HTTP связь прекрасно подходит для среднего Web сервера, который
содержит только информационные страницы. Но если вы подумываете о
создании сайта электронной коммерции или других Web сервисов, которые
требуют защищенные транзакции, вам потребуется способность шифровать
обмен между вашим Web сервером и его клиентами. В общем случае это
подразумевает использование Secure Sockets Layer (SSL – Уровень
Защищенных Сокетов), который использует шифрование публичным ключом для
защиты конфиденциальной пользовательской информации (такой как номера
кредитных карточек или банковских счетов), которая передается через Web.
В этой статье мы обсудим, как работает SSL, и покажем вам, как
разрешить его на ваших Internet Information Services (IIS) Web серверах.
Как работает SSL
SSL использует цифровые сертификаты, выданные полномочным органом
сертификации (certification authority – CA) для авторизации обоих сторон
при транзакции (клиента и сервера). Если Web сервер настроен на
требование защищенных соединений, то он будет отсекать незащищенные
запросы. Для подключения к защищенной странице клиент использует
https:// в начале URL вместо http://. Примечание:
Если некоторые компоненты на странице используют http:// в
своих ссылках, то посетители будут получать сообщение, гласящее, что
некоторые элементы на странице не защищены. Вы можете исключить это либо
использованием https:// для всех ссылок, либо использованием
относительного пути, который не содержит "http” или "https.”
Когда клиентский браузер инициирует защищенное соединение,
производится SSL "handshake” («рукопожатие» – обмен с квитированием).
Браузер проверяет сертификат для идентификации сервера, полномочность
органа сертификации и убеждается, что сертификат не просрочен. Затем
клиент и сервер договариваются о методе шифрования и используемых
ключах.
Когда установка связи завершена, создается новый ключ, и этот ключ
используется для создания ключей сессии, которые непосредственно
используются для шифрования остального обмена, используя метод
шифрования, о котором ранее договорились клиент и сервер. Сервер
авторизует клиента, если сервер настроен на требование клиентской
авторизации.
Теперь, когда посылается HTTP GET запрос, поля формы и программные
переменные, которые прикрепляются к концу URL, извлекаются из URL и
вставляются в шифрованный блок данных, который также содержит данные,
введенные в форму на клиентском браузере. Ответ от сервера аналогично
шифруется, когда возвращается к клиенту.
Как внедрить SSL
Первый шаг для внедрения SSL для вашего Web-сайта – это получение SSL
сертификата от органа сертификации, который выдает SSL сертификаты.
Web-серверный SSL сертификат прикрепляется к его полностью определенному
доменному имени и IP-адресу. Вы можете приобрести SSL сертификаты от
Verisign, Thawte, Entrust и других публичных провайдеров сертификатов.
Сертификаты этих компаний распознаются всеми основными браузерами. Вы
также можете получить сертификат от локального (внутреннего) CA.
Для конфигурирования вашего IIS 6.0 Web-сайта (работающего на Windows
Server 2003) для использования SSL шифрования следуйте по следующим
шагам: 1. Откройте IIS Manager из меню Programs | Administrative Tools (Программы | Инструменты Администрирования).
2. На левой панели консоли раскройте узел для имени вашего Web сервера (в нашем примере, CA1), и затем раскройте папку Web сайтов, как показано на Рисунке A.
Рисунок A: Раскрытая папка Web Сайтов в IIS Manager
3. Щелкните правой кнопкой Web сайт, для которого вы хотите использовать SSL, а затем выберите Properties (Свойства) из контекстного меню. Это открывает лист Properties для этого сайта.
4. Щелкните вкладку Directory Security, как показано на Рисунке B.
Рисунок B: Вкладка Directory Security 5. В разделе Secure Communications щелкните кнопку Server Certificate (Серверный Сертификат). Это приводит к открытию Web Server Certificate Wizard (Мастера Сертификатов Web Сервера).
6. Нажмите кнопку Next (Далее) на первой странице этого Мастера.
7. На странице Server Certificate (Серверный Сертификат) вы увидите следующие варианты: Create a new certificate (Создать новый сертификат), Assign an existing certificate (Присвоить существующий сертификат), Import a certificate from a Key Manager backup file (Импортировать сертификат из резервной копии Key Manager), Import a certificate from a .pfx file (Импортировать сертификат из .pfx файла) или Copy
or move a certificate from a remote server to this site (Копировать или
перенести сертификат с удаленного сервера на этот сайт). Выполните соответствующий выбор и следуйте по шагам.
Для импорта сертификата вам требуется знать:
- Путь, где хранится сертификат
- Пароль к .pfx файлу.
Для создания нового сертификата вам необходимо отправить запрос в
орган сертификации в вашей сети или подготовить запрос и послать его
вручную в CA, который расположен не в вашей сети. Вы должны указать URL
для Web-сайта и, если вы хотите сделать сайт доступным через Интернет,
имя, которое должно совпадать с внешним полностью определенным
доменным именем для этого сайта. Если сайт будет доступен только для
пользователей интранета, вы можете использовать NetBIOS имя. 8. Если вы создаете
новый сертификат, вам потребуется ввести ваше географическое
местонахождение (страну, штат/область и город) на странице Geographical Information (Географическая Информация).
9. Запрос на сертификат будет сохранен в виде текстового файла, если
вы выберите создать запрос вручную и отправить его позже. Введите имя
для этого текстового файла.
10. Проверьте информацию в запросе на странице Request File Summary и нажмите Next для генерации файла. Вы можете отправить по e-mail этот файл в орган сертификации.
Если вы направляете запрос в локальный CA: 11. Убедитесь, что порт 443 выбран на странице SSL Port.
12. Выберите CA на странице Choose a Certification Authority (Выбор Органа Сертификации).
13. Проверьте информацию в запросе и нажмите Next для отправки запроса на странице Certificate Request Submission (Отправка Запроса на Сертификат).
Примечание:
Вы можете удалить запрос повторным запуском этого Мастера. Просто вернитесь назад на вкладку Directory Security на листе Properties сайта и щелкните снова Server Certificate.
Мастер сообщит вам, что запрос на сертификат находится в стадии
ожидания и спросит, хотите ли вы обработать ожидающий запрос и
инсталлировать сертификат или удалить ожидающий запрос.
Когда вы получите сертификат, вы можете защитить Web-сайт, следуя по этим шагам: 1. На вкладке Directory Security страницы Properties сайта в разделе Secure Communications нажмите кнопку Edit (Редактировать) (заметьте, что есть три кнопки Edit на этой странице; убедитесь, что нажали кнопку в секции Secure Communications).
2. Отметьте поле, помеченное Require secure channel (SSL) (Требовать защищенный канал) вверху этого Secure Communications
диалогового окна. Если вы хотите требовать 128 битное шифрование,
отметьте соответствующее поле, как показано на Рисунке C. Некоторые
старые броузеры могут не поддерживать 128 битное шифрование.
Рисунок C: Настройка сайта на требование защищенного канала (SSL) 3. В секции Client Certificates (Клиентские Сертификаты)
выберите, хотите ли вы игнорировать клиентские сертификаты, принимать
клиентские сертификаты или требовать клиентские сертификаты (последний –
наиболее безопасный вариант). Вы можете также отобразить клиентские
сертификаты на ученые записи пользователей Windows и разрешить Certificate Trust List (Список доверенных сертификатов). Нажмите OK, когда вы закончите конфигурировать эти настройки.
4. Вернитесь на вкладку Directory Security, в секции Authentication and Access Control (Авторизация и Управление Доступом) вверху страницы нажмите кнопку Edit.
5. В разделе Authenticated Access (Авторизованный Доступ) вы можете выбрать требование имен пользователей и паролей для любого или всех из следующих методов авторизации:
Интегрированная Windows авторизация, Digest авторизация для Windows
доменных серверов, Основная авторизация, .NET Passport авторизация. После конфигурирования ваших настроек нажмите OK.
6. Нажмите снова OK для того чтобы закрыть диалоговое окно и закрыть IIS MMC.
Тестирование Соединения
Для проверки того, что ваше SSL соединение работает, в браузере
введите имя сервера (полностью определенное доменное имя для Интернет
Web-сайта или NetBIOS имя для интранет сервера), поместив https:// в начале этого URL. Вы должны получить уведомление о просмотре страниц через защищенное соединение. Нажмите OK. Будет показан защищенный Web-сайт.
|
