Что это такое?

Это включение поддержки HTTPS.

Зачем это нужно?

Для безопасного Web-управления устройством.

Как это настроить?

disable

Выключить поддержку HTTPS.

enable

Включить поддержку HTTPS. При этом автоматически создаётся простейшая конфигурация в узле STunnel для доступа к устройству по HTTPS. После этого необходимо рестартовать Web-сервер, чтобы он загрузил сертификаты (из файлов, указанных в конфигурации туннеля) или сгенерировал свои собственные.

ВНИМАНИЕ! При рестарте Web-сервера, а также при применении некоторых других изменений (например, изменении номера порта или создании запрещающих фильтов) доступ к устройству будет утерян. Настоятельно рекомендуется все операции по настройке Web-сервера выполнять через консольный интерфейс (SSH, Telnet или физический консольный порт). Если это невозможно и в результате на устройстве осталась незавершённая сессия, то её необходимо снять командой .system.sessions.close, либо дождаться её закрытия по таймауту.

По существу, протокол HTTPS в данной версии NSG Linux реализован как HTTP поверх туннеля STunnel. Автоматически созданный туннель имеет в конфигурации STunnel имя ~HTTPS~ и не редактируется пользователем. Если параметры данного туннеля вас не устраивают (например, требуется специфический протокол или номер порта), то следует выключить поддержку HTTPS в данном параметре и вместо этого настроить аналогичный туннель STunnel вручную.

Согласно общим принципам настройки NSG, автоматические изменения в конфигурации устройства производятся, но не применяются. Для фактического включения (и выключения) HTTPS необходимо применить изменения не только в данном узле, но также в узле .tunnel.stunnel.

Для работы HTTPS необходимо иметь на устройстве, как минимум, корневой сертификат, сертификат данного устройства и закрытый ключ устройства. Они могут быть получены одним из 3 способов:

• Получены централизованно от стороннего удостоверяющего центра и помещены на устройство каким-либо безопасным способом.
• Сгенерированы на устройстве вручную при помощи SSL.
• Рестартом службы HTTP. Если при рестарте обнаруживается, что HTTPS включено, а сертификаты в указанных местах отсутствуют, то будет автоматически сгенерирован минимальный набор сертификатов X.509.

Во втором и третьем случаях генерируются самоподписанные сертификаты, поэтому при подключении броузер выдаст предупреждение о ненадёжном сертификате. На него следует ответить утвердительно.

ВНИМАНИЕ! Данная команда не отключает доступ по незащищёному протоколу HTTP. Если необходимо запретить его, используйте фильтры. Минимальный фильтр для этой цели может быть установлен командами deny-http / allow-http.