Занятие 4. Настройка SSL

(Продолжительность занятия 25 минут)

Для того чтобы пользоваться SSL, Вам потребуются соответствующие сертификаты и ключи. На этом занятии Вы узнаете, как получить сертификаты и ключи и как после этого настроить поддержку SSL в Internet Information Server. Сертификаты, созданные на этом занятии, потребуются Вам для выполнения упражнений главы 10, «Цифровые сертификаты».

Изучив материал этого занятия, Вы сможете:

• получить средствами SSL цифровой сертификат для защиты Web- узла, работающего под управлением Internet Information Server.

Чтобы пользоваться средствами защиты протокола SSL на своем сервере, Вам придется сначала получить для него цифровой сертификат. Затем Вы сможете воспользоваться средствами защиты, предлагаемыми SSL, для защиты своего Web-узла. Чтобы получить цифровой сертификат, нужно сначала зарегистрировать себя или свою организацию в специальном внешнем сертифицирующем органе, который и выдает сертификаты. Полученный сертификат докажет Вашу подлинность другим узлам сети, зарегистрированным в этой же сертифицирующей организации.

Microsoft Certificate Server избавляет клиентов, желающих получить доступ к Вашему защищенному сертификатом серверу или каталогу, от необходимости регистрироваться во внешней сертифицирующей организации — они смогут просто зарегистрироваться у Вас. Certificate Server поддерживает выполнение всех операций по управлению сертификатами и контролю за ними. Certificate Server входит в состав Internet Information Server.

Примечание Подробнее о Microsoft Certificate Server рассказывается в главе 10, «Цифровые сертификаты».

Внешние сертифицирующие организации

Чтобы получить цифровой сертификат от внешней сертифицирующей организации, сначала придется создать пару ключей для Вашей системы с помощью утилиты Key Manager (Keygen.exe); эта процедура описана ниже. Затем полученный файл запроса сертификата следует отправить по электронной почте сертифицирующей организации. Она зарегистрирует Вас и вышлет Вам подтверждение Вашего цифрового сертификата.

До тех пор пока Вы не отправите запрос сертификата и не получите подтверждения, Вы не можете пользоваться парой ключей, находящихся на Вашем сервере. Зарегистрировавшись в сертифицирующей организации, Вы сможете задействовать средства аутентификации SSL на основе сертификатов клиентов для более надежной защиты Вашего Web-узла.

Упражнение

В этом упражнении Вы с помощью утилиты Key Manager создадите пару ключей, необходимых для получения сертификата.

Примечание Если Вы планируете использовать ключи, созданные во время выполнения этого упражнения, Вам придется связаться со своей сертифицирующей организацией. SSL работает только с ключами, полученными от такой организации.

Это упражнение, где применяется утилита Keygen.exe, — часть процесса получения цифрового сертификата SSL, который понадобится Вам в упражнении главы 10, «Цифровые сертификаты».

> Создание папки для хранения полученных ключей

• С помощью Проводника Windows NT создайте папку C:\Cert.

> Создание цифрового ключа SSL

1. В меню Start выберите команды Programs, Windows NT 4.0 Option Pack, Microsoft Internet Information Server, Internet Service Manager. В окне управляющей консоли Microsoft Management Console (MMC) появится интегрируемый модуль Internet Service Manager.
2. Раскройте значок "Мой компьютер".
3. Правой кнопкой мыши щелкните папку Default Web Site. Появится контекстное меню.
4. Выберите в нем команду Properties. Появится диалоговое окно Default Web Site Properties.
5. Откройте вкладку Directory Security.
6. Нажмите кнопку Key Manager. Появится диалоговое окно Key Manager.
7. Щелкните правой кнопкой WWW и выберите в меню команду Create New Key. На экране появится окно мастера создания нового ключа.
8. Установите переключатель в положение Put the request in a file that you will send to an authority. Файл запроса по умолчанию называется C:\NewKeyRq.txt.
9. Нажмите кнопку Browse, выберите папку C:\Cert и щелкните кнопку Save.
10. Нажмите кнопку Next.

> Конфигурирование нового ключа

1. Заполните показанную на рисунке форму приведенными ниже значениями:

   Key Name: Certkey

   Password: password

   Оставьте в поле Bit Length значение 512.

2. Нажмите кнопку Next.
3. В следующем окне заполните поля Organization, Organizational Unit и Common Name.
4. Нажмите Next.
5. В следующем окне заполните поля Country State/Province и City/Locality.
6. Нажмите Next.
7. В следующем окне заполните поля приведенными ниже значениями:

   Your Name: Administrator

   E-mail address: anyone@anywhere

   Phone number: 1-234-555-0123

8. Нажмите Next. Появится диалоговое окно, информирующее о том, что новый ключ будет сохранен в файле C:\Cert\NewKeyRq.txt.
9. Нажмите кнопку Finish.
10. Нажмите кнопку ОК.
11. Закройте Key Manager. Появится диалоговое окно с просьбой подтвердить внесенные изменения.
12. Нажмите кнопку Yes.
13. Нажмите OK, чтобы закрыть диалоговое окно Default Web Site Properties.

На самом деле теперь Вам пришлось бы выслать созданный ключ сертифицирующей организации.

Примечание При вводе информации в поля не используйте запятые. Мастер создания ключей интерпретирует их как символы окончания поля и создаст некорректный запрос, причем без всякого предупреждения.

По умолчанию Key Manager создает ключи длиной 512 бит; в диалоговом окне Create New Key and Certificate Request можно задать длину ключа равной 768 или 1 024 битам.

> Просмотр содержимого файла ключа

1. Запустите сеанс командной строки.
2. Введите команду type c:\cert\newkeyrq.txt и нажмите клавишу ENTER. Вы увидите на экране примерно следующий текст:

   ——BEGIN NEW CERTIFICATE REQUEST——

   MIIBSzCBEQIBADAOMQwwCgYDVQQGEwNVUOEwgZ8wDQYJKoZIhvcNAQEBBQADg

   YOAMI GJAoGBaI7nOitueTDEChjJTyOpKPS1DbtRDRouhCei5SW w2t5fxc7Vs46kPTF91J9Uu

   wpM5TtzqDbBDn7PkpqfV5Cea6LYaAp5U10d8s+IAAqOlRivVf8az3M8cDUBeEBbdcWS70a2X9

   R44p1oXODwUnuOnGVW3rhOOQgpFOi85bAVvMRAgMBAAEwDQYJKoZIhvcNAQEEBQADgYEAic

   ID2qfNkttpx3zagtEEoDgDi5VQfA7bSIjXQORNtKKrMBa3tsqqNOUdA8KY4Abb7Yr9nFrjf3em

   SgJ2QcE2NxnEX59NS+JEbLkBTVRt/Twr3xjU8wq3sBMuy9ReozxGWTWOBORXyhDpJyOncwu

   So/N8GUWAB2ddUm6+d+LraA=

   ——END NEW CERTIFICATE REQUEST——

3. Закройте сеанс командной строки.

Чтобы получить цифровой сертификат SSL, отправьте этот текстовый файл внешнему сертифицирующему органу. В ответ Вам будет прислан цифровой сертификат, который выглядит примерно так.

——BEGIN CERTIFICATE——

JIEBSDSCEXoCHQEwLQMJSoZILvoNVQECSQAwcSETMRkOAMUTBhMuVrMmIoAnBdNVBAoTF1 JTQSBEYXRhIFNlY3VyaXR5LCBJbmMuMRwwGgYDVQQLExNQZXJzb25hI ENlcnRpZml jYXRlMSQwIgYDVQQDExtPcGVuIE1hcmtldCBUZXNOIFNlcnZlciAxMTAwHhcNOTUwNzE5MjAy NzMwWhcNOTYwNTEOMjAyOTEwWjBzMQswCQYDVQQGEwJVUzEgMB4GA1UEChMXUlNBIERhd GEgU2VjdXJpdHksIEluYy4xHDAaBgNVBAsTE1BlcnNvbmEgQ2VydGlmaWNhdGUxJDAi BgNVBAMTG09wZW4gTWFya2VOIFRlc3QgU2\/ydmVyIDExMDBcMAOGCSqGSIb3DQEBAQUAAOs AMEgCQQDU/7lrgR6vkVNX40BAq1poGdSmGkD1iN3sEPfSTGxNJXY58XH3JoZ4nrF7mIfv pghNi1taYimvhbBPNqYe4yLPAgMBAAEwDQYJKoZIhvcNAQECBQADQQBqyCpws9EaAjKKAefuNP+z +8NY8khckgyHN2LLpfhv+IP8m+bF66HNDUlFz8ZrVOu3WQapgLPV90kIskNKXX3a

——END CERTIFICATE——

Использование сертификата

Средствами программы Notepad (или другого текстового редактора) скопируйте и сохраните сертификат в текстовом файле. Присвойте файлу легко запоминаемое имя (например, Certif.txt) и с помощью утилиты Key Manager установите на сервере подписанный внешним сертифицирующим органом сертификат.

> Установка сертификата

1. В меню Start выберите команды Programs, Windows NT 4.0 Option Pack, Microsoft Internet Information Server, Internet Service Manager. В окне управляющей консоли Microsoft Management Console (MMC) появится интегрируемый модуль Internet Service Manager.
2. На панели инструментов щелкните значок Key Manager. Появится диалоговое окно Key Manager.
3. В дереве Key Manager выберите ключ, который Вы хотите легализовать.
4. В меню Key выберите команду Install Key Certificate.
5. Следуйте инструкциям, появляющимся на экране.

Если Вы не зададите IP-адрес, один и тот же сертификат будет установлен на всех Ваших виртуальных серверах. Если на одном сервере развернуто несколько узлов Интернета, а Вы хотите установить сертификат только для одного из них, укажите IP-адрес соответствующего виртуального сервера. Установив сертификат, можно средствами Internet Service Manager (ISM) разрешить службам World Wide Web (WWW) применить SSL для любого виртуального каталога сервера Интернета. Для настройки защиты папок средствами SSL пользуйтесь вкладкой свойств Home Directory диалогового окна Web Site Properties Internet Service Manager.

Примечание Конфиденциальную и общедоступную информацию следует хранить в разных каталогах сервера Интернета (например, C:\Inetpub\Wwwroot\Secure-Content и C:\InetpubWwwroot\Public-Content). Таким образом Вы избежите «ляпов», когда в незащищенной папке сервера содержится папка, нуждающаяся в защите.

Кроме того, рекомендуется переписать файл с ключом на дискету и по завершении установки удалить его с жесткого диска. Запишите пароль к файлу ключа и храните его в безопасном месте. Файл ключа и пароль понадобятся Вам, если потребуется заново установить сертификат.

Microsoft Certificate Server

Получив сертификат, подписанный внешней сертифицирующей организацией, Вы можете воспользоваться Microsoft Certificate Server для выдачи, обновления и отзыва сертификатов клиентов без помощи внешних сертификационных органов. Certificate Server позволяет администратору полностью контролировать политику использования сертификатов, а также формат и содержимое самих сертификатов.

Политика использования сертификатов по умолчанию разрешает автоматическую выдачу сертификатов доверенным пользователям, входящим во встроенные пользовательские группы Windows NT Administrators, Account Operators и Server Operators. Certificate Server поддерживает аутентификацию пользователей на основании учетной информации, предоставленной ими при регистрации в Windows NT. Тем самым расширяются базовые возможности аутентификации на базе сертификатов. Кроме того, средства регистрации событий Certificate Server позволяют отслеживать запросы сертификатов и подвергать их аудиту.

Certificate Server позволяет администратору выдавать, обновлять и отзывать сертификаты SSL. В отсутствие Certificate Server любому посетителю Вашего Web- узла придется регистрироваться в той же внешней сертифицирующей организации, где Вы получили сертификат для своего сервера. Благодаря Certificate Server процесс заметно упрощается.

1. Потенциальный пользователь обращается к Вашему (защищенному сертификатом) Web-узлу и заполняет форму запроса сертификата.
2. Модуль ввода Certificate Server (настраиваемый компонент Certificate Server) обрабатывает запрос, после чего Certificate Server выдает пользователю сертификат SSL и регистрирует информацию о пользователе и соответствующей стратегии защиты в базе данных.

Когда пользователь попытается обратиться к Вашему Web-узлу, сервер Интернета выполнит аутентификацию по сертификату клиента и предоставит пользователю доступ в соответствии с предъявленным сертификатом. Если по какой-либо причине Вы или пользователь захотите аннулировать этот сертификат, Вы можете отозвать его у пользователя и запретить доступ.

Примечание Чтобы получить сертификат от сертифицирующей организации — например, компании VeriSign — свяжитесь с ней и выясните, как это сделать. Информацию о получении сертификата компании VeriSign Вы найдете на ее Web- узле по адресу http://www.verisign.com/

Информацию о получении сертификата SSL для Internet Explorer Вы найдете по адресу http://www.microsoit.com/security.

Резюме

Для применения средств защиты SSL на Ваших компьютерах необходимы цифровые сертификаты. Вы можете получить их от внешних сертифицирующих органов — например, от компании VeriSign. Microsoft Certificate Server предоставляет администратору полный контроль над выдачей, обновлением и отзывом сертификатов SSL, избавляя от необходимости обращаться ко внешним организациям для сертификации клиентов Вашего узла.