Пошаговые руководства, шпаргалки, полезные ссылки...
БлогФорумАвторы
Полезные Online-сервисы
Перечень Бесплатного ПО
Подписка на RSS-канал
Перед началом эксплуатации ПО Flussonic Media Server рекомендуется отказаться от используемого по умолчанию SSL сертификата, который может применяться для защиты клиентских соединений с сервером Flussonic. Здесь будет рассмотрен пример установки собственного сертификата в ОС Debian GNU/Linuх 10/11.
В конфигурации по умолчанию в Flussonic Media Server не задействовано использование цифрового сертификата для защиты клиентских соединений. При этом технически возможность такой защиты в ПО имеется.
В конфигурации по умолчанию в составе файлов Flussonic Media Server можно найти файлы, относящиеся к SSL:
Чтобы задействовать указанные SSL сертификаты, необходимо включить поддержку соответствующих протоколов в конфигурации Flussonic Media Server. В веб-интерфейсе FMS в разделе Config > Settings имеются поля, с помощью которых можно выполнить настройку портов для защищённого соединения.
Однако практика показала, что настройка портов SSL через веб-интерфейс работает не всегда корректно, поэтому для настройки мы воспользуемся методом прямой правки конфигурационного файла flussonic.conf:
flussonic.conf
# nano /etc/flussonic/flussonic.conf
Закомментируем строку с незащищённым протоколом, например http, и добавим строку с защищённым протоколом, например https, следующим образом:
http
https
.. #http 80; https 0.0.0.0:443; ...
Для вступления изменений в силу, перезапустим службу flussonic:
# systemctl restart flussonic.service
Теперь можно проверить результат, пройдя по ссылке https://{fqdn имя сервера}.
Перед проверкой доступа к веб-серверу Flussonic по протоколу HTTPS не забываем добавить в правила брандмауэра nftables правило, разрешающее входящие подключения на соответствующий порт, например TCP 443.
Чтобы избежать предупреждений безопасности, получаемых от браузеров при работе с веб-сервером Flussonic, мы выпустим собственный сертификат, удостоверенный корпоративным доменным ЦС, которому доверяют браузеры в рамках локальной сети.
Подготовка бинарного запроса к локальному ЦС в нашем примере выполняется на Windows-машине с помощью утилиты OpenSSL
Создадим текстовый файл, например с именем streamer.cfg, с конфигурацией для запроса сертификата:
streamer.cfg
[req] distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] commonName = FQDN of server commonName_default = FMS01.ad.holding.com countryName = Country Name (2 letter code) countryName_default = RU 0.organizationName = Organization Name (eg, company) 0.organizationName_default = IT Dept Ltd. localityName = Locality Name (eg, city) localityName_default = Syktyvkar organizationalUnitName = Organizational Unit Name (eg, section) organizationalUnitName_default = Branch KOMI [v3_req] subjectAltName = @alt_names [alt_names] DNS.1 = FMS01.ad.holding.com DNS.2 = FMS01 IP.1 = 10.10.1.3
Выполним команду формирования закрытого ключа (сгенеируем файл streamer.key), а затем команду формирования бинарного запроса сертификата на основании только что созданного файла ключа и файла конфигурации запроса (streamer.cfg):
openssl genrsa -out streamer.key 4096 openssl req -config streamer.cfg -new -key streamer.key -out streamer.req
Получившийся файл бинарного запроса streamer.req отправим администратору корпоративного ЦС и получим от него готовый файл сертификата в кодировке Base-64 и присвоим ему имя streamer.crt.
streamer.req
Содержимое корневого сертификата доменного удостоверяющего ЦС также в кодировке Base-64 скопируем в отдельный файл с именем streamer-ca.crt. В случае, если в цепочке несколько сертификатов, например, есть сертификат корневого ЦС и сертификат промежуточного ЦС, то все сертификаты ЦС в цепочке должны быть помещены друг за другом в этот файл.
Скопируем получившиеся 3 файла на сервер Flussonic и разместим их по следующим путям:
Перезапускам службу flussonic:
Снова проверяем доступ к веб-серверу Flussonic Media Server по протколу HTTPS и убеждаемся в том, что используется установленный нами сертификат, выпущенный доверенным доменным ЦС, и теперь предупреждения безопасности браузера отсутствуют.
Проверено на следующих конфигурациях:
Автор первичной редакции: Алексей Максимов Время публикации: 30.09.2020 16:49