GetInfo.Ru – Компьютерная библиотека
Последние поступления
Как выбрать систему управления базы данных
Базы данных03/09/14
Этапы загрузки UNIX (в схеме)
Unix27/03/12
Gatewall Antispam: тотальный контроль электронной почты
Спам21/04/11
Мастер-класс: создаем Интернет-магазин (Часть 1)
Обзоры ПО20/04/11
CorelDRAW Graphics Suite X5: Что нового?
Обзоры ПО20/07/10
Добавить статью
Самые читаемые материалы
Что такое SSL(17246)
Сертификаты SSL для серверов IIS 5.0(15279)
Всего статей: 793Всего авторов: 364Подразделов: 47Добавлено за сутки: 0
Статьи  СТАТЬИ Форум  ФОРУМ Рейтинг  РЕЙТИНГ Поиск  ПОИСК Контакты  КОНТАКТЫ
» Главная » SSL » Сертификаты SSL для серверов IIS 5.0

Сертификаты SSL для серверов IIS 5.0


Крис Лер
clehr@brainbuzz.com
http://www.brainbuzz.com/

КАК ОФОРМИТЬ ЗАПРОС, УСТАНОВИТЬ И ПРОВЕРИТЬ СЕРТИФИКАТ SSL
Компания Netscape разработала протокол SSL (Secure Sockets Layer) для защиты каналов связи Internet. SSL можно использовать для шифрования почтовых сообщений и файлов, а также для повышения безопасности Web-узлов, на которых реализованы базовые методы аутентификации, и шифрования сеансов связи клиентских браузеров с Web-серверами. Механизм SSL довольно сложен, и более подробную информацию о нем можно получить из статей, перечисленных во врезке "Дополнительная литература".

Зачем защищать узел с помощью протокола SSL? Сайтам электронной коммерции, корпоративным intranet и всем Web-узлам, на которых хранится любая частная информация, сертификат SSL необходим по двум основным причинам: для защиты предприятия и обеспечения безопасности потребителей и пользователей. Цель данной статьи - помочь быстро организовать надежный Web-узел на базе IIS 5.0.

Помните, что одного лишь SSL недостаточно для того, чтобы обезопасить деятельность компании в Internet. SSL можно уподобить обшивке броневика, перевозящего секретные данные. Если защитить с помощью SSL процедуру сбора информации о кредитных картах покупателей, а затем сохранить данные на сервере в простом текстовом файле, то можно лишиться всех преимуществ использования SSL.

ЦЕНА SSL
С какими же расходами связано данное решение? Вероятно, наиболее ощутимой платой будет процессорное время, затрачиваемое на выполнение функций SSL. Для размещения SSL потребуется выполнить минимальную работу по программированию, заполнению форм и составлению сценариев, а внедрить SSL на сайте IIS 5.0 просто (конечно, если предварительно прочитать эту статью).

Таблица 1: Цена сертификатов SSL
Организация, выдающая сертификат40-разрядный сертификат SSL (на 1 год), долл.Обновление через год, долл.
VeriSign(http://www.verisign.com)349249
SSL.com (http://www.ssl.com)7550
Thwate Certification (http://www.thwate.com)125100
В Таблице 1 показаны денежные затраты на приобретение 40-разрядного сертификата SSL у некоторых организаций, отвечающих за выдачу сертификатов (Certificate Authority - CA). В продаже имеется более надежное 128-разрядное решение, но за дополнительную защиту придется заплатить более высокую цену. Сертификаты VeriSign - очень дорогие, но это самая известная организация, которой я доверяю защиту данных, своих и компании. Еще один веский довод в пользу крупной организации - совместимость ее сертификатов с большинством браузеров. Чтобы увидеть список CA, которые распознает и которым автоматически доверяет Microsoft Internet Explorer (IE) 5.0, выберите пункт Internet Options из меню Tools. Щелкните на разделе Certificates под закладкой Content. На закладках Intermediate Certification Authorities и Trusted Root Certification Authorities диалогового окна Certificates приведены списки CA. На Рисунке 1 показана закладка Trusted Root Certification Authorities.



Рисунок 1.

КАК ЗАПРОСИТЬ СЕРТИФИКАТ
Выбрав CA, можно приступить к процедуре генерации запроса на утверждение сертификата (certificate signing request - CSR). Сначала нужно открыть диспетчер служб Internet Services Manager (ISM) в папке Administrative Tools системы Windows 2000. Щелкните правой кнопкой мыши на Web-узле, для которого требуется создать CSR, и выберите пункт Properties, как показано на Рисунке 2. Выбрав закладку Directory Security, нужно щелкнуть в разделе Server Certificate для запуска мастера Web Server Certificate Wizard, который проведет вас по шести следующим этапам:


Рисунок 2.

1. На первом экране следует выбрать функцию создания нового сертификата.

2. Укажите имя сертификата и длину (в разрядах) ключа шифрования. Имя служит для опознавания и может быть любым, но должно описывать Web-узел. Его назначение заключается в том, чтобы отличить данный сертификат от любых других, имеющихся у вас сертификатов. По умолчанию длина ключа составляет 512 бит, но я рекомендую использовать не менее 1024 разрядов. VeriSign также рекомендует применять 1024-разрядные ключи, поскольку в прошлом 512-разрядные уже взламывались. Более подробно об уязвимости 512-разрядных ключей можно прочитать по адресу http://www.verisign.com/cus/srv/faq/512/index.html.

3. Укажите название организации и подразделения. Как и имя сертификата, эти описатели удобны, если нужно управлять множеством сертификатов. Используйте в названиях буквы, цифры и пробелы; избегайте таких символов, как запятая и точка с запятой.

4. Укажите стандартное имя (common name - CN) Web-узла. Введите URL, по которому пользователи получают доступ к сайту. Например, стандартное имя узла Amazon.com - www.amazon.com. Если сайт представляет собой интрасеть, и в локальной сети используется NetBIOS, то стандартным именем может быть просто intranet. Главное требование - ввести именно то имя, с помощью которого пользователи будут обращаться к сайту.

5. Укажите город и штат. Введите полные названия - некоторые CA не распознают двухсимвольных обозначений штатов.

6. И, наконец, выберите имя файла (обычно IIS 5.0 предполагает, что файлы сертификатов имеют расширение .cer) и место для хранения CSR, щелкните на кнопке Next, а затем на кнопке Finish, чтобы генерировать CSR-файл.

В CSR-файле в зашифрованном виде записана вся только что введенная информация. Более подробно о процедуре создания CSR рассказывается в статье "Generating Certificate Request File Using the Certificate Wizard IIS 5.0" (http://support.microsoft.com/support/kb/articles/q228/8/21.asp).

Теперь осталось лишь представить CSR в CA.
Предупреждение: при подаче заявки на сертификат SSL компании может понадобиться идентификационный номер от Dun & Bradstreet. Этот номер служит доказательством, что компания действительно зарегистрирована в качестве корпорации. Если номера нет, то для получения сертификата следует выбрать статус некоммерческой организации. Может потребоваться информация о том, как связаться с получателем сертификата и, вероятно, резервный вариант связи, а также номер кредитной карты или счета на услуги. После того, как будет представлена вся необходимая информация, если не возникнет никаких проблем с выполнением и оплатой заказа, сертификат пересылается заказчику по электронной почте в течение одного-семи дней.

КАК УСТАНОВИТЬ СЕРТИФИКАТ
Полученный сертификат безопасности необходимо сохранить на локальном диске или защищенном сетевом узле, где к нему можно обратиться с Web-сервера. Запустите, как прежде, мастер Web Server Certificate Wizard. На этот раз сервер IIS 5.0 <помнит>, что CSR был создан, и спрашивает, следует ли обработать или удалить предстоящий запрос, как показано на Рисунке 3. Выберите пункт Process the pending request and install the certificate ("Обработать предстоящий запрос и установить сертификат"). После этого необходимо ввести информацию о местонахождении сертификата. По умолчанию "мастер" ищет файл с расширением .cer, но вполне подойдет и файл .txt. На Рисунке 4 показана следующая страница мастера. Более подробное объяснение процесса установки приводится в статье "Installing a New Certificate with Certificate Wizard for Use in SSL/TLS" (http://support.microsoft.com/support/kb/articles/q228/8/36.asp).


Рисунок 3.


Рисунок 4.

Пришло время провести решающую проверку: введите https://common_name в браузере и убедитесь, что Web-узел откликается на запрос SSL. Если испытание прошло без накладок, то принимайте поздравления с успешной установкой сертификата SSL на сервере IIS 5.0.

Если сайт не отвечает, то проверьте, открыт ли порт 443 Web-сервера для обмена данными SSL. Проверить и изменить этот параметр можно, воспользовавшись закладкой Web Site диалогового окна Properties Web-узла. Кроме того, щелкните в разделе View Certificate диалогового окна Properties на закладке Directory Security, дабы убедиться, что установлен действительный сертификат SSL. Если получены сообщения об ошибках, в которых указывается, что сертификат недействителен или имя сайта не соответствует сертификату, необходимо проверить системные время и дату (браузеры сравнивают время годности сертификата с показателями системных часов), и убедиться, что стандартное имя, использованное для создания CSR, совпадает с именем доступа к сайту.

ОТВЕТЫ НА ВОЗМОЖНЫЕ ВОПРОСЫ ЧИТАТЕЛЕЙ
Предлагаю вашему вниманию ответы на пару вопросов о сертификатах, которые мне часто задавали в прошлом. Если доступ к сайту возможен по нескольким различным именам в DNS с использованием записей CNAME, то нет необходимости покупать и устанавливать несколько сертификатов; для каждого Web-узла достаточно одного. В действительности, IIS 5.0 допускает использование лишь одного сертификата для каждого сайта. Однако если на сервере размещено несколько защищенных Web-узлов, то для каждого из них потребуется свой сертификат SSL. HTTP-трафик, посланный по нескольким записям CNAME, указывающим на один IP-адрес, будет доставлен без проблем, но SSL-трафик безошибочно дойдет до адресата только в том случае, если он отправлен по стандартному имени (CN), указанному в сертификате. Например, директиву POST, указывающую на /scripts/purchase.asp, следует заменить на https://common_name/scripts/purchase.asp.

Если в представленном запросе CSR допущена ошибка, или необходимо заменить IIS 4.0 с SSL на IIS 5.0 с SSL, то, вероятно, потребуется новый сертификат, но возможно, платить за него не придется. Позвоните в CA и попросите о помощи. По-видимому, CA аннулирует старый или неверный сертификат и предложит оформить новый, скорее всего на Web-узле CA, с использованием специального кода, позволяющего обойти операцию оплаты.

Secure Sockets Layer (SSL) - сложный предмет. Перечисленные ниже материалы помогут лучше понять протокол:


 
21.01.2003
Версия для печати Версия для печати Запомнить ссылку Запомнить ссылку
Ваша оценка:  1   2   3   4   5     

 О проектеПерепечаткаАвторамПартнерыО нас пишут
Наверх
©2003—2007. GETINFO.RU. ВСЕ ПРАВА ЗАЩИЩЕНЫ.