Задача: Закрыть брешь в виде доступа по RDP.

Решение: Поднимаем веб-сервер с парольной защитой и шифрованием SSL.

С Apache меньше проблем при настройке.
При установке платформы 1С, выбираем, также установку Модули расширения веб-сервера.
После этого, качаем Apache. Разрядность Apache должна совпадать с разрядностью платформы 1С.

Для версии 32-разрядной качаем вот эту версию, для 64-разрядной вот эту.

Устанавливаем в каталог C:\Apache24
После этого запускаем 1С от имени администратора и открываем базу в режиме конфигуратора.
Публикуем базу.

Я рекомендую заранее создать каталог , а в нём подкаталог Web, в котором будет располагаться файл сайта.
После этого сервер работаем на порту 80. Проверяем работу сервера перейдя по адресу http://localhost
Всё должно работать.

Дальше нужно настроить SSL.

Открываем блокнот от имени администратора. В блокноте открываем файл C:\Apache24\conf\httpd.conf . Не закрываем до окончания настройки.
Ищем строку Listen 80 , меняем 80 на 443
Получится так

Listen 443

Ищем строку mod_ssl.so . Убираем в начале строку символ комментирования #
Получится так

LoadModule ssl_module modules/mod_ssl.so

Ищем строку ServerName меняем на

ServerName localhost:443

Ищем строку <IfModule ssl_module>
Добавляем в блок SSLSessionCache none .
После блока включение SSL:

SSLEngine On
SSLCertificateFile conf/ssl/server1c.cert
SSLCertificateKeyFile conf/ssl/ server1c.key

Получается так:

<IfModule ssl_module>
SSLRandomSeed startup builtin
SSLRandomSeed connect builtin
SSLSessionCache none
</IfModule>
SSLEngine On
SSLCertificateFile conf/ssl/server1c.cert
SSLCertificateKeyFile conf/ssl/ server1c.key

Сохраняем, но НЕ закрываем блокнот. Ещё пригодится.

В каталоге C:\Apache24\conf\ создаём папку ssl
Теперь сгенерируем сертификаты и ключи
Открываем командную строку от имени администратора

cd C:\Apache24\bin\

openssl

req -config C:\Apache24\conf\openssl.cnf -new -out C:\Apache24\conf\ssl\server1c.csr

Попросит ввести пароль и подтверждение. Введите пароль который вы не забудите (!!!) он ещё пригодится.

Далее просит ввести всякую инфу. По сути не важно, что вводить. Для примера, можно ввести такие данные:

Country Name (2 letter code) [AU]: RU
State or Province Name (full name) [Some-State]: RU
Locality Name (eg, city) : SPb
Organization Name (eg, company): 1CProf
Organizational Unit Name (eg, section): IT
Common Name (e.g. server FQDN or YOUR name): server1c
Email Address : elenkoea@gmail.com

Дальше два раза ENTER

В каталоге C:\Apache24\conf\ssl должен появиться файл server1c.csr

Далее вводим:

rsa -in privkey.pem -out C:\Apache24\conf\ssl\server1c.key

вводим тот пароль, который нужно было запомнить и нажимаем ENTER

Далее вводим

x509 -in C:\Apache24\conf\ssl\server1c.csr -out C:\Apache24\conf\ssl\server1c.cert -req -signkey C:\Apache24\conf\ssl\server1c.key -days 5999

В ответ получаем ключи

Далее вводим

x509 -in C:\Apache24\conf\ssl\server1c.cert -out C:\Apache24\conf\ssl\server1c.der.crt -outform DER

Далее вводим

x509 -inform der -in C:\Apache24\conf\ssl\server1c.der.crt -out textcert.pem -text -fingerprint -md5

На экране отобразится сгенерированная подпись и сертификат

Через пометить выбираем полученный результат, копируем и добавляем в конец файла
C:\Program Files (x86)\1cv8\8.3.13.1784\bin\cacert.pem . Файл нужно также открыть в блокноте, который нежно запустить от имени администратора.
C:\Program Files (x86)\1cv8\8.3.13.1784\bin (Это путь к актуальной версии платформы,у каждого свой, для версии х64 каталог C:\Program Files\1cv8\8.3.13.1784\bin )
Получается так:

(Здесь последние строки в файле что-то типа такого ——END CERTIFICATE——)
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
8c:a3:bf:9c:e3:0c:4a:df
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=RU, ST=RU, L=SPb, O=1CProf, OU=IT, CN=server1c/emailAddress=elenkoea@gmail.com
Validity
Not Before: Sep 30 08:37:50 2019 GMT
Not After : Mar 3 08:37:50 2036 GMT
Subject: C=RU, ST=RU, L=SPb, O=1CProf, OU=IT, CN=server1c/emailAddress=elenkoea@gmail.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:d1:90:ba:04:20:9b:dc:1b:1f:6c:56:65:24:96:
1c:0a:9d:ed:2a:9a:78:39:bd:39:2d:3b:f5:af:98:
b3:0e:2c:99:81:d7:b0:d2:8d:47:8c:78:1f:76:51:
4d:df:bb:c7:32:30:8a:47:20:42:36:07:e0:c5:ec:
b6:9a:95:2c:8b:1b:81:8e:e9:86:5a:32:a3:d1:55:
b7:ec:17:97:c0:f0:b4:3c:e8:4d:38:f8:cd:dd:b3:
d0:36:7e:cc:90:d2:f1:52:0e:f4:a7:d4:a3:16:48:
e8:51:8f:9e:02:01:d3:43:b8:b3:8e:97:08:49:13:
af:f6:33:97:b0:dc:09:99:15
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
28:b7:56:20:d8:85:3f:fe:61:c1:17:dd:93:39:6f:9b:89:ca:
e6:5b:97:9f:c8:fc:35:c5:8c:19:29:69:71:68:6c:9e:e1:cd:
a4:94:00:65:a7:7d:84:50:50:2d:90:71:a9:f5:4a:18:d8:69:
7b:47:fb:6f:dd:1e:99:88:c7:5c:c3:f6:f9:34:25:1f:d1:25:
12:47:ee:0c:d6:19:53:16:e4:9d:cf:db:88:1e:c8:c6:08:1d:
fd:4b:dd:0b:41:e1:18:6b:fb:36:51:48:6d:f4:65:20:04:d1:
34:cf:29:43:19:26:f1:aa:a8:9a:fe:30:47:5f:62:63:b3:5b:
80:52
MD5 Fingerprint=6B:A3:31:9B:EC:6F:A3:E3:04:C2:3D:E0:70:FE:57:22

Не закрываем файл

Далее нам надо открыть файл C:\Apache24\conf\ssl\server1c.cert и скопировать все содержимое в самый низ открытого файла C:\Program Files (x86)\1cv8\8.3.13.1784\bin\cacert.pem. Тупо после MD5 Fingerprint=6B:A3:31:9B:EC:6F:A3:E3:04:C2:3D:E0:70:FE:57:22

Получится примерно так

Certificate:
Data:
Version: 1 (0x0)
Serial Number:
8c:a3:bf:9c:e3:0c:4a:df
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=RU, ST=RU, L=SPb, O=1CProf, OU=IT, CN=server1c/emailAddress=elenkoea@gmail.com
Validity
Not Before: Sep 30 08:37:50 2019 GMT
Not After : Mar 3 08:37:50 2036 GMT
Subject: C=RU, ST=RU, L=SPb, O=1CProf, OU=IT, CN=server1c/emailAddress=elenkoea@gmail.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (1024 bit)
Modulus:
00:d1:90:ba:04:20:9b:dc:1b:1f:6c:56:65:24:96:
1c:0a:9d:ed:2a:9a:78:39:bd:39:2d:3b:f5:af:98:
b3:0e:2c:99:81:d7:b0:d2:8d:47:8c:78:1f:76:51:
4d:df:bb:c7:32:30:8a:47:20:42:36:07:e0:c5:ec:
b6:9a:95:2c:8b:1b:81:8e:e9:86:5a:32:a3:d1:55:
b7:ec:17:97:c0:f0:b4:3c:e8:4d:38:f8:cd:dd:b3:
d0:36:7e:cc:90:d2:f1:52:0e:f4:a7:d4:a3:16:48:
e8:51:8f:9e:02:01:d3:43:b8:b3:8e:97:08:49:13:
af:f6:33:97:b0:dc:09:99:15
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
28:b7:56:20:d8:85:3f:fe:61:c1:17:dd:93:39:6f:9b:89:ca:
e6:5b:97:9f:c8:fc:35:c5:8c:19:29:69:71:68:6c:9e:e1:cd:
a4:94:00:65:a7:7d:84:50:50:2d:90:71:a9:f5:4a:18:d8:69:
7b:47:fb:6f:dd:1e:99:88:c7:5c:c3:f6:f9:34:25:1f:d1:25:
12:47:ee:0c:d6:19:53:16:e4:9d:cf:db:88:1e:c8:c6:08:1d:
fd:4b:dd:0b:41:e1:18:6b:fb:36:51:48:6d:f4:65:20:04:d1:
34:cf:29:43:19:26:f1:aa:a8:9a:fe:30:47:5f:62:63:b3:5b:
80:52
MD5 Fingerprint=6B:A3:31:9B:EC:6F:A3:E3:04:C2:3D:E0:70:FE:57:22
——BEGIN CERTIFICATE——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=
——END CERTIFICATE——

Сохраняем всё. Закрываем всё кроме C:\Apache24\conf\httpd.conf

Проверяем https://localhost/ut (здесь ut – это имя которое было указано при публикации базы 1с)
Будет ругаться на сертификат, но всё равно взлетит. Трафик зашифрован, в принципе можно здесь и расслабится.

Но иногда заказчика мучает тот факт, что любой недобросовестный человек может зная адрес, подобрать пароль к какому-нибудь пользователю и напакостить в базе.

Чтобы этого избежать, есть два варианта. Долгий-геморройный и простой-незамороченный. Оба они обеспечивают достаточную безопасность.

Первый здесь не рассматривается, а второй это ограничение доступа к серверу аутентификацией на уровне сервера. Проще говоря – использование .htpasswd

Открываем https://www.web2generators.com/apache-tools/htpasswd-generator
Вбиваем юзера, к примеру 1c и вбиваем пароль , к примеру Ckj;ysqGfhjkm#76! (Смотрим на русский пишем по-английски СложныйПароль№76! )
Открываем блокнот вставляем туда результат
Сохраняем как C:\Apache24\conf\.htpasswd . Здесь важно не указывать расширение. Блокнот по умолчанию сохраняет в txt
Далее в открытом файле C:\Apache24\conf\httpd.conf ищем строку

1c publication

В блоке <Directory «C:/1C/Web/»> найти строку Require all granted и заменить её на

AuthType Basic
AuthName «Autorization»
AuthUserFile conf/.htpasswd
Require valid-user
<Files .htpasswd>
deny from all #запрет доступа из браузера к .htpasswd
</Files>

В итоге блок получится такой

# 1c publication
Alias «/ut» «C:/1C/Web/»
<Directory «C:/1C/Web/»>
AllowOverride All
Options None
AuthType Basic
AuthName «Autorization»
AuthUserFile conf/.htpasswd
Require valid-user
<Files .htpasswd>
deny from all #запрет доступа из браузера к .htpasswd
</Files>
SetHandler 1c-application
ManagedApplicationDescriptor «C:/1C/Web/default.vrd»

</Directory>

Сохраняем, закрываем и тестим https://localhost/ut

Всё должно работать. На удалённых тонких клиентах, чтобы юзер не вводил по сто раз сложные пароли веб-сервера нужно при добавлении базы в список баз указать в поле Дополнительные параметры запуска : /wsn ИмяПользователя /wsp ПарольПользователя . В нашем случае так:

/wsn 1c /wsp Ckj;ysqGfhjkm#76!

Ну конечно не забываем сделать проброс 443 порта в настройках роутера. Данная статься этого не рассматривает, поэтому просто гуглите ваш роутер.