Софт для Windows    Программы для смартфонов и планшетов, мобильный софт    Софт для Линукс, Unix, Linux
 

Сертификаты SSL для серверов IIS 5.0

Веб-мастеру | 09:57 26 ноября

КАК ОФОРМИТЬ ЗАПРОС, УСТАНОВИТЬ И ПРОВЕРИТЬ СЕРТИФИКАТ SSL
Компания Netscape разработала протокол SSL (Secure Sockets Layer) для защиты каналов связи Internet. SSL можно использовать для шифрования почтовых сообщений и файлов, а также для повышения безопасности Web-узлов, на которых реализованы базовые методы аутентификации, и шифрования сеансов связи клиентских браузеров с Web-серверами. Механизм SSL довольно сложен, и более подробную информацию о нем можно получить из статей, перечисленных во врезке "Дополнительная литература".

Зачем защищать узел с помощью протокола SSL? Сайтам электронной коммерции, корпоративным intranet и всем Web-узлам, на которых хранится любая частная информация, сертификат SSL необходим по двум основным причинам: для защиты предприятия и обеспечения безопасности потребителей и пользователей. Цель данной статьи - помочь быстро организовать надежный Web-узел на базе IIS 5.0.

Помните, что одного лишь SSL недостаточно для того, чтобы обезопасить деятельность компании в Internet. SSL можно уподобить обшивке броневика, перевозящего секретные данные. Если защитить с помощью SSL процедуру сбора информации о кредитных картах покупателей, а затем сохранить данные на сервере в простом текстовом файле, то можно лишиться всех преимуществ использования SSL.

ЦЕНА SSL
С какими же расходами связано данное решение? Вероятно, наиболее ощутимой платой будет процессорное время, затрачиваемое на выполнение функций SSL. Для размещения SSL потребуется выполнить минимальную работу по программированию, заполнению форм и составлению сценариев, а внедрить SSL на сайте IIS 5.0 просто (конечно, если предварительно прочитать эту статью).

Таблица 1: Цена сертификатов SSL
Организация, выдающая сертификат 40-разрядный сертификат SSL (на 1 год), долл. Обновление через год, долл.
VeriSign(http://www.verisign.com) 349 249
SSL.com (http://www.ssl.com) 75 50
Thwate Certification (http://www.thwate.com) 125 100
В Таблице 1 показаны денежные затраты на приобретение 40-разрядного сертификата SSL у некоторых организаций, отвечающих за выдачу сертификатов (Certificate Authority - CA). В продаже имеется более надежное 128-разрядное решение, но за дополнительную защиту придется заплатить более высокую цену. Сертификаты VeriSign - очень дорогие, но это самая известная организация, которой я доверяю защиту данных, своих и компании. Еще один веский довод в пользу крупной организации - совместимость ее сертификатов с большинством браузеров. Чтобы увидеть список CA, которые распознает и которым автоматически доверяет Microsoft Internet Explorer (IE) 5.0, выберите пункт Internet Options из меню Tools. Щелкните на разделе Certificates под закладкой Content. На закладках Intermediate Certification Authorities и Trusted Root Certification Authorities диалогового окна Certificates приведены списки CA. На Рисунке 1 показана закладка Trusted Root Certification Authorities.



Рисунок 1.

КАК ЗАПРОСИТЬ СЕРТИФИКАТ
Выбрав CA, можно приступить к процедуре генерации запроса на утверждение сертификата (certificate signing request - CSR). Сначала нужно открыть диспетчер служб Internet Services Manager (ISM) в папке Administrative Tools системы Windows 2000. Щелкните правой кнопкой мыши на Web-узле, для которого требуется создать CSR, и выберите пункт Properties, как показано на Рисунке 2. Выбрав закладку Directory Security, нужно щелкнуть в разделе Server Certificate для запуска мастера Web Server Certificate Wizard, который проведет вас по шести следующим этапам:


Рисунок 2.

1. На первом экране следует выбрать функцию создания нового сертификата.

2. Укажите имя сертификата и длину (в разрядах) ключа шифрования. Имя служит для опознавания и может быть любым, но должно описывать Web-узел. Его назначение заключается в том, чтобы отличить данный сертификат от любых других, имеющихся у вас сертификатов. По умолчанию длина ключа составляет 512 бит, но я рекомендую использовать не менее 1024 разрядов. VeriSign также рекомендует применять 1024-разрядные ключи, поскольку в прошлом 512-разрядные уже взламывались. Более подробно об уязвимости 512-разрядных ключей можно прочитать по адресу http://www.verisign.com/cus/srv/faq/512/index.html.

3. Укажите название организации и подразделения. Как и имя сертификата, эти описатели удобны, если нужно управлять множеством сертификатов. Используйте в названиях буквы, цифры и пробелы; избегайте таких символов, как запятая и точка с запятой.

4. Укажите стандартное имя (common name - CN) Web-узла. Введите URL, по которому пользователи получают доступ к сайту. Например, стандартное имя узла Amazon.com - www.amazon.com. Если сайт представляет собой интрасеть, и в локальной сети используется NetBIOS, то стандартным именем может быть просто intranet. Главное требование - ввести именно то имя, с помощью которого пользователи будут обращаться к сайту.

5. Укажите город и штат. Введите полные названия - некоторые CA не распознают двухсимвольных обозначений штатов.

6. И, наконец, выберите имя файла (обычно IIS 5.0 предполагает, что файлы сертификатов имеют расширение .cer) и место для хранения CSR, щелкните на кнопке Next, а затем на кнопке Finish, чтобы генерировать CSR-файл.

В CSR-файле в зашифрованном виде записана вся только что введенная информация. Более подробно о процедуре создания CSR рассказывается в статье "Generating Certificate Request File Using the Certificate Wizard IIS 5.0" (http://support.microsoft.com/support/kb/articles/q228/8/21.asp).

Теперь осталось лишь представить CSR в CA.
Предупреждение: при подаче заявки на сертификат SSL компании может понадобиться идентификационный номер от Dun & Bradstreet. Этот номер служит доказательством, что компания действительно зарегистрирована в качестве корпорации. Если номера нет, то для получения сертификата следует выбрать статус некоммерческой организации. Может потребоваться информация о том, как связаться с получателем сертификата и, вероятно, резервный вариант связи, а также номер кредитной карты или счета на услуги. После того, как будет представлена вся необходимая информация, если не возникнет никаких проблем с выполнением и оплатой заказа, сертификат пересылается заказчику по электронной почте в течение одного-семи дней.

КАК УСТАНОВИТЬ СЕРТИФИКАТ
Полученный сертификат безопасности необходимо сохранить на локальном диске или защищенном сетевом узле, где к нему можно обратиться с Web-сервера. Запустите, как прежде, мастер Web Server Certificate Wizard. На этот раз сервер IIS 5.0 <помнит>, что CSR был создан, и спрашивает, следует ли обработать или удалить предстоящий запрос, как показано на Рисунке 3. Выберите пункт Process the pending request and install the certificate ("Обработать предстоящий запрос и установить сертификат"). После этого необходимо ввести информацию о местонахождении сертификата. По умолчанию "мастер" ищет файл с расширением .cer, но вполне подойдет и файл .txt. На рисунке 4 показана следующая страница мастера. Более подробное объяснение процесса установки приводится в статье "Installing a New Certificate with Certificate Wizard for Use in SSL/TLS" (http://support.microsoft.com/support/kb/articles/q228/8/36.asp).


Рисунок 3.
9 приемов создания эффективных интернет-приложений
Билла Скотта. Основными составляющими для приличного Ajax-приложения Билл считает следующие: Делайте приложение интерактивным в себе. Обрабатывайте данные прямо на странице вместо того, чтобы передавать их с одной страницы на другую. Помещайте инструменты так близко к объектам редактирования, как только возможно. Делайте их завлекающими. Используйте всплывающие подсказки чтобы пригласить пользователя на следующий уровень взаимодействия с приложением
(Рас)плата за клик
Нам, живущим в мелкой и теплой водичке российского интернета, пишущим письма, ищущим информацию и изредка создающим свои контент-проекты, зачастую невидимы и неведомы глубинные тренды, на самом деле формирующие лицо современного Интернета. И замечаем мы их, когда они уже выходят на поверхность например, когда в результате противостояния спаммеров и антиспаммеров процент писем, которые доходят до адресатов, начинает катастрофически падать, и люди снова начинают использовать факсы (!)
Аккуратный HTML
Любая работа должна быть выполнена аккуратно и красиво. Особенно если ее могут увидеть много людей. А это напрямую касается разработки сайтов, и в частности некоторых технологий, используемых при этом HTML и CSS. Просматривая страницы в Интернете мы, как правило, не смотрим в код HTML. Да и зачем это нужно обычному пользователю? Но часто бывает важно взглянуть на код, чтобы составить некоторое впечатление о создателях этого веб-сайта


Рисунок 4.


Пришло время провести решающую проверку: введите https://common_name в браузере и убедитесь, что Web-узел откликается на запрос SSL. Если испытание прошло без накладок, то принимайте поздравления с успешной установкой сертификата SSL на сервере IIS 5.0.

Если сайт не отвечает, то проверьте, открыт ли порт 443 Web-сервера для обмена данными SSL. Проверить и изменить этот параметр можно, воспользовавшись закладкой Web Site диалогового окна Properties Web-узла. Кроме того, щелкните в разделе View Certificate диалогового окна Properties на закладке Directory Security, дабы убедиться, что установлен действительный сертификат SSL. Если получены сообщения об ошибках, в которых указывается, что сертификат недействителен или имя сайта не соответствует сертификату, необходимо проверить системные время и дату (браузеры сравнивают время годности сертификата с показателями системных часов), и убедиться, что стандартное имя, использованное для создания CSR, совпадает с именем доступа к сайту.

ОТВЕТЫ НА ВОЗМОЖНЫЕ ВОПРОСЫ ЧИТАТЕЛЕЙ
Предлагаю вашему вниманию ответы на пару вопросов о сертификатах, которые мне часто задавали в прошлом. Если доступ к сайту возможен по нескольким различным именам в DNS с использованием записей CNAME, то нет необходимости покупать и устанавливать несколько сертификатов; для каждого Web-узла достаточно одного. В действительности, IIS 5.0 допускает использование лишь одного сертификата для каждого сайта. Однако если на сервере размещено несколько защищенных Web-узлов, то для каждого из них потребуется свой сертификат SSL. HTTP-трафик, посланный по нескольким записям CNAME, указывающим на один IP-адрес, будет доставлен без проблем, но SSL-трафик безошибочно дойдет до адресата только в том случае, если он отправлен по стандартному имени (CN), указанному в сертификате. Например, директиву POST, указывающую на /scripts/purchase.asp, следует заменить на https://common_name/scripts/purchase.asp.

Если в представленном запросе CSR допущена ошибка, или необходимо заменить IIS 4.0 с SSL на IIS 5.0 с SSL, то, вероятно, потребуется новый сертификат, но возможно, платить за него не придется. Позвоните в CA и попросите о помощи. По-видимому, CA аннулирует старый или неверный сертификат и предложит оформить новый, скорее всего на Web-узле CA, с использованием специального кода, позволяющего обойти операцию оплаты.

Secure Sockets Layer (SSL) - сложный предмет. Перечисленные ниже материалы помогут лучше понять протокол:

  • Allen Jones, "SSL DEmystified", December 2000, InstantDoc ID 16047, http://www.win2000mag.com.
  • SSL.com (http://www.ssl.com/developers/fag).
  • Статья Microsoft "Description of the Secure Sockets Layer (SSL) Handshake" (http://support.microsoft.com/support/kb/articles/q257/5/91.asp?ln=en-us&sd-so&fr=0).

Автор: Крис Лер
Источник: http://www.brainbuzz.com/


 

Последние новости

Роскомнадзор выбрал ПО для блокировки запрещенных сайтов Роскомнадзор сообщил о подведении итогов тестирования программного обеспечения Ubic, предназначенного для блокирования операторами связи дост
Долгоиграющий и недорогойСогласно информации, появившейся на официально сайте Федеральной комиссии США по связи (US Federal Communications Commission, FCC), компания HMD Global, владеющая торговой мар
Запуск 'Моей торговли'Сбербанк запустил облачный сервис 'Моя торговля', сочетающий в себе возможности систем продажи, закупки, склада, финансов и CRM...
Некоммерческая исследовательская организация OpenAI представила искусственный интеллект (ИИ), который смог победить профессионального игрока команды Natus Vincere по Dota 2 Даниила Dendi Ишутина...
Спутники европейской навигационной системы Galileo больше не будут запускаться российскими ракетами 'Союз-СТ-Б'...

Блог о софте

AVG 2013 Christmas Collection Mega Pack Final Version-FL | 761 MBAVG 2013 Christmas Collection Mega Pack Final VersionYou Have a Complete Collection of AVG 2013 SoftwareMega Pack Contains:AVG Antiviru
О программе:Zoner Photo Studio Pro - приложение, созданное для качественной обработки цифровых снимков...
Sophos Virus Removal Tool - антивирусный сканер проведет диагностику вашего ПК на наличие вирусов, программ-шпионов, руткитов и поддельных антивирусов и удалит их...
Photo Collage Max – программа, которая создает фотоколлажи. Так же создает альбомы, календари и т.п. Содержит в себе множество шаблонов, фигур, масок, фоторамок...
Дизайн Календарей - это доступная и удобная программа для создания красивых календарей с фотографиями на любой год или месяц...