- من انت ؟؟
- أنا روسي جديد.
"ثم من أنا؟"مقدمةفي
الجزء الأول من المقال ، تحدثنا عن Direct Connect بشكل عام وقمنا بتجهيز
لوحة ADC .
اليوم علينا أن نتعلم كيفية استخدام هذا المحور لغرضه المقصود. للقيام بذلك ، سنتحدث عن ميزات عملاء DC المتوافقين ونجعلهم أصدقاء مع TLS.
ترجمة إلى الإنجليزيةفي إعدادات كل منها ، ستحتاج إلى الانتباه إلى قسم
التشفير ، ويعرف أيضًا باسم
الأمان والشهادات أو
الأمان .
وغني عن القول ، عند استخدام الوضع النشط TCP ، يجب أيضًا إعادة توجيه منفذ TLS.
AirDC ++وريث قوي ل fulDC ++ الأسطوري ، وهو أول تعديل من العميل الأصلي. مرئية وكافية.
إعدادات AirDC ++ للعمل على محور ADCsيتم إنشاء المفتاح والشهادة عند الإطلاق الأول للعميل (أو عند الطلب) وتكون صالحة لمدة 360 يومًا.
عند توصيل العملاء ببعضهم البعض ، يمكن أيضًا استخدام TLS على لوحة وصل ADC عادية ، ولكن بنتيجة غير متوقعة (انظر الجزء السابق من المقالة).
ما هو محور مع شهادة موثوق بها للعميل؟كما أوضحت الاختبارات ، حتى لو قمت بتغذية لوحة الوصل بشهادة حقيقية موقعة من مركز التفويض (على الأقل من Let's Encrypt) ، فلن يتم الوثوق بها للعميل.
[S] = آمن ، [U] = غير موثوق بهمعيار الثقة في لوحة وصل ADC هو مطابقة
بصمة الشهادة التي تلقاها العميل بشكل مستقل مع تلك المحددة بوضوح في عنوان لوحة الوصل.
*** الاتصال بـ adcs: //babylon.aab21pro.org: 412 /؟ Kp = SHA256 / 1QTHF6U3SDQPQKCTCG3ZYK4LQS322MIXI64GMAX7PXLGKYCYTJOQ ...
*** خطأ TLS: عدم تطابق Keyprint
*** لا تتطابق لوحة المفاتيح الموجودة في العنوان مع شهادة الخادم ، واستخدام / السماح للمتابعة مع اتصال غير موثوق به
إنها مؤثرة ولكنها غير مجدية ، لأن لوحة المفاتيح لن تكون هي نفسها إلى الأبد ؛ مما يعني أنها ليست مناسبة للاستخدام الشامل.
تتمثل الطريقة الأكثر صحة للحصول على
[S] في حفظ شهادة لوحة الوصل في مجلد مصمم خصيصًا لهذا الغرض (عادةً ما يتزامن مع المجلد الذي يخزن فيه العميل "المستندات" الخاصة به). بالطبع ، يجب طلب الشهادة من مسؤول المركز ، ويتم
تنفيذ هذه الميزة على dchublist.org.
DC ++العميل NMDC / ADC الأصلي ، والأكثر متواضع. ومع ذلك ، فإن مطوريها
يولون الكثير من الاهتمام للسلامة.
إعدادات DC ++ للعمل على لوحة الوصل ADCsما هي قنوات الرسائل الخاصة المشفرة مباشرة ؟يمكن لـ DC ++ و AirDC ++ ، وفجأة ،
SharikDC إرسال رسائل خاصة إلى بعضهم البعض عبر قناة آمنة ، متجاوزة المحور. مرحبا برقية! ..
FlylinkDC ++الأكثر
إثارة للجدل . من خارج الصندوق ، يتجاهل تماما الاتصالات الآمنة ويسمح طبيعية.
AirDC ++ مقابل FlylinkDC ++يجب تثبيت الإعدادات الصحيحة مع التحديث.
إعدادات FlylinkDC ++ للعمل على محور ADCsEiskaltDC ++
إعدادات EiskaltDC ++ للعمل على محور ADCsربما ، نظرًا لاستخدام نواة قديمة من DC ++ ، فإنه غير قادر على العمل مع caprints في عنوان لوحة الوصل. ولكن - هذا هو العميل الوحيد الذي يمكن تهيئته لاستخدام اتصالات آمنة بشكل حصري.
ApexDC ++
إعدادات ApexDC ++ للعمل على محور ADCsالأكثر تسامحا. إنه يركز على إعدادات الأمان للعميل البعيد - وبالتالي ، إلى جانب الاتصالات الآمنة والمنتظمة سيتم الحصول عليها أيضًا (على سبيل المثال ، مع FlylinkDC ++ غير مكوّن).
يمكن الحصول على نفس مخطط التشغيل بالضبط في AirDC ++ و EiskaltDC ++ إذا كنت تستخدم الخيار Enabled (تمكين) ولكن ليس قسريًا .
ونعم ، ApexDC ++ هو أفضل خيار لاستبدال "ساخن" لـ StrongDC ++ الذي عفا عليه الزمن
تمامًا .
يتحدث عن
StrongDC ++ ...
إعدادات الأمان الأمثل ل StrongDC ++قم بعمل جيد لنفسك وللآخرين ، لا تجبر العملاء الذين أسقطوا دعم TLS v.1.0 على محاولة الاتصال بأمان معك - هذا لن ينجح.
ينطبق نفس المنطق تمامًا على تكوين مفضل بواسطة بعض
GreylinkDC ++ .
خاتمةفي حالة الاتصال الناجح باستخدام TLS (على سبيل المثال ، عند تنزيل قائمة أفلام) ، سيتم تعبئة عمود
التشفير أو
التشفير في نافذة النقل (في AirDC ++ ، وإلا ، انظر أدناه)
كما ترون ، لا يخلو من المتاعب ، لكن التشفير في العاصمة يحدث ويعمل.
في الجزء
الثالث من المقالة ، سنقوم بإجراء تجارب ميدانية ومعرفة سبب عدم الذهاب إلى بعض الحقول باستخدام TLS على الإطلاق.