Russian (Русский) - Change language

Защита сетевых соединений

Чтобы обеспечить безопасную передачу данных между частями комплекса ABBYY FlexiCapture, необходимо настроить безопасное подключение.

Настройка безопасного сетевого соединения с использованием HTTPS

По умолчанию ABBYY FlexiCapture использует протокол HTTP. Этот протокол рекомендуется использовать только для разработки тестовых, промежуточных или демонстрационных сред.

Для промышленной обработки необходимо использовать протокол HTTPS для защиты конфиденциальных данных.

Чтобы использовать HTTPS, вручную включите поддержку SSL в настройках IIS.

Для работы с IIS по протоколу HTTPS необходимо получить сертификат для сервера и подключить этот сертификат. Управление сертификатами см. на веб-сайте Microsoft.

Для подключения сертификата в настройках IIS нужно подключить HTTPS протокол для сайта по умолчанию:

  1. Из панели управления откройте Диспетчер служб IIS.
  2. Выберите Default Web Site и на панели Действия выберите Привязки....
  3. В открывшемся диалоге нажмите Добавить... и выберите из выпадающего списка протокол https.
  4. В выпадающем списке Сертификаты SSL выберите нужный сертификат и нажмите ОК.
  5. Если сайт должен быть доступен только по https, нужно выбрать его в дереве сайтов, открыть Параметры SSL и отметить опцию Требовать SSL.
    Замечание. Проверка клиентских сертификатов не осуществляется, поэтому при настройке SSL для опции Сертификаты клиента нужно выбрать Игнорировать.

После этого адрес Сервера Приложений на всех клиентских машинах необходимо прописывать с протоколом https://<server_name>, при этом имя машины должно соответствовать тому имени, на которое выдан сертификат.

Это потребуется при указании адреса Сервера Приложений на Сервере Обработки, на пользовательских станциях и веб-станциях.

Чтобы указать адреса Сервера Приложений на Сервере Обработки:

  1. Запустите Монитор Сервера Обработки.
  2. В контекстном меню Сервера Обработки выберите команду Изменить Сервер Приложений.
  3. В открывшемся диалоге укажите адрес в формате https://<server_name>.

При работе на пользовательских станциях адрес сервера https://<server_name> необходимо указывать при запуске станций или при открытии проекта.

Аналогично при работе на веб-станциях ввод URL необходимо начинать с адреса сервера: https://<server_name>/FlexiCapture12/<web_station_name>.

Поддержка TLS1.2

ABBYY FlexiCapture 12 поддерживает протокол TLS 1.2. Протокол является рекомендуемым протоколом шифрования, который используется в безопасном соединении.  

На уровне операционной системы при подключении к комплексу FlexiCapture могут быть использованы другие протоколы помимо TLS1.2. Подробнее о настройке ограничений на использование протоколов см. на сайте Microsoft.

Защита соединения Mutual SSL

По умолчанию при настройке https настраивается одностороння SSL-аутентификация. Это означает, что только клиент проверяет подлинность сертификата сервера. Но можно повысить безопасность, настроив проверку сертификата клиента сервером. Для этого необходимо настроить двустороннюю аутентификацию Mutual SSL.

Чтобы настроить Mutual SSL для Сервера приложений, необходимо:  

  1. Сделать настройку https в Internet Information Services (IIS). См. пункт Настройка безопасного сетевого соединения с использованием HTTPS.
  2. Включить опцию Требовать SSL в Параметры SSL для Default Web Site\FlexiCapture12\Server.
  3. В пункте проверки клиентских сертификатов выбрать Требовать.

Теперь при подключении клиенты должны предоставить серверу сертификат.

  1. Станция Настройки проекта и Станция верификации не требуют дополнительной настройки. При подключении клиенту будет выдан запрос на выбор сертификата, который надо предоставлять Серверу.  
  2. Для Сервера Обработки и Станции Обработки нужно указать Thumbprint соответствующего сертификата в настройках реестра HKLM\Software\ABBYY\FlexiCapture\12.0\FlexiBr:  
    <ClientCertificateThumbPrint>
  3. Для Консоли администрирования и мониторинга нужно настроить то, какой сертификат передавать. Для этого необходимо изменить значение ключей в файле web.config:
    <add key="UseClientCertificate" value="True" />
    <add key="ClientCertificateThumbprint" value="Certificate Thumbprint" />
    Замечание. Клиентский сертификат с указанным Thumbprint должен находиться в хранилище Local Computer > Personal. Аккаунт, передающий этот сертификат, должен иметь грант на его использование. Подробнее см. на сайте Microsoft.

Замечание. Настройка Mutual SSL невозможна для Веб-станции Сканирования и Веб-станции Ввода Документов.

Безопасное подключение к базе данных и файловому хранилищу

В комплексе ABBYY FlexiCapture Сервер приложений взаимодействует с Базой данных и файловым хранилищем.

Чтобы обеспечить безопасное подключение к Базе данных SQL, SQL Azure или Oracle, рекомендуется использовать протокол TLS1.2. Настройка TLS должна быть на стороне Базы:

  1. SQL.  Подробнее см. на официальном сайте Microsoft.
  2. SQL Azure. Подробнее см. на официальном сайте Microsoft.
  3. Oracle. Подробнее см. на официальном сайте Oracle.

С файловым хранилищем Сервер приложений взаимодействует, используя протоколы SMB. Версия SMB 3.0 поддерживает безопасный режим. Подробнее о безопасном режиме работы SMB см. на cайте Microsoft.

14.01.2021 14:17:24


Please leave your feedback about this article