internet information service (iis)...
TRANSCRIPT
UNIZETO TECHNOLOGIES SA ©
1
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Internet Information Service (IIS) 5.0 Использование сертификатов
в программе Microsoft IIS 5.0 PL версия 1.2
Pуководство пользователя
UNIZETO TECHNOLOGIES SA ©
2
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Содержание
1. СЕРТИФИКАТЫ ДЛЯ ОДНОЗНАЧНЫХ АДРЕСОВ ............................................................................ 3
1.1. ФОРМИРОВАНИЕ ЗАПРОСА НА СЕРТИФИКАТ (CSR) ................................................................................ 3 1.2. СОЗДАНИЕ СЕРТИФИКАТА НА ОСНОВАНИИ СОЗДАННОГО ЗАПРОСА (CSR) ........................................... 8 1.3. ПОЛУЧЕНИЕ И ИНСТАЛЛИРОВАНИЕ СЕРТИФИКАТА НА СЕРВЕРЕ ............................................................. 8 1.4. ПОЛУЧЕНИЕ ПРОМЕЖУТОЧНЫХ СЕРТИФИКАТОВ ................................................................................... 14 1.5. ИМПОРТ ПРОМЕЖУТОЧНЫХ СЕРТИФИКАТОВ ......................................................................................... 14
2. КОНФИГУРИРОВАНИЕ СЕРВЕРА IIS ДЛЯ СОЕДИНЕНИЙ HTTPS .............................................. 19
3. СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ СЕРВЕРНЫХ СЕРТИФИКАТОВ ............................................. 20
4. ИМПОРТИРОВАНИЕ СЕРТИФИКАТОВ С РЕЗЕРВНОЙ КОПИИ .................................................. 26
5. УДОСТОВЕРЕНИЕ КЛИЕНТА ДЛЯ СЕРВЕРА ПРИ ИСПОЛЬЗОВАНИИ СЕРТИФИКАТА ..... 33
6. СЕРТИФИКАТЫ ДЛЯ МНОГОЗНАЧНЫХ АДРЕСОВ ........................................................................ 42
6.1. ГЕНЕРАЦИЯ КЛЮЧЕЙ ............................................................................................................................... 42 6.2. СОЗДАНИЕ СЕРТИФИКАТА НА ОСНОВАНИИ СОЗДАННОГО ЗАПРОСА (CSR) ......................................... 43 6.3. СОЗДАНИЕ АРХИВНОГО ФАЙЛА P12 ИЗ ЗАКРЫТОГО КЛЮЧА И СЕРТИФИКАТА ...................................... 43 6.4. ИНСТАЛЛИРОВАНИЕ СЕРТИФИКАТА НА СЕРВЕРЕ ................................................................................... 44
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
3
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
1. Сертификаты для однозначных адресов
1.1. Формирование запроса на сертификат (CSR)
Запускаем Internet Information Services:
1. Старт -> Все программы -> Административные инструменты -> Информационные услуги в Интернете
или
2. Панель Управления -> Административные инструменты -> Информационные услуги в Интернете
Нажимаем правой клавишей мышки на наш веб-сайт, после этого выбираем Свойства:
Из окна Свойства выбираем закладку Безопасность папок и нажимаем на Сертификат сервера...:
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
4
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Таким образом запускаем Мастер сертификатов, который проведет нас через процесc формирования запроса на сертификат CSR:
Выбираем опцию Создать новый сертификат:
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
5
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Оставляем опцию по умолчанию:
Сейчас вводим название для нашего сертификата и выбираем длину ключа (1024 бита – достаточная ѐмкость). Остальное оставляем без изменений:
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
6
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Вписываем уникальное название и подразделение фирмы (организации).
ВНИМАНИЕ: Использование диакритических, специальных знаков %, ^, $, _ или кириллицы при заполнении этой информации приведет к неправильной генерации сертификата!!!
Сейчас вводим обычное название своего сервера:
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
7
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Потом выбираем местонахождение для файла с запросом CSR:
Нажимаем Завершить для завершения процесса генерации запроса CSR:
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
8
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
1.2. Создание сертификата на основании сформированного запроса (CSR)
-----BEGIN NEW CERTIFICATE REQUEST-----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-----END NEW CERTIFICATE REQUEST-----
Имея созданный запрос, необходимо заполнить заявку и вклеить CSR напр. на сайте CERTUM
(ank-pki.certum.ru -> Предложение -> выбрать, который сертификат хотим купить и на сайте
выбрать Купить сертификат).
Появится окно с информацией о документах, необходимых для окончания процесса получения
сертификата. Для продолжения процесса покупки необходимо выбрать Купить.
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
9
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
10
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
ВНИМАНИЕ: Чтобы вклеить сертификат на сайте необходимо сделать копию фрагмента текста от линии "--BEGIN CERTIFICATE --" до "--END CERTIFICATE--" (вместе с линиями!!!),
используя для этого текстовой редактор.
Необходимо установить проверку доступа к домену через выбор адреса e-mail администратора (e-mail необходимо выбрать со списка), а также способ проверки домена (с помощью Tag или файла HTML).
Проверьте, что в строке E-mail вписан правильный адрес (на это адрес будут высланы дальнейшее инструкции), и, что обозначена строка Подтверждаю Заявление и нажимаем Далее.
На следующей странице будет показан заполненный формуляр. Необходимо проверить или все данные введены правильно.
Если данные введены правильно, нажимаем Далее:
1.3. Получение и инсталлирование сертификата на сервере
После выполнения процедуры, указанной в предыдущем пункте, получим соответствующий e-mail с адресом сайта и номером ID, который даст возможность активировать сертификат (размещение сертификата в нашем репозитории, доступным на сайтах www):
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
11
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Входим на сайт, вклеиваем ID и, нажимая Далее, активируем сертификат:
Для интересующего нас сертификата выбираем опцию Сохранить текстовом (файл *.pem) или
Записать в бинарном (файл *.cer):
...и сохраняем файл nr_seryjny.pem (или nr_seryjny.cer):
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
12
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Для инсталлирования сертификата на сервере входим в Свойства веб-сайта и нажимаем на Сертификат сервера:
Выбираем Обработать ожидающий запрос и инсталлировать сертификат:
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
13
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Указываем Мастеру сертификатов файл, в котором мы сохранили сертификат сервера (также можем указать файл *.cer с сертификатом нашего сервера):
Сейчас мы увидим данные о сервере, которые записаны в сертификате. После нажатия на Далее Мастер сертификатов сообщит об окончании процесса:
Сертификат заинсталлирован на нашем сервере.
ВНИМАНИЕ: Кроме нашего сертификата необходимо еще получить и заинсталлировать промежуточные сертификаты (описано в последующей части инструкции).
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
14
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
1.4. Получение промежуточных сертификатов
Для получения сертификата Certum CA или промежуточных сертификатов необходимо ввойти на сайт www.certum.ru в раздел Обслуживание сертификатов Корневые сертификаты и ключи. После выбора сертификата необходимо выбрать опцию Сертификат для серверов WWW.
Появится интересующий нас сертификат, который отмечаем мышкой, вставляем в файл и сохраняем.
ВНИМАНИЕ: Для вставки в файл сертификата, представленного на сайте, необходимо скопировать фрагмент текста от линии "--BEGIN CERTIFICATE --" до "--END CERTIFICATE--", используя для этого текстовый редактор, напр. Notepad и мышку. Не следует использовать для этой операции программу Word или какой-нибудь другой текстовый процессор!
В случае получения промежуточных сертификатов, выбираем со списка интересующий нас сертификат, напр. CERTUM Level IV (Сертификаты Level IV следует получить в случае, когда уже имеем сертификат типа Trusted, сертификат III уровня следует получить в ситуации, когда имеем сертификат типа Enterprise / Wildcard, сертификат II уровня следует получить в ситуации, когда имеем в наличии сертификат типа Commercial; для сертификатов типа Private – сертификат I класса). Остальная часть процесса (запись в файл) происходит также, как и для сертификата Certum CA.
1.5. Импорт промежуточных сертификатов
Необходимо создать специальную консоль для администрирования и управления сертификатами, находящихся в базе сертификатов компьютера (стандартный визард Windows соединяется с реестрами определенного пользователя), если же консоль была создана ранее, тогда она уже доступна в меню Административные инструменты.
Для этого создание консоли запускаем с командной строки вписывая mmc:
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
15
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
В открытой консоле выбираем с верхнего меню опцию Добавить/Удалить оснастку или используем комбинацию клавиш ctrl + M:
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
16
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Выбираем опцию Добавить, после этого оснастку Сертификаты:
Выбираем опцию Учетная запись компьютера:
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
17
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Оставляем настройки по умолчанию (если операция относится к локальному компьютеру):
Входим в консоль (опция Сертификаты имеет сейчас второстепенную опцию), после ее открытия переходим по указанным опциям (Главные доверенные удостоверяющие центры, Промежуточные удостоверяющие центры, Главные удостоверяющие центры других фирм) и добавляем промежуточные сертификаты (лучше всего добавлять все сертификаты - Certum CA и Certum Level I-IV во все хранилища; практически достаточно добавить промежуточные сертификаты в хранилище Промежуточные удостоверяющие центры). Главный сертификат (Certum CA) и промежуточные сертификаты (Level I-IV) можно получить на сайте: http://ssl.certum.ru/certyru/certyru,zarzadzanie_zaswiadczenia_klucze.xml
Internet Information Service (IIS) 5.0PL – Сертификаты для однозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
18
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Нажимая правой клавишей мышки на каталоги Сертификаты отдельных хранилищ выбираем опцию Все задачи ->Импорт – здесь уже появляется знакомый нам визард.
После окончания импорта, сервер (а не только операцию) необходимо перезапустить.
После импортирования сертификата в указанные каталоги IIS извлекает информацию, которая позволяет пользователю построить полную цепочку сертификации (вместе с сертификатом Certum CA, находящимся в базе программы клиента).
Internet Information Service (IIS) 5.0PL – Конфигурирование сервера IIS для соединений https
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
19
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
2. Конфигурирование сервера IIS для соединений https
Для того, чтобы наш сервер обслуживал шифрованные соединения, необходимо в Свойствах в закладке Безопасность каталогов выбрать поле Изменить.....:
... выбрать (как указано ниже) Требовать безопасный канал (SSL) и Требовать 128 - битное шифрование.
Internet Information Service (IIS) 5.0PL – Создание резервной копии серверных сертификатов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
20
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Для того, чтобы проверить правильно ли работает наш сервер, вписываем в браузере адрес нашего сервера и акцептируем сертификат:
Внизу Internet Explorer заметим характерный замок, символизирующий, что установленное соединение имеет защищенный режим.
3. Создание резервной копии серверных сертификатов
Необходимо создать специальную консоль для администрирования и управления сертификатами, находящихся в базе сертификатов компьютера (стандартный визард Windows соединяется с реестрами определенного пользователя), если же консоль была уже создана раньше, тогда она доступна в меню Административные инструменты.
С этой целью создание консоли запускаем с командной строки вписывая mmc:
Старт-> Запустить -> вписываем cmd -> вписываем mmc
Internet Information Service (IIS) 5.0PL – Создание резервной копии серверных сертификатов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
21
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
В открытой консоли выбираем с верхнего меню опцию Добавить/Удалить оснастку или используем комбинацию клавиш ctrl + M:
Internet Information Service (IIS) 5.0PL – Создание резервной копии серверных сертификатов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
22
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Выбираем опцию Добавить, после этого оснастку Сертификаты:
Выбираем опцию Учетная запись компьютера:
Оставляем настройки по умолчанию (если операция относится к локальному компьютеру):
Internet Information Service (IIS) 5.0PL – Создание резервной копии серверных сертификатов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
23
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Выбираем сертификат, который хотим экспортировать в хранилище Личные:
Открываем меню Действие, переходим на Все задачи, а потом выбираем команду Экспорт ...:
Internet Information Service (IIS) 5.0PL – Создание резервной копии серверных сертификатов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
24
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Таким образом запускаем Мастер экспорта сертификатов:
В Мастере экспорта сертификатов выбираем опцию Да, экспортировать закрытый ключ.
Важно: Не следует выбирать опцию Удалить закрытый ключ если экспорт пройдет успешно, потому что, таким образом сделаем невозможным использование действующего сертификата сервера:
Internet Information Service (IIS) 5.0PL – Создание резервной копии серверных сертификатов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
25
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Вводим пароль для сохранения резервной копии сертификата:
Вводим название файла (закрытый ключ и сертификат сохраняется в файле с расширением .pfx):
Internet Information Service (IIS) 5.0PL – Импортирование сертификатов с резервной копии
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
26
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Завершаем экспортирование резервной копии серверного сертификата с помощью Мастера.
Файл будет записан в c:\certyfikaty.pfx
4. Импортирование сертификатов с резервной копии
Обязательно необходимо создать специальную консоль для администрирования и управления сертификатами, помещенными в базе сертификатов компьютера (стандартный визард Windows соединяется с реестрами определенного пользователя), если же консоль была создана раньше, тогда она доступна в меню Административные инструменты.
С этой целью создание консоли запускаем с командной строки вписывая mmc:
Internet Information Service (IIS) 5.0PL – Импортирование сертификатов с резервной копии
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
27
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Старт-> Запустить-> вписываем cmd -> вписываем mmc
В открытой консоли выбираем с верхнего меню опцию Добавить/Удалить оснастку или используем комбинацию клавиш ctrl + M:
Internet Information Service (IIS) 5.0PL – Импортирование сертификатов с резервной копии
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
28
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Выбираем опцию Добавить, после этого выбираем оснастку Сертификаты:
Выбираем опцию Учетная запись компьютера:
Internet Information Service (IIS) 5.0PL – Импортирование сертификатов с резервной копии
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
29
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Оставляем настройки по умолчанию (если операция относится к локальному компьютеру):
Выбираем хранилище, в которое будет импортирован сертификат:
Internet Information Service (IIS) 5.0PL – Импортирование сертификатов с резервной копии
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
30
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Открываем меню Действие, переходим на Все задачи, а потом выбираем команду Импорт...:
Таким образом запускаем Мастер импорта сертификатов:
Internet Information Service (IIS) 5.0PL – Импортирование сертификатов с резервной копии
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
31
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Выбираем файл, в который хотим импортировать сертификат (также выбираем соответствующее расширение файла с ключом):
Вводим пароль, защищающий закрытый ключ, и выбираем опцию, которая позволит нам в случае необходимости создать резервную копию ключа:
Internet Information Service (IIS) 5.0PL – Импортирование сертификатов с резервной копии
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
32
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Оставляем опцию по умолчанию, благодаря которой сертификат будет помещен в хранилище сертификатов Личный:
Завершаем импортирование резервной копии серверного сертификата с помощью Мастера
Internet Information Service (IIS) 5.0PL – Удостоверение клиента для сервера при использовании сертификата
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
33
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
5. Удостоверение клиента для сервера при использовании сертификата
С целью запуска вышеуказанной услуги необходимо «картографирование» акцептованного
сертификата пользователя для данного пользователя в системе. Необходимо создать
пользователя с определенными правами, который будет представлять в системе лицо, которое
будет использовать данный сертификат. Существует возможность присвоения сертификатам
стандартных пользователей, созданных системой по умолчанию (Гость, Администратор,
Пользователь WWW и т.д.), однако рекомендуем создать нового или новых пользователей,
имеющих очень ограниченные права, напр. только для просмотра содержания данной папки.
Процесс создания нового пользователя и закрепление за ним прав для данной папки будет
оговорен ниже. Администраторы, для которых это не составляет никаких проблем, могут перейти
сразу к последующим действиям, к картографированию сертификатов для учетной записи
пользователя.
Для того, чтобы добавить нового пользователя следует открыть меню: Старт -> Панель
управления-> Административные инструменты -> Управление компьютером
Переходим в меню Системные инструменты-> Пользователи и локальные группы ->
Пользователи-> Нажимаем правую клавишу мышки и выбираем Новый пользователь:
Internet Information Service (IIS) 5.0PL – Удостоверение клиента для сервера при использовании сертификата
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
34
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Вводим название пользователя, его пароль, а также предпочтительные настройки учетной
записи (напр. активную запись, неизменяемый пароль):
Добавляем пользователя в данную группу (или создаем новую группу):
Internet Information Service (IIS) 5.0PL – Удостоверение клиента для сервера при использовании сертификата
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
35
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Переходим в папку / файл своего сервера, которые будут доступны только для определенных
лиц. Для этого выбираем правой клавишей мышки папку (C:\Inetpub\wwwroot), которая будет
доступна на веб-сайте. Выбираем Свойства и появится окно:
Переходим на закладку Безопасность и добавляем пользователя, который будет иметь доступ к
папке, выбирая Добавить.
Добавленному пользователю предоставляем соответствующие права:
Затем входим на закладку Улучшенные настройки безопасности и отмечаем опцию
Internet Information Service (IIS) 5.0PL – Удостоверение клиента для сервера при использовании сертификата
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
36
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Наследовать по объекту (принимает настройки с папок высшего уровня) :
На информационном экране будет задан вопрос: на самом ли деле хотим предотвратить
«наследование» прав с папок высшего уровня. Выбираем опцию Удалить :
Права признаны. Переходим к конфигурациии настроек сервера IIS. Запускаем
административную консоль IIS. Выбираем сервер, на котором находится страница, к которой
будем ограничивать доступ. Указываем охраняемую папку или файл, и после нажатия правой
клавиши мышки выбираем опцию Свойства:
ВНИМАНИЕ: данный сервис должен иметь сертификат, чтобы было возможно требование
сертификата для доступа к данной части сервиса.
Internet Information Service (IIS) 5.0PL – Удостоверение клиента для сервера при использовании сертификата
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
37
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
В закладке Безопасность папок выбираем поле Изменить :
Internet Information Service (IIS) 5.0PL – Удостоверение клиента для сервера при использовании сертификата
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
38
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Выбираем опцию Требовать сертификаты клиентов, Включить связывание сертификатов
клиента и указываем опцию Изменить:
Переходим к закладке Много к одному и для добавления правила нажимаем на Добавить :
Internet Information Service (IIS) 5.0PL – Удостоверение клиента для сервера при использовании сертификата
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
39
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
На следующем экране называем наше правило (это правило дает право на вход на наш веб-
сайт) и нажимаем Далее :
В появившемся диалоговом окне вписываем критерии, согласно которых будет проверяться
сертификат пользователя. Примерные критерии представлены ниже:
Internet Information Service (IIS) 5.0PL – Удостоверение клиента для сервера при использовании сертификата
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
40
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Сейчас определяем пользователя, который будет иметь доступ к веб-сайту, и закрепляем за ним
пароль:
Если бы мы хотели заблокировать доступ к веб-сайту для какого-нибудь субъекта, тогда
операция происходила бы подобным образом, за исключением определения фильтрующих
правил...:
Internet Information Service (IIS) 5.0PL – Удостоверение клиента для сервера при использовании сертификата
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
41
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
и отмечаем опцию Отказ в доступе во время генерации правила:
Таким образом мы определили правила, которые будут основанием для доступа к веб-сайту
пользователям, имеющим сертификат, который принадлежит к банку e-mail адресов с домена
certum.ru. Тогда все остальные будут отклонены.
ВНИМАНИЕ: После представления сертификата клиента правила соответствия будут проверены
с такой очередностью, с которой представлены в списке правил (снизу вверх). Если же,
например, на первом месте укажем правило «Все исключить», тогда последующие правила не
будут даже проверяться, и все действия будут заблокированы.
В случае, когда сертификат пользователя не «дает права» на вход в веб-сайт, появится
следующее сообщение:
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
42
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
В заключении, еще одно замечание: браузер имеет способность хранения в кэше сертификатов, которые использует данный клиент. Если клиент представляется сертификатом на главной странице, тогда именно этот сертификат будет использован для входа на другие подстраницы. Если в процессе пребывания на странице возникнет необходимость изменения сертификата, которым идентифицируемся, необходимо будет сохранить адрес, с помощью которого хотим войти при использовании другого сертификата, закрыть браузера, повторно открыть браузер и вписать сразу же конечный адрес. Сервис повторно запросит сертификат, которым мы хотим представляться и тогда сможем произвести изменения «паспорта».
6. Сертификаты для многозначных адресов
6.1. Генерация ключей
С целью генерации ключей для многозначных адресов (напр., *.mojserver.ru) воспользуемся
внешним инструментом Openssl, который можно скачать с сайта: http://openssl.org.
Внимание: Не рекомендуется использовать IIS для генерации ключей для многозначных адресов!
1. После инсталляции библиотеки Openssl вписываем команду:
openssl genrsa -des3 -out server.key 1024
Эта команда произведет генерацию закрытого ключа с именем server.key для нашего сервера.
Этот ключ будет иметь длину 1024 бита и будет зашифрован симметрическим алгоритмом 3des.
Во время генерации ключа будет запрошен пароль, который защитит компонент.
2. После успешной генерации закрытого ключа впысываем команду:
openssl req -new -key server.key -out server.csr
Результатом этой команды является запрос на сертификат CSR сервера, который будет записан
в файле server.csr. Помните о указании файла с закрытым ключом server.key. Во время
формирования запроса CSR необходимо ввести пароль, защищающий закрытый ключ и данные,
связанные с нашей фирмой и веб-сайтом (страна, область, город, название фирмы,
подразделение фирмы). Помните, что в поле Common Name необходимо вписать многозначный
адрес нашего веб-сайта, напр., *.mojserver.com, *.mojdomen.ru, *.mojastranica.com.ru и т.п. :
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
43
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Внимание: Использование диакритических? специальных знаков %, ^, $, _ или киррилицы при введении информации для запроса CSR приведет к неправильной генерации сертификата!!!
6.2. Создание сертификата на основании созданного запроса (CSR)
Сформированный запрос в предыдущем шаге должен выглядеть подобным образом, как указано ниже:
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIDMDCCApkCAQAwgZoxGzAZBgNVBAMTEmRsdWJhY3oudW5pemV0by5wbDEhMB8G
A1UECxMYRHppYWwgT2Nocm9ueSBJbmZvcm1hY2ppMRswGQYDVQQKExJVbml6ZXRv
IFNwLiB6IG8uby4xETAPBgNVBAcTCFN6Y3plY2luMRswGQYDVQQIExJaYWNob2Ru
aW9wb21vcnNraWUxCzAJBgNVBAYTAlBMMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB
iQKBgQC8JvRqRPbltoZyvMjfXCef5PIcyLMQv6Z2Al0j2GMoeKBCCyZF1kHoDsWW
0ZF54FrTZhyKwYqfgiHO5duLfJSBqb/PTzovZH9qXUtxl+zQIhcJnA4Z/jKyWHGl
X7LUlC9u2bas/vWwQZWYvxeqNMW4RZ+LU9Qqm9b/YD2qtOZ2qwIDAQABoIIBUzAa
BgorBgEEAYI3DQIDMQwWCjUuMC4yMTk1LjIwNQYKKwYBBAGCNwIBDjEnMCUwDgYD
VR0PAQH/BAQDAgTwMBMGA1UdJQQMMAoGCCsGAQUFBwMBMIH9BgorBgEEAYI3DQIC
MYHuMIHrAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBoAGEA
bgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2AGkA
ZABlAHIDgYkAXxNuAz6gcBaZUdef8WQ2PAroKMW8sprcKv7QD2encz6/Wct9DZ5C
kGynLGy0f+Lff7ViSDJqxYWaJ68ddqgXyAqIilF63kivPTiC6yxLaNX65v3cnKFx
4UrUrGXZtub7M7/NuxSipOW0Vv7yCHganypxDyRzp6IhulEnL4APEH4AAAAAAAAA
ADANBgkqhkiG9w0BAQUFAAOBgQAsTG3Hu00fFzNTekFo/fb3tKsmuS/1rCCB5sQK
iNpWGZ8Z8+TmqBB0Tuz4FPTkeSqLpWv1ORfmxMKPIu10dC3QwRP2E//oMPnaU807
IJIDwn2VZ7qQ/h0KcWoWSPmvt7J0KKshdGgAF7P6AYc7W4yA9B9nPeyEzQRW0t4D
YBApPQ==
-----END NEW CERTIFICATE REQUEST-----
Заполняем заявочный формуляр и вставляем CSR на сайте Unizeto CERTUM. В поле Тип сертификата выбираем Wildcard Domain.
ВНИМАНИЕ: Чтобы вставить сертификат на сайте необходимо скопировать фрагмент текста начиная с линии "--BEGIN CERTIFICATE --" до "--END CERTIFICATE--", используя для этого текстовый редактор, напр., Notepad и мышку. Не используйте для этой операции программу Word или другой текстовый процессор!
После выполнения вышеуказанной процедуры мы получим сообщение e-mail с дальнейшими инструкциями.
6.3. Создание архивного файла p12 из закрытого ключа и сертификата
Certum после того, как выдаст сертификат, информирует пользователя о способе получения
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
44
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
сертификата. После входа на указанную страницу сайта следует открыть содержание
сертификата, скопировать его мышкой и сохранить в файле.
После сохранения файла с сертификатом (напр., certyfikat.crt) создадим из наших файлов архив с
расширением p12 (для безпрепятственного импортирования в IIS). Так же, как и в предыдущих
случаях, воспользуемся библиотекой Openssl.
openssl pkcs12 -export -out klucze.p12 -inkey server.key -in certyfikat.crt
Команда приведет к генерации одного файла klucze.p12, состоящего из закрытого ключа
server.key и сертификата certyfikat.crt нашего сервера. Во время процедуры необходимо ввести
пароль, защищающий наш закрытый ключ и пароль, который будет использован для
экспортирования архивного файла (рекомендуется ввести два одинаковые пароли, но
достаточно сильные):
6.4. Инсталлирование сертификата на сервере
Обязательно необходимо создать специальную консоль для администрирования и управления
сертификатами, находящимися в базе сертификатов компьютера (стандартный визард Windows
соединяется с реестрами определенного пользователя), если же консоль была создана раньше,
тогда она доступна в меню Административные инструменты
С этой целью создание консоли запускаем с командной строки вписывая mmc:
Старт -> Запустить -> вписываем cmd -> вписываем mmc
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
45
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
В открытой консоли выбираем с верхнего меню опцию Добавить/Удалить оснастку или используем комбинацию клавиш ctrl + M:
Выбираем опцию Добавить, после этого оснастку Сертификаты:
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
46
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Выбираем опцию Учетная запись компьютера:
Оставляем настройки по умолчанию (если операция относится к локальному компьютеру):
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
47
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Выбираем хранилище, в которое импортируем сертификат:
Открываем меню Действие, переходим на Все задачи, а потом выбираем команду Импорт
Таким образом запускаем Мастер импорта сертификатов
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
48
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Выбираем файл, который хотим импортировать (вместе с подбором соответственного расширения для файла с ключом):
Вводим пароль, защищающий закрытый ключ, и выбираем опцию, которая, в случае необходимости, позволяет создать резервную копию ключа:
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
49
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Оставляем опцию по умолчанию, благодаря которой сертификат будет помещен в хранилище сертификатов Личный:
Завершаем импортирование резервной копии сертификата сервера с помощью Мастера.
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
50
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Сейчас присваиваем наш сертификат из хранилища в наш конкретный веб-сайт.
Запускаем Internet Information Services:
1. Старт -> Все программы-> Администрационные инструменты-> Информационные услуги в Интернете
или
2. Панель Управления-> Административные инструменты-> Информационные услуги в Интернете
Нажимаем правой клавишей мышки на наш веб-сайт, после этого выбираем Свойства:
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
51
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Из окна Свойства выбираем закладку Безопасность папок и нажимаем на Сертификат сервера... :
Таким образом запускаем Мастер создания сертификатов, который проведет нас через процесс импортирования сертификата:
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
52
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Выбираем опцию Присвоить существующий сертификат:
Выбираем из списка сертификат для нашего многозначного адреса
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
53
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Завершаем работу Мастера:
После конфигурирования сервера DNS для обслуживания нашего поддомена www (если у Вас
нет собственного сервера DNS, сконтактируйтесь с Вашим провайдером и представьте
ситуацию) запускаем Internet Information Services с целью добавления обслуживания поддомена
через сервер:
1. Старт-> Все программы-> Административные инструменты-> Информационные услуги в Интернете
или
2. Панель управления-> Административные инструменты-> Информационные услуги в Интернете
Нажимаем правой клавишей мышки на наш виеб-сайт, после этого выбираем Свойства:
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
54
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Входим в закладку Веб-сайт и выбираем опцию Улучшенные...:
Internet Information Service (IIS) 5.0PL – Сертификаты для многозначных адресов
Версия 1.2
UNIZETO TECHNOLOGIES SA ©
55
Certum – Открытый Удостоверяющий Центр ssl.certum.ru
Вписываем в Название заголовка хоста адрес нашего поддомена :
Подтверждаем изменения, перезапускаем сервер и ... это уже конец :)
Необходимо помнить о «требовании» шифрованных сессий в опциях сервера – это описано в
пункте 2 (Свойства страницы -> Безопасность папок-> Поле: Безопасное соединение->
Изменить -> Требовать безопасный канал (SSL) и Требовать 128- битное шифрование).