификатов». Созданный локальный сертификат ресурса с УЦ доставьте на С-Терра TLS Шлюз и зарегистрируйте сертификат. Создание запроса и регистрация сертификата описаны в разделе «Регистрация локального сертификата ресурса на С-Терра TLS Шлюз».
3. На С-Терра TLS Шлюз добавьте ресурсы и пользователей ресурсов, как описано в разделе «Регистрация ресурса и пользователя на С-Терра TLS Шлюз».
4. На С-Терра TLS Шлюз настройте правила фильтрации, описанные в разделе «Настройка правил фильтрации».
5. На устройстве пользователя ресурса зарегистрируйте в браузере СА сертификат ресурса и также файл формата .pfx, который содержит локальный сертификат пользователя ресурса и контейнер закрытого ключа. Все действия на устройстве пользователя ресурса описаны в документе «ПК «С-Терра TLS Шлюз ST. Версия 4.3». Руководство пользователя».
6. В процессе установления соединения осуществляется двусторонняя аутентификация, в ходе которой взаимодействующие стороны отправляют друг другу локальные сертификаты. На С-Терра TLS Шлюз проверяется локальный сертификат пользователя ресурса на подлинность, на наличие секретного ключа у сертификата пользователя ресурса и по полям сертификата. В браузере пользователя ресурса проверяется локальный сертификат ресурса.
7. При успешной проверке и согласовании алгоритмов шифрования устанавливается защищенное TLS-соединение между С-Терра TLS Шлюз и устройством пользователя ресурса. Если у пользователя ресурса права на доступ к защищённому ресурсу отсутствуют, то пользователь ресурса в браузере получает ошибку с кодом 403.
Данный документ описывает выполняемые действия со стороны администратора на С-Терра TLSШлюз. Действия по настройке на устройстве пользователя ресурсов описаны в документе «ПК «С-Терра TLS Шлюз ST. Версия 4.3». Руководство пользователя».