Сертификаты SSL для серверов IIS 5.0

КАК ОФОРМИТЬ ЗАПРОС, УСТАНОВИТЬ И ПРОВЕРИТЬ СЕРТИФИКАТ SSL

Компания Netscape разработала протокол SSL (Secure Sockets Layer) для защиты каналов связи Internet. SSL можно использовать для шифрования почтовых сообщений и файлов, а также для повышения безопасности Web-узлов, на которых реализованы базовые методы аутентификации, и шифрования сеансов связи клиентских браузеров с Web-серверами. Механизм SSL довольно сложен, и более подробную информацию о нем можно получить из статей, перечисленных во врезке «Дополнительная литература».

Зачем защищать узел с помощью протокола SSL? Сайтам электронной коммерции, корпоративным intranet и всем Web-узлам, на которых хранится любая частная информация, сертификат SSL необходим по двум основным причинам: для защиты предприятия и обеспечения безопасности потребителей и пользователей. Цель данной статьи — помочь быстро организовать надежный Web-узел на базе IIS 5.0.

Помните, что одного лишь SSL недостаточно для того, чтобы обезопасить деятельность компании в Internet. SSL можно уподобить обшивке броневика, перевозящего секретные данные. Если защитить с помощью SSL процедуру сбора информации о кредитных картах покупателей, а затем сохранить данные на сервере в простом текстовом файле, то можно лишиться всех преимуществ использования SSL.

ЦЕНА SSL

С какими же расходами связано данное решение? Вероятно, наиболее ощутимой платой будет процессорное время, затрачиваемое на выполнение функций SSL. Для размещения SSL потребуется выполнить минимальную работу по программированию, заполнению форм и составлению сценариев, а внедрить SSL на сайте IIS 5.0 просто (конечно, если предварительно прочитать эту статью).

Таблица 1: Цена сертификатов SSL

Организация, выдающая сертификат
40-разрядный сертификат SSL (на 1 год), долл.
Обновление через год, долл.

VeriSign ( http://www.verisign.com )
349
249

SSL.com ( http://www.ssl.com )
75
50

Thwate Certification ( http://www.thwate.com )
125
100

В Таблице 1 показаны денежные затраты на приобретение 40-разрядного сертификата SSL у некоторых организаций, отвечающих за выдачу сертификатов (Certificate Authority — CA). В продаже имеется более надежное 128-разрядное решение, но за дополнительную защиту придется заплатить более высокую цену. Сертификаты VeriSign — очень дорогие, но это самая известная организация, которой я доверяю защиту данных, своих и компании. Еще один веский довод в пользу крупной организации — совместимость ее сертификатов с большинством браузеров. Чтобы увидеть список CA, которые распознает и которым автоматически доверяет Microsoft Internet Explorer (IE) 5.0, выберите пункт Internet Options из меню Tools. Щелкните на разделе Certificates под закладкой Content. На закладках Intermediate Certification Authorities и Trusted Root Certification Authorities диалогового окна Certificates приведены списки CA. На Рисунке 1 показана закладка Trusted Root Certification Authorities.

Рисунок 1.

КАК ЗАПРОСИТЬ СЕРТИФИКАТ

Выбрав CA, можно приступить к процедуре генерации запроса на утверждение сертификата (certificate signing request — CSR). Сначала нужно открыть диспетчер служб Internet Services Manager (ISM) в папке Administrative Tools системы Windows 2000. Щелкните правой кнопкой мыши на Web-узле, для которого требуется создать CSR, и выберите пункт Properties, как показано на Рисунке 2. Выбрав закладку Directory Security, нужно щелкнуть в разделе Server Certificate для запуска мастера Web Server Certificate Wizard, который проведет вас по шести следующим этапам:

Рисунок 2.

1. На первом экране следует выбрать функцию создания нового сертификата.

2. Укажите имя сертификата и длину (в разрядах) ключа шифрования. Имя служит для опознавания и может быть любым, но должно описывать Web-узел. Его назначение заключается в том, чтобы отличить данный сертификат от любых других, имеющихся у вас сертификатов. По умолчанию длина ключа составляет 512 бит, но я рекомендую использовать не менее 1024 разрядов. VeriSign также рекомендует применять 1024-разрядные ключи, поскольку в прошлом 512-разрядные уже взламывались. Более подробно об уязвимости 512-разрядных ключей можно прочитать по адресу http://www.verisign.com/cus/srv/faq/512/index.html .

3. Укажите название организации и подразделения. Как и имя сертификата, эти описатели удобны, если нужно управлять множеством сертификатов. Используйте в названиях буквы, цифры и пробелы; избегайте таких символов, как запятая и точка с запятой.

4. Укажите стандартное имя (common name — CN) Web-узла. Введите URL, по которому пользователи получают доступ к сайту. Например, стандартное имя узла Amazon.com — www.amazon.com. Если сайт представляет собой интрасеть, и в локальной сети используется NetBIOS, то стандартным именем может быть просто intranet. Главное требование — ввести именно то имя, с помощью которого пользователи будут обращаться к сайту.

5. Укажите город и штат. Введите полные названия — некоторые CA не распознают двухсимвольных обозначений штатов.

6. И, наконец, выберите имя файла (обычно IIS 5.0 предполагает, что файлы сертификатов имеют расширение .cer) и место для хранения CSR, щелкните на кнопке Next, а затем на кнопке Finish, чтобы генерировать CSR-файл.

В CSR-файле в зашифрованном виде записана вся только что введенная информация. Более подробно о процедуре создания CSR рассказывается в статье «Generating Certificate Request File Using the Certificate Wizard IIS 5.0» ( http://support.microsoft.com/support/kb/articles/q228/8/21.asp ).

Теперь осталось лишь представить CSR в CA.
Предупреждение: при подаче заявки на сертификат SSL компании может понадобиться идентификационный номер от Dun & Bradstreet. Этот номер служит доказательством, что компания действительно зарегистрирована в качестве корпорации. Если номера нет, то для получения сертификата следует выбрать статус некоммерческой организации. Может потребоваться информация о том, как связаться с получателем сертификата и, вероятно, резервный вариант связи, а также номер кредитной карты или счета на услуги. После того, как будет представлена вся необходимая информация, если не возникнет никаких проблем с выполнением и оплатой заказа, сертификат пересылается заказчику по электронной почте в течение одного-семи дней.

КАК УСТАНОВИТЬ СЕРТИФИКАТ

Полученный сертификат безопасности необходимо сохранить на локальном диске или защищенном сетевом узле, где к нему можно обратиться с Web-сервера. Запустите, как прежде, мастер Web Server Certificate Wizard. На этот раз сервер IIS 5.0 <помнит>, что CSR был создан, и спрашивает, следует ли обработать или удалить предстоящий запрос, как показано на Рисунке 3. Выберите пункт Process the pending request and install the certificate («Обработать предстоящий запрос и установить сертификат»). После этого необходимо ввести информацию о местонахождении сертификата. По умолчанию «мастер» ищет файл с расширением .cer, но вполне подойдет и файл .txt. На Рисунке 4 показана следующая страница мастера. Более подробное объяснение процесса установки приводится в статье «Installing a New Certificate with Certificate Wizard for Use in SSL/TLS» ( http://support.microsoft.com/support/kb/articles/q228/8/36.asp ).

Рисунок 3.

Рисунок 4.

Пришло время провести решающую проверку: введите https://common_name в браузере и убедитесь, что Web-узел откликается на запрос SSL. Если испытание прошло без накладок, то принимайте поздравления с успешной установкой сертификата SSL на сервере IIS 5.0.

Если сайт не отвечает, то проверьте, открыт ли порт 443 Web-сервера для обмена данными SSL. Проверить и изменить этот параметр можно, воспользовавшись закладкой Web Site диалогового окна Properties Web-узла. Кроме того, щелкните в разделе View Certificate диалогового окна Properties на закладке Directory Security, дабы убедиться, что установлен действительный сертификат SSL. Если получены сообщения об ошибках, в которых указывается, что сертификат недействителен или имя сайта не соответствует сертификату, необходимо проверить системные время и дату (браузеры сравнивают время годности сертификата с показателями системных часов), и убедиться, что стандартное имя, использованное для создания CSR, совпадает с именем доступа к сайту.

ОТВЕТЫ НА ВОЗМОЖНЫЕ ВОПРОСЫ ЧИТАТЕЛЕЙ

Предлагаю вашему вниманию ответы на пару вопросов о сертификатах, которые мне часто задавали в прошлом. Если доступ к сайту возможен по нескольким различным именам в DNS с использованием записей CNAME, то нет необходимости покупать и устанавливать несколько сертификатов; для каждого Web-узла достаточно одного. В действительности, IIS 5.0 допускает использование лишь одного сертификата для каждого сайта. Однако если на сервере размещено несколько защищенных Web-узлов, то для каждого из них потребуется свой сертификат SSL. HTTP-трафик, посланный по нескольким записям CNAME, указывающим на один IP-адрес, будет доставлен без проблем, но SSL-трафик безошибочно дойдет до адресата только в том случае, если он отправлен по стандартному имени (CN), указанному в сертификате. Например, директиву POST, указывающую на /scripts/purchase.asp, следует заменить на https://common_name/scripts/purchase.asp .

Если в представленном запросе CSR допущена ошибка, или необходимо заменить IIS 4.0 с SSL на IIS 5.0 с SSL, то, вероятно, потребуется новый сертификат, но возможно, платить за него не придется. Позвоните в CA и попросите о помощи. По-видимому, CA аннулирует старый или неверный сертификат и предложит оформить новый, скорее всего на Web-узле CA, с использованием специального кода, позволяющего обойти операцию оплаты.

Secure Sockets Layer (SSL) — сложный предмет. Перечисленные ниже материалы помогут лучше понять протокол:

Allen Jones, «SSL DEmystified», December 2000, InstantDoc ID 16047, www.win2000mag.com.
SSL.com ( http://www.ssl.com/developers/fag ).
Статья Microsoft «Description of the Secure Sockets Layer (SSL) Handshake» ( http://support.microsoft.com/support/kb/articles/q257/5/91.asp?ln=en-us&sd-so&fr=0 ).