Тонкий клиент установка сертификата
На компьютере, с которого вы хотите удаленно работать со своей программой 1С, необходимо установить корневой цифровой сертификат Удостоверяющего Центра (Certificate Authority) «1С: Линк». Задача центра сертификации — подтверждать подлинность ключей шифрования с помощью сертификатов электронной подписи.
Технически центр сертификации отвечает за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранится удостоверяющим центром в виде цифровых сертификатов.
Загрузите корневой сертификат Удостоверяющего Центра «1С: Линк» (1С-Link-CA) и сохраните в файл.
Откройте в Windows папку с загруженным файлом, нажмите на нем правой кнопкой мыши и выберите пункт меню Установить сертификат.
Запустится Мастер импорта сертификатов. В появившемся окне нажмите кнопку Далее.
В следующем окне матера выберите опцию Поместить все файлы в следующее хранилище и нажмите кнопку Обзор
В появившемся окне выберите хранилище сертификатов — Доверенные корневые центры сертификации — нажмите ОК.
В результате произведенных действий окно мастера должно выглядеть следующим образом:
В вашем окне цифровой отпечаток (sha256) должен выглядеть также, как на рисунке. Нажмите Да, чтобы завершить установку сертификата.
Рассмотрим установку Apache на WindowsXP и публикацию файлового варианта базы на веб-сервер.
Надо заметить, что при работе с веб-сервером рекомендуется использовать не файловый, а серверный вариант работы 1С:Предприятия, т.к. связка веб-сервер+файловая БД вызывает значительную деградацию производительности при числе удаленных пользователей даже от 3х человек.
Что понадобится:
Установка Apache for Windows
Публикация базы 1С на веб-сервер.
Администрирование --> публикация на веб-сервере.
Каталог – любая папка. В ней будет один маленький конфигурационный файл. Чем короче к ней путь и чем меньше в нём пробелов, тем иногда бывает меньше глюков у апача.
Нажимаем «Опубликовать», пару раз соглашаемся с перезапуском веб-сервера.
Всё! Публикация выполнена, запускаем браузер на клиенте, переходим по адресу [myhost]/[Имя].
Не будем голословны, убедимся.
Извлекаем пароль
Используя любой сниффер, можно отследить запрос к серверу, где клиент передает какие-то данные, сразу после того, как пользователь ввёл логин, пароль и нажал кнопку ОК.
Очевидно, что пароль запрятан где-то в параметре credential («удостоверение»): cred=VGltb2ZlZXZhOjEyMzMyMQ== – другие не подходят по смыслу. Однако явного пароля мы тут не видим. Так может какая-то защита от пароля всё-таки используется?
Изучим страницу авторизации под отладчиком. В строке 147 файла loader.js наблюдаем:
Переменные: name (содержащая имя пользователя - timofeeva), dvk (содержит пароль в открытом виде - 123321).
Dvm = name + “:” + dvk // теперь dvm = “timofeeva:123321”
Затем к dvm применяется функция base64encode и результат (строка «VGltb2ZlZXZhOjEyMzMyMQ==» сохраняется в dvn. В таком виде данные об авторизации и передаются на сервер. BASE64 – это метод кодирования информации, когда все символы «сужаются» до только печатных, английских. Не представляет трудности восстановить эту строку. К примеру, в 1С:Предприятие есть метод глобального контекста Base64Значение (), есть немало и онлайн-сервисов.
Воспользуемся одним из них, и получим timofeeva:123321, т.е логин и пароль, разделённые двоеточием.
Таким образом, мы убедились, что шифрование данных для авторизации не используется, и любой вредитель, имеющий возможность прослушивать траффик, может с лёгкостью узнать логин и пароль.
Поэтому переходим к следующему шагу и включаем поддеркжу SSL.
Включение поддержки SSL в Apache
Копируем файлы ssleay32.dll и libeay32.dll из C:\Program Files\Apache Software Foundation\Apache2.2\bin в C:\WINDOWS\system32.
Копируем файл openssl.cnf из C:\Program Files\Apache Software Foundation\Apache2.2\conf в C:\Program Files\Apache Software Foundation\Apache2.2\bin.
Создаем ключи. Т.к. мы создаем их сами и не подписываем в центре сертификации, при первом посещении странички браузеры будут ругаться и предупреждать о безопасности.Для этого:
В командной строке переходим в папку bin апача:
cd “C:\Program Files\Apache Software Foundation\Apache2.2\bin”
Отвечаем на вопросы, в принципе можно заполнять поля чем угодно – главное не забудьте пароль (pass phrase).
Тут понадобится пароль, указанный в предыдущем пункте.
, где последний параметр – срок истечения валидности сертификата.
Создаем папку ssl в C:\Program Files\Apache Software Foundation\Apache2.2\conf и перемещаем файлы my-server.key и my-server.cert из C:\Program Files\Apache Software Foundation\Apache2.2\bin в C:\Program Files\Apache Software Foundation\Apache2.2\conf\ssl.
и раскомментируем её (убираем знак решетки).
Вместо них вставляем следующие
Обратите внимание на последний блок со строкой, содержащей localhost:443
Запускаем редактор реестра (Пуск-выполнить – regedit), переходим в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Apache2.2.
Находим параметр ImagePath, и добавляем к его значению ключ -D ssl. Т.е. должно получиться "C:\Program Files\Apache Software Foundation\Apache2.2\bin\httpd.exe" -D ssl -k runservice.
Всё готово. Перезапускаем apache. Открываем Apache Monitor из области уведомлений и нажимаем restart. Если все отлично, то в лог выведется Apache service has restarted.
Проверим нашу работу
Т.к. сертификат мы сгенерировали сами, необходимо подтвердить исключение безопасности. Соглашаемся со всеми запросами, и наконец запускается 1С:Предприятие.
Всё работает, причем по ssl каналу. Мы молодцы? НЕТ.
Исправляем недостатки
Как известно, уровень безопасности системы равен наименее безопасному её элементу.
Заключение
При внедрении решения на управляемых формах, при необходимости использования одной базы в территориально разделённых офисах, использование веб-сервера Apache + браузера/тонкого клиента выглядит привлекательнее, чем использование терминального сервера (Апач бесплатный) или VPN-подключения (апач проще в настройке).
Для того, чтобы начать работу через тонкий клиент, Вам необходимо:
1. Опубликовать в WEB базу данных 1С:
Ссылку на базу можно получить, скопировав ее по кнопке «Копировать» в меню базы.
Для работы в браузере необходимо выбрать в меню «Открыть в браузере».
2. Установить «тонкий клиент» на Ваш компьютер:
скачать дистрибутив программы для Windows™. (Текущая используемая платформа 8.3.17.2231)
Для получения дистрибутива для Mac или Linux нужно обратиться в техническую поддержку
распаковать архив и запустить установочный файл.
В появившемся окне программы установки нажмите кнопку «Далее».
На следующей странице выберите необходимые для установки языки.
Затем выберите язык интерфейса (по умолчанию будет установлен язык, выбранный в операционной системе) и нажмите «Далее».
Нажмите «Установить» для запуска процесса установки.
После завершения установки, нажмите «Готово».
Примечание: платформа запуска 1С: Предприятие в облаке централизовано обновляется с некоторой периодичностью. Версии тонкого клиента и платформы, установленной на сервере, должны совпадать, следовательно, тонкий клиент требуется обновлять. Эта операция может проходить автоматически, для этого необходимо установить галку «Запуск от имени администратора» в свойствах ярлыка.
Перед запуском 1C Тонкий клиент требуется настроить запуск от имени администратора.
Для этого нажмите на ярлыке запуска правой кнопкой мыши и выберите «Свойства»
В открывшемся окне, во вкладке «Ярлык» нажмите кнопку «Дополнительно»
В следующем окне нужно установить галку «Запуск от имени администратора» и «ОК» и сохранить изменения.
3. Добавить базы в тонкий клиент
При первом запуске Тонкого клиента появится запрос на добавление информационной базы, следует ответить «Да»
В следующем окне следует выбрать «Добавление в список существующей информационной базы» и «Далее».
На следующем этапе необходимо:
- указать имя базы данных (данное имя будет отображаться в перечне баз данных при запуске 1С),
- выбрать вариант подключения к информационной базе «На Веб-сервере»,
- вставить в данное поле ссылку на базу (данную ссылку мы получили в ЛК на 1 шаге инструкции) нажать «Далее».
И в последнем окне нажать кнопку «Готово».
После этого, появиться окно с перечнем информационных баз. Для входа в информационную базу необходимо выбрать нужную базу и нажать «1С:Предприятие»
В окне «Доступ к веб-серверу» необходимо указать учетные данные, полученные при регистрации.
Если на следующем шаге появится запрос учетных данных для входа в 1С, Необходимо в поле «Пользователь» выбрать нужного Вам пользователя 1С: Предприятие, ввести его пароль (при наличии) и нажать и нажать «ОK».
4. Настроить дополнительные параметры
Как сделать так, чтобы пароль от облака или базы не запрашивался?
Для этого следует выбрать интересующую Вас базу из списка, нажать "Изменить". В открывшемся окне параметров нажать «Далее».
Вам нужна строка "Дополнительные параметры запуска", где через пробел можно указывать следующие параметры:
- /WSN - имя пользователя веб-сервиса (в данном случае логин аккаунта Сервисклауд)
- /WSP - пароль пользователя веб-сервиса
- /N - имя пользователя базы
- /P - пароль пользователя базы
К примеру, строчка "/WSN scXXXXX /WSP Pa$$W0RD /N НатальяР /P 2014Склауд"
С появлением версии 1С 8.2 появилась возможность использовать для подключения тонкий и веб-клиенты. Как сделать такое подключение безопасным? Рассмотрим в следующей статье.
Peer certificate cannot be authenticated with known CA certificates
Problem with the SSL CA cert (path? access rights?)
Данная проблема возникает, когда администратор применяет на веб-сервере самоподписанный сертификат. Для исправления данной ситуации необходимо добавить информацию о сертификате в файл cacert.pem что находится в каталоге bin соотв. версии 1С Предприятия. Для добавления нам понадобится,собственно, сам сертификат, экспортированный в формат pem и его цифровой отпечаток MD5.
Наиболее просто экспортировать сертификат следующим образом:
Не забываем при экспорте выбрать формат base-64.
А далее воспользуемся бесплатным пакетом Open SSL для получения отпечатка.
C:\OpenSSL-Win32\bin>openssl dgst -md5 cert.pem.cer
получаем:
MD5(cert.pem.cer)= 02097fe62fa514af6defe2668751ea18
Полученную информацию добавим в файл cacert.pem как показано на примере ниже.
MyServer CA
=========MD5 Fingerprint=02:09:7f:e6:2f:a5:14:af:6d:ef:e2:66:87:51:ea:18
-----BEGIN CERTIFICATE-----
MIIEADCCAuigAwIBAgIKE16daAAAAAAADTANBgkqhkiG9w0BAQUFADARMQ8wDQYD
VQQDEwZ3YXJwaWcwHhcNMTMxMjAxMTIwOTA2WhcNMTQxMjAxMTIxOTA2WjBeMQsw
CQYDVQQGEwJVQTELMAkGA1UECBMCY2gxCzAJBgNVBAcTAmNoMQwwCgYDVQQKEwN2
aWQxCzAJBgNVBAsTAml0MRowGAYDVQQDExFkZW1vLnZpZGljb20uaW5mbzCBnzAN
BgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA1Ml3KndKeL/XmhUIvFal+i8Nb3wNTg8+
rcs/Hf/pULxFq3heTjBfMRaAT6SsRRB6dnwjfBvVIemesBM6JxHiBtwY5asD/UFq
96yK5h5Ks3xuYmRNOGrXAXhLcQ8JHrFfej0zFc2/kbS/QmMG1nBagLekMNs2Hs/v
2ORxfipf0RUCAwEAAaOCAY8wggGLMA4GA1UdDwEB/wQEAwIE8DBEBgkqhkiG9w0B
CQ8ENzA1MA4GCCqGSIb3DQMCAgIAgDAOBggqhkiG9w0DBAICAIAwBwYFKw4DAgcw
CgYIKoZIhvcNAwcwEwYDVR0lBAwwCgYIKwYBBQUHAwEwHQYDVR0OBBYEFCDDQ5aR
LOTMYBsXo7j7fA8qcZbnMB8GA1UdIwQYMBaAFBIGOw+cf94y7TNNDqqOPwEzwU/b
MFsGA1UdHwRUMFIwUKBOoEyGI2h0dHA6Ly93YXJwaWcvQ2VydEVucm9sbC93YXJw
aWcuY3JshiVmaWxlOi8vXFx3YXJwaWdcQ2VydEVucm9sbFx3YXJwaWcuY3JsMIGA
BggrBgEFBQcBAQR0MHIwNgYIKwYBBQUHMAKGKmh0dHA6Ly93YXJwaWcvQ2VydEVu
cm9sbC93YXJwaWdfd2FycGlnLmNydDA4BggrBgEFBQcwAoYsZmlsZTovL1xcd2Fy
cGlnXENlcnRFbnJvbGxcd2FycGlnX3dhcnBpZy5jcnQwDQYJKoZIhvcNAQEFBQAD
ggEBACW2J6ZB+3ffOI9Q/8HwwVXQ+Pj6bjtEIUeuulYSSRR7D3fIQxCgqYQbX9wR
5kHJn/1HQEDjcahKE2y9kunbWeFYJHHh/0DpS2DvCSud4Cj4uPclWijW1+Z4rP0g
WpUmq437IteqzkeAesj7eDcku3JsCaxAfOSVhbMWwcD8Rmo4mszCvQOMO2xtsI7J
qMW6YdeG2ZzgTzpqvSTlIf7MePA=-----END CERTIFICATE-----
Сохраняем, запускаем тонкий клиент, пользуемся защищенным соединением.
Peer certificate cannot be authenticated with known CA certificates
Это значит, что клиент не может проверить ваш сертификат ни на одном известном ему корневом центре сертификации. Чаще всего такая ошибка возникает, когда используются самоподписанные сертифкаты.
Читайте также: