Русская версия
Українська версія
Module <SSL> of subsystem “Transports”
| Module: | SSL |
| Name: | SSL |
| Type: | Транспорт |
| Source: | tr_SSL.so |
| Version: | 0.8.0 |
| Author: | Roman Savochenko |
| Description: | Provides transport based on the secure sockets' layer. OpenSSL is used and SSLv2, SSLv3 and TLSv1 are supported. |
| License: | GPL |
Introduction
The module SSL of the transport provides the support of transport based on secure sockets layer (SSL) into the system. In the basis of the module there is the library 
OpenSSL. Incoming and outgoing transports of protocols SSLv2, SSLv3 and TLSv1 are supported.
It is possible to add new incoming and outgoing transports through the transport subsystem configuration in any configurator of OpenSCADA system.
1. Incoming transports
The configured and runnig incoming transport opens server SSL-socket for the expectation of connection of the clients. SSL-socket is a multi-stream, ie when the client connects, the client SSL-connection and a new stream in which the client is served are created. Server SSL-socket in this moment switches to the waiting for the request from the new client. Thus the parallel service of the clients is achieved.
Each incoming transport is necessarily associated with one of the available transport protocols, to which incoming messages are transmitted. In conjunction with the transport protocol is supported by a mechanism of the combining of pieces of requests, disparate while transferring.
Configuration dialog of the incoming SSL-transport is depicted in Figure 1.
Fig.1. Configuration dialog of the incoming SSL-transport.
Using this dialog you can set:
- The state of transport, namely: "Status", "Running" and the name of the database, containing the configuration.
- Id, name and description of transport.
- Address of the transport in the format "[address]:[port]:[mode]", where:
- address – Address, on which the SSL is opened. It must be one of the addresses of the host. If the "*" is indicated then SSL will be available in all the host's interfaces. There may be as the symbolic representation as well as IP one of the address.
- port – Network port, on which the SSL is opened. Indication of the character name of the port (according to /etc/services) is available.
- mode – SSL-mode and version (SSLv2, SSLv3, SSLv23, TLSv1). By default and in case of error the SSLv23 is used.
- The choice of transport protocol.
- The state, in which the controller must be translated at boot: «Running».
- Certificates, private SSL key and password of private SSL key.
- The maximum number of clients to serve and the size of the input buffer.
2. Outgoing transports
Сконфигурированный и запущенный исходящий транспорт открывает SSL соединение с указанным сервером. При разрыве соединения, исходящий транспорт отключается. Для возобновления соединения транспорт нужно опять запустить.
Главная вкладка страницы конфигурации исходящего SSL-транспорта изображёна на рис.2.
Рис.2. Главная вкладка страницы конфигурации исходящего SSL-транспорта.
С помощью этого диалога можно установить:
- Состояние транспорта, а именно: "Статус", "Запущен" и имя БД содержащей конфигурацию.
- Идентификатор, имя и описание транспорта.
- Адрес транспорта в формате "[адрес]:[порт]:[режим]" где:
- адрес – Адрес, с которым выполняется соединение. Допускаются как символьное так и IP представление адреса.
- порт – Сетевой порт, с которым выполняется соединение. Возможно указание символьного имени порта (в соответствии с /etc/services).
- режим – SSL-режим и версия (SSLv2, SSLv3, SSLv23, TLSv1). По умолчанию и при ошибке используется SSLv23
- Состояние, в которое переводить контроллер при загрузке: "Запущен".
- Сертификаты, приватный ключ SSL и пароль приватного ключа SSL.
3. Сертификаты и ключи
Для полноценной работы модуля необходимы сертификаты и приватные ключи. В случае с входящим SSL-транспортом (сервером) они обязательны. В случае с исходящим SSL-транспортом они могут и не устанавливаться хотя их использование желательно.
Простейшей конфигурацией сертификата является самоподписной сертификат и приватный ключ. Ниже описана процедура их создания с помощью утилиты openssl:
# Генерация секретного ключа
$ openssl genrsa -out ./key.pem -des3 -rand /var/log/messages 2048
# Генерация самоподписанного сертификата
$ openssl req -x509 -new -key ./key.pem -out ./selfcert.pem -days 365
Далее содержимое файлов selfcert.pem и key.pem копируется в текстовое поле сертификата и ключа. Пароль приватного ключа устанавливается в соответствующем поле.
Ссылки