Как настроить зашифрованный обмен через HTTPS с сервером
Примечание
Перед настройкой зашифрованного обмена, выполните настройки из этих статей:
- Настройка сервера для работы через IIS или NGinx.
- Доступ к веб-интерфейсу из интернета.
- Настройка DNS имени.
После того как вы установили веб-интерфейс, и настроили доступ к нему извне по DNS-имени, вы можете зашифровать обмен между клиентами и сервером с помощью протокола HTTPS.
Обычно, сертификаты для зашифрованного обмена поставляются на платной основе. Но есть возможность использовать временные сертификаты Lets Encrypt с автоматическим продлением.
Мы рекомендуем зашифровывать обмен с Web-сервером, а не с сервером ЛЭРС УЧЁТ напрямую. Это позволит использовать один и тот же сертификат для всех ваших сервисов. Рекомендуемая схема выглядит следующим образом:
Зашифрованный обмен выполняется только с компьютером, который имеет доступ в интернет. На нём установлен Web-сервер с зарегистрированным сертификатом. Сервер ЛЭРС УЧЁТ при этом установлен во внутренней сети, и доступа извне к нему нет. Поэтому для него необязательно запрашивать сертификат, и обмен остаётся незашифрованным.
Возможно, что Web-сервер и сервер ЛЭРС УЧЁТ работают на одном и том же компьютере. Тогда нужно настроить брандмауэр таким образом, чтобы подключения извне на порт сервера ЛЭРС УЧЁТ (по умолчанию 10000) не принимались. Также, в конфигурационном файле сервера можно задать адрес для приёма подключений <listenAddress>localhost</listenAddress>
и перезапустить сервер ЛЭРС УЧЁТ. После этого он будет принимать подключения только с локального компьютера.
Настройка Let's encrypt на IIS
Все действия, связанные с настройкой сервера IIS и созданием сертификата, можно выполнить с помощью программы WinAcme.
- Загрузите программу WinAcme и распакуйте её в какую-либо папку на компьютере, на котором установлен сервер IIS. Например,
C:\WinAcme
- Откройте командную строку от имени администратора.
- Введите команду
cd c:\WinAcme
- Введите команду
wacs
- После появления запроса нажмите
N
, чтобы создать новый сертификат для сервера IIS.
Нажмите Enter, чтобы создать сертификат для всех сайтов, или введите номера сайтов, для которых нужен защищённый обмен.
После этого программа WinAcme автоматически запросит сертификаты, установит их на сервере IIS, и настроит автоматическое продление сертификатов.
Настройка в Linux для nginx
Так как количество операционных систем на базе Linux достаточно большое, подробное описание выходит за рамки этого руководства. Вы можете поискать инструкции по настройке для вашей ОС в интернете.
Например, настройка для Ubuntu и nginx подробно описана в этой статье. Шагов в этой инструкции достаточно, чтобы успешно настроить HTTPS.
Настройка подключения к серверу по HTTPS
Для настройки подключения в АРМ оператора в параметрах подключения установите флажок Использовать SSL
. Флажок автоматически подставит стандартный для HTTPS порт 443.
Для службы опроса в файле PollHost.ini в секции PollHost - Connection
нужно указать https://my-lers-uchet-server.name