使用仪表板保护服务器实例
当您使用本地仪表板安装 MATLAB® Production Server™ 时,仪表板界面会提供启用安全性、配置客户端身份验证以及为指定客户端启用应用程序访问的选项。
启用安全性
要启用服务器实例以使用 HTTPS,请执行以下操作:
从最左侧的导航窗格中选择服务器实例。
选择 Settings 选项卡。
打开 Http 区域。
在 Https 字段中,输入服务器实例将用于通过 HTTPS 接收请求的端口号。
点击 Save。
重新启动服务器实例。
配置客户端身份验证
为了确保只有受信任的客户端才能访问服务器实例,请将服务器实例配置为要求客户端身份验证:
从最左侧的导航窗格中选择服务器实例。
选择 Settings 选项卡。
展开 SSL 区域。
将 SSL 验证对等模式设置为
verify-peer-require-peer-cert。配置服务器实例以使用系统提供的 CA 存储、服务器特定的 CA 存储或两者。
使用这些配置属性来控制服务器实例使用的 CA 存储:
X509 CA 文件存储指定 PEM 格式的 CA 存储来验证客户端。
X509 使用系统存储指示服务器实例使用系统的 CA 存储来验证客户端。
注意
X509 使用系统存储在 Windows 上不起作用。
(可选)选择 X509 使用 CRL 属性来配置服务器实例以遵守 CA 存储区中的任何证书吊销列表 (CRL)。
如果未指定此属性,服务器实例将忽略 CRL 并可能使用已撤销的凭据对客户端进行身份验证。
点击 Save。
重新启动服务器实例。
小心
在选择 X509 使用 CRL 属性之前,您必须将 CRL 列表添加到服务器的 CA 存储中。如果 CA 存储不包含 CRL 列表,服务器将会崩溃。
指定客户端对已部署应用程序的访问
默认情况下,MATLAB Production Server 实例允许所有客户端访问所有托管的 MATLAB 程序。要指定允许的客户端列表:
从最左侧的导航窗格中选择服务器实例。
选择 Settings 选项卡。
展开 SSL 区域。
将 SSL 允许的客户端设置为可以访问服务器实例的客户端的逗号分隔列表。
客户端通过其证书的通用名称来识别。
点击 Save。
重新启动服务器实例。
调整安全协议和密码
默认情况下,MATLAB Production Server 实例尝试使用 TLSv1.2 来保护客户端和服务器之间的连接。要更改服务器实例可用的协议和密码列表:
从最左侧的导航窗格中选择服务器实例。
选择 Settings 选项卡。
展开 SSL 区域。
将 SSL 协议设置为服务器实例可用的协议的逗号分隔列表。
要仅启用 TLSv1,请将属性设置为
TLSv1。由于 TLSv1.1 和 TLSv1.2 不包含在列表中,因此服务器实例未启用这些协议。
将 SSL 加密设置为服务器实例可用的密码套件的逗号分隔列表。
要仅启用高强度密码套件,请将属性设置为
HIGH。点击 Save。
重新启动服务器实例。
启用安全性后缩短启动时间
当服务器实例配置为使用 HTTPS 时,它会在启动时生成一个临时 DH 密钥。在启动时生成 DH 密钥比从磁盘上的文件读取密钥更安全。然而,这一生成会使服务器实例的启动时间增加几分钟。
如果您需要服务器实例立即启动并且不担心安全性的损失,则可以将服务器实例配置为从文件中读取临时 DH 密钥:
从最左侧的导航窗格中选择服务器实例。
选择 Settings 选项卡。
展开 SSL 区域。
将 SSL DH 密钥参数文件设置为包含 DH 密钥的文件的路径。
点击 Save。
重新启动服务器实例。请参阅重启服务器实例。
