LT   EN   RU  
2019 г. июль 16 д., вторник Straipsniai.lt - Информационный портал
  
  Компьютеры > Компьютерные технологии > Безопасность > Сертификаты SSL
Lankomumo reitingas Версия для печати Spausdinti
Сертификаты SSL для серверов IIS 5.0

КАК ОФОРМИТЬ ЗАПРОС, УСТАНОВИТЬ И ПРОВЕРИТЬ СЕРТИФИКАТ SSL

Компания Netscape разработала протокол SSL (Secure Sockets Layer) для защиты каналов связи Internet. SSL можно использовать для шифрования почтовых сообщений и файлов, а также для повышения безопасности Web-узлов, на которых реализованы базовые методы аутентификации, и шифрования сеансов связи клиентских браузеров с Web-серверами. Механизм SSL довольно сложен, и более подробную информацию о нем можно получить из статей, перечисленных во врезке "Дополнительная литература".

Зачем защищать узел с помощью протокола SSL? Сайтам электронной коммерции, корпоративным intranet и всем Web-узлам, на которых хранится любая частная информация, сертификат SSL необходим по двум основным причинам: для защиты предприятия и обеспечения безопасности потребителей и пользователей. Цель данной статьи - помочь быстро организовать надежный Web-узел на базе IIS 5.0.

Помните, что одного лишь SSL недостаточно для того, чтобы обезопасить деятельность компании в Internet. SSL можно уподобить обшивке броневика, перевозящего секретные данные. Если защитить с помощью SSL процедуру сбора информации о кредитных картах покупателей, а затем сохранить данные на сервере в простом текстовом файле, то можно лишиться всех преимуществ использования SSL.

ЦЕНА SSL

С какими же расходами связано данное решение? Вероятно, наиболее ощутимой платой будет процессорное время, затрачиваемое на выполнение функций SSL. Для размещения SSL потребуется выполнить минимальную работу по программированию, заполнению форм и составлению сценариев, а внедрить SSL на сайте IIS 5.0 просто (конечно, если предварительно прочитать эту статью).

Таблица 1: Цена сертификатов SSL

Организация, выдающая сертификат
40-разрядный сертификат SSL (на 1 год), долл.
Обновление через год, долл.

VeriSign ( http://www.verisign.com )
349
249

SSL.com ( http://www.ssl.com )
75
50

Thwate Certification ( http://www.thwate.com )
125
100

В Таблице 1 показаны денежные затраты на приобретение 40-разрядного сертификата SSL у некоторых организаций, отвечающих за выдачу сертификатов (Certificate Authority - CA). В продаже имеется более надежное 128-разрядное решение, но за дополнительную защиту придется заплатить более высокую цену. Сертификаты VeriSign - очень дорогие, но это самая известная организация, которой я доверяю защиту данных, своих и компании. Еще один веский довод в пользу крупной организации - совместимость ее сертификатов с большинством браузеров. Чтобы увидеть список CA, которые распознает и которым автоматически доверяет Microsoft Internet Explorer (IE) 5.0, выберите пункт Internet Options из меню Tools. Щелкните на разделе Certificates под закладкой Content. На закладках Intermediate Certification Authorities и Trusted Root Certification Authorities диалогового окна Certificates приведены списки CA. На Рисунке 1 показана закладка Trusted Root Certification Authorities.

Рисунок 1.

КАК ЗАПРОСИТЬ СЕРТИФИКАТ

Выбрав CA, можно приступить к процедуре генерации запроса на утверждение сертификата (certificate signing request - CSR). Сначала нужно открыть диспетчер служб Internet Services Manager (ISM) в папке Administrative Tools системы Windows 2000. Щелкните правой кнопкой мыши на Web-узле, для которого требуется создать CSR, и выберите пункт Properties, как показано на Рисунке 2. Выбрав закладку Directory Security, нужно щелкнуть в разделе Server Certificate для запуска мастера Web Server Certificate Wizard, который проведет вас по шести следующим этапам:

Рисунок 2.

1. На первом экране следует выбрать функцию создания нового сертификата.

2. Укажите имя сертификата и длину (в разрядах) ключа шифрования. Имя служит для опознавания и может быть любым, но должно описывать Web-узел. Его назначение заключается в том, чтобы отличить данный сертификат от любых других, имеющихся у вас сертификатов. По умолчанию длина ключа составляет 512 бит, но я рекомендую использовать не менее 1024 разрядов. VeriSign также рекомендует применять 1024-разрядные ключи, поскольку в прошлом 512-разрядные уже взламывались. Более подробно об уязвимости 512-разрядных ключей можно прочитать по адресу http://www.verisign.com/cus/srv/faq/512/index.html .

3. Укажите название организации и подразделения. Как и имя сертификата, эти описатели удобны, если нужно управлять множеством сертификатов. Используйте в названиях буквы, цифры и пробелы; избегайте таких символов, как запятая и точка с запятой.

4. Укажите стандартное имя (common name - CN) Web-узла. Введите URL, по которому пользователи получают доступ к сайту. Например, стандартное имя узла Amazon.com - www.amazon.com. Если сайт представляет собой интрасеть, и в локальной сети используется NetBIOS, то стандартным именем может быть просто intranet. Главное требование - ввести именно то имя, с помощью которого пользователи будут обращаться к сайту.

5. Укажите город и штат. Введите полные названия - некоторые CA не распознают двухсимвольных обозначений штатов.

6. И, наконец, выберите имя файла (обычно IIS 5.0 предполагает, что файлы сертификатов имеют расширение .cer) и место для хранения CSR, щелкните на кнопке Next, а затем на кнопке Finish, чтобы генерировать CSR-файл.

В CSR-файле в зашифрованном виде записана вся только что введенная информация. Более подробно о процедуре создания CSR рассказывается в статье "Generating Certificate Request File Using the Certificate Wizard IIS 5.0" ( http://support.microsoft.com/support/kb/articles/q228/8/21.asp ).

Теперь осталось лишь представить CSR в CA.
Предупреждение: при подаче заявки на сертификат SSL компании может понадобиться идентификационный номер от Dun & Bradstreet. Этот номер служит доказательством, что компания действительно зарегистрирована в качестве корпорации. Если номера нет, то для получения сертификата следует выбрать статус некоммерческой организации. Может потребоваться информация о том, как связаться с получателем сертификата и, вероятно, резервный вариант связи, а также номер кредитной карты или счета на услуги. После того, как будет представлена вся необходимая информация, если не возникнет никаких проблем с выполнением и оплатой заказа, сертификат пересылается заказчику по электронной почте в течение одного-семи дней.

КАК УСТАНОВИТЬ СЕРТИФИКАТ

Полученный сертификат безопасности необходимо сохранить на локальном диске или защищенном сетевом узле, где к нему можно обратиться с Web-сервера. Запустите, как прежде, мастер Web Server Certificate Wizard. На этот раз сервер IIS 5.0 <помнит>, что CSR был создан, и спрашивает, следует ли обработать или удалить предстоящий запрос, как показано на Рисунке 3. Выберите пункт Process the pending request and install the certificate ("Обработать предстоящий запрос и установить сертификат"). После этого необходимо ввести информацию о местонахождении сертификата. По умолчанию "мастер" ищет файл с расширением .cer, но вполне подойдет и файл .txt. На Рисунке 4 показана следующая страница мастера. Более подробное объяснение процесса установки приводится в статье "Installing a New Certificate with Certificate Wizard for Use in SSL/TLS" ( http://support.microsoft.com/support/kb/articles/q228/8/36.asp ).

Рисунок 3.

Рисунок 4.

Пришло время провести решающую проверку: введите https://common_name в браузере и убедитесь, что Web-узел откликается на запрос SSL. Если испытание прошло без накладок, то принимайте поздравления с успешной установкой сертификата SSL на сервере IIS 5.0.

Если сайт не отвечает, то проверьте, открыт ли порт 443 Web-сервера для обмена данными SSL. Проверить и изменить этот параметр можно, воспользовавшись закладкой Web Site диалогового окна Properties Web-узла. Кроме того, щелкните в разделе View Certificate диалогового окна Properties на закладке Directory Security, дабы убедиться, что установлен действительный сертификат SSL. Если получены сообщения об ошибках, в которых указывается, что сертификат недействителен или имя сайта не соответствует сертификату, необходимо проверить системные время и дату (браузеры сравнивают время годности сертификата с показателями системных часов), и убедиться, что стандартное имя, использованное для создания CSR, совпадает с именем доступа к сайту.

ОТВЕТЫ НА ВОЗМОЖНЫЕ ВОПРОСЫ ЧИТАТЕЛЕЙ

Предлагаю вашему вниманию ответы на пару вопросов о сертификатах, которые мне часто задавали в прошлом. Если доступ к сайту возможен по нескольким различным именам в DNS с использованием записей CNAME, то нет необходимости покупать и устанавливать несколько сертификатов; для каждого Web-узла достаточно одного. В действительности, IIS 5.0 допускает использование лишь одного сертификата для каждого сайта. Однако если на сервере размещено несколько защищенных Web-узлов, то для каждого из них потребуется свой сертификат SSL. HTTP-трафик, посланный по нескольким записям CNAME, указывающим на один IP-адрес, будет доставлен без проблем, но SSL-трафик безошибочно дойдет до адресата только в том случае, если он отправлен по стандартному имени (CN), указанному в сертификате. Например, директиву POST, указывающую на /scripts/purchase.asp, следует заменить на https://common_name/scripts/purchase.asp .

Если в представленном запросе CSR допущена ошибка, или необходимо заменить IIS 4.0 с SSL на IIS 5.0 с SSL, то, вероятно, потребуется новый сертификат, но возможно, платить за него не придется. Позвоните в CA и попросите о помощи. По-видимому, CA аннулирует старый или неверный сертификат и предложит оформить новый, скорее всего на Web-узле CA, с использованием специального кода, позволяющего обойти операцию оплаты.

Secure Sockets Layer (SSL) - сложный предмет. Перечисленные ниже материалы помогут лучше понять протокол:

Allen Jones, "SSL DEmystified", December 2000, InstantDoc ID 16047, www.win2000mag.com.
SSL.com ( http://www.ssl.com/developers/fag ).
Статья Microsoft "Description of the Secure Sockets Layer (SSL) Handshake" ( http://support.microsoft.com/support/kb/articles/q257/5/91.asp?ln=en-us&sd-so&fr=0 ).

            

Lankomumo reitingas

Oбсудить на форуме - Oбсудить на форуме

Версия для печати - Версия для печати

Назад
Случайные теги:    Наука (90)    Образование (101)    Язычество (3)    Право человека (8)    Архитектура (3)    Армения (10)    География (4)    Наркопсихотерапия (2)    Безопасность (43)    Бизнес и финансы (20)    Азербайджан (7)    Фильмы (10)    Технологий (4)    Процессоры (7)    Садоводство (12)    Дельфины (4)    Татуировки (5)    Педагогика (10)    Лов рыбы (11)    Вирусы (25)    Сельское хозяйство (19)    Собаки (6)    Археология (3)    Общение (322)    Литература (4)    Воспитания (3)    Кулинария (39)    Филателия (15)    Психология (27)    Помощ и превенция (2)    Люди (94)    Настольные игры (17)    Фехтирования (6)    Экология (18)    Еврейи (10)    Мотоциклы (2)    Память (2)    Йога (9)    Шахматы (2)    Интернет (15)    НЛО (24)    Накопители (2)    Операционные системы (8)    Религия (32)    Психология (27)    Анна Ахматова (3)    Кормление грудью (5)    Сканеры (2)    Астрология (13)    Здоровье (86)
1. Что такое SSL
2. Безопасный SSL
3. SSL в действии
4. Что такое SSL. Ложка дегтя
5. Как организовать в TheBat! прием почты по POP3 через SSL
6. Быстрое поднятие SSL для Apache под FreeBSD
7. Максим Дрогайцев "Что такое SSL?"
8. Найдена дыра в протоколе SSL
9. SSL - Secure Sockets Layer
1. Найдена дыра в протоколе SSL
2. Что такое SSL
3. Быстрое поднятие SSL для Apache под FreeBSD
4. Максим Дрогайцев "Что такое SSL?"
5. Как организовать в TheBat! прием почты по POP3 через SSL
6. SSL в действии
7. Что такое SSL. Ложка дегтя
8. Безопасный SSL
9. SSL - Secure Sockets Layer
Map