Сертификаты SSL для серверов IIS 5.0

КАК ОФОРМИТЬ ЗАПРОС, УСТАНОВИТЬ И ПРОВЕРИТЬ СЕРТИФИКАТ SSL
Компания Netscape разработала протокол SSL (Secure Sockets Layer) для защиты каналов связи Internet. SSL можно использовать для шифрования почтовых сообщений и файлов, а также для повышения безопасности Web-узлов, на которых реализованы базовые методы аутентификации, и шифрования сеансов связи клиентских браузеров с Web-серверами. Механизм SSL довольно сложен, и более подробную информацию о нем можно получить из статей, перечисленных во врезке "Дополнительная литература".

Зачем защищать узел с помощью протокола SSL? Сайтам электронной коммерции, корпоративным intranet и всем Web-узлам, на которых хранится любая частная информация, сертификат SSL необходим по двум основным причинам: для защиты предприятия и обеспечения безопасности потребителей и пользователей. Цель данной статьи - помочь быстро организовать надежный Web-узел на базе IIS 5.0.

Помните, что одного лишь SSL недостаточно для того, чтобы обезопасить деятельность компании в Internet. SSL можно уподобить обшивке броневика, перевозящего секретные данные. Если защитить с помощью SSL процедуру сбора информации о кредитных картах покупателей, а затем сохранить данные на сервере в простом текстовом файле, то можно лишиться всех преимуществ использования SSL.

ЦЕНА SSL
С какими же расходами связано данное решение? Вероятно, наиболее ощутимой платой будет процессорное время, затрачиваемое на выполнение функций SSL. Для размещения SSL потребуется выполнить минимальную работу по программированию, заполнению форм и составлению сценариев, а внедрить SSL на сайте IIS 5.0 просто (конечно, если предварительно прочитать эту статью).

Таблица 1: Цена сертификатов SSL
Организация, выдающая сертификат	40-разрядный сертификат SSL (на 1 год), долл.	Обновление через год, долл.
VeriSign(http://www.verisign.com)	349	249
SSL.com (http://www.ssl.com)	75	50
Thwate Certification (http://www.thwate.com)	125	100

В Таблице 1 показаны денежные затраты на приобретение 40-разрядного сертификата SSL у некоторых организаций, отвечающих за выдачу сертификатов (Certificate Authority - CA). В продаже имеется более надежное 128-разрядное решение, но за дополнительную защиту придется заплатить более высокую цену. Сертификаты VeriSign - очень дорогие, но это самая известная организация, которой я доверяю защиту данных, своих и компании. Еще один веский довод в пользу крупной организации - совместимость ее сертификатов с большинством браузеров. Чтобы увидеть список CA, которые распознает и которым автоматически доверяет Microsoft Internet Explorer (IE) 5.0, выберите пункт Internet Options из меню Tools. Щелкните на разделе Certificates под закладкой Content. На закладках Intermediate Certification Authorities и Trusted Root Certification Authorities диалогового окна Certificates приведены списки CA. На Рисунке 1 показана закладка Trusted Root Certification Authorities.

Рисунок 1.

КАК ЗАПРОСИТЬ СЕРТИФИКАТ
Выбрав CA, можно приступить к процедуре генерации запроса на утверждение сертификата (certificate signing request - CSR). Сначала нужно открыть диспетчер служб Internet Services Manager (ISM) в папке Administrative Tools системы Windows 2000. Щелкните правой кнопкой мыши на Web-узле, для которого требуется создать CSR, и выберите пункт Properties, как показано на Рисунке 2. Выбрав закладку Directory Security, нужно щелкнуть в разделе Server Certificate для запуска мастера Web Server Certificate Wizard, который проведет вас по шести следующим этапам:

Рисунок 2.

1. На первом экране следует выбрать функцию создания нового сертификата.

2. Укажите имя сертификата и длину (в разрядах) ключа шифрования. Имя служит для опознавания и может быть любым, но должно описывать Web-узел. Его назначение заключается в том, чтобы отличить данный сертификат от любых других, имеющихся у вас сертификатов. По умолчанию длина ключа составляет 512 бит, но я рекомендую использовать не менее 1024 разрядов. VeriSign также рекомендует применять 1024-разрядные ключи, поскольку в прошлом 512-разрядные уже взламывались. Более подробно об уязвимости 512-разрядных ключей можно прочитать по адресу http://www.verisign.com/cus/srv/faq/512/index.html.

3. Укажите название организации и подразделения. Как и имя сертификата, эти описатели удобны, если нужно управлять множеством сертификатов. Используйте в названиях буквы, цифры и пробелы; избегайте таких символов, как запятая и точка с запятой.

4. Укажите стандартное имя (common name - CN) Web-узла. Введите URL, по которому пользователи получают доступ к сайту. Например, стандартное имя узла Amazon.com - www.amazon.com. Если сайт представляет собой интрасеть, и в локальной сети используется NetBIOS, то стандартным именем может быть просто intranet. Главное требование - ввести именно то имя, с помощью которого пользователи будут обращаться к сайту.

5. Укажите город и штат. Введите полные названия - некоторые CA не распознают двухсимвольных обозначений штатов.

6. И, наконец, выберите имя файла (обычно IIS 5.0 предполагает, что файлы сертификатов имеют расширение .cer) и место для хранения CSR, щелкните на кнопке Next, а затем на кнопке Finish, чтобы генерировать CSR-файл.

В CSR-файле в зашифрованном виде записана вся только что введенная информация. Более подробно о процедуре создания CSR рассказывается в статье "Generating Certificate Request File Using the Certificate Wizard IIS 5.0" (http://support.microsoft.com/support/kb/articles/q228/8/21.asp).

Теперь осталось лишь представить CSR в CA.
Предупреждение: при подаче заявки на сертификат SSL компании может понадобиться идентификационный номер от Dun & Bradstreet. Этот номер служит доказательством, что компания действительно зарегистрирована в качестве корпорации. Если номера нет, то для получения сертификата следует выбрать статус некоммерческой организации. Может потребоваться информация о том, как связаться с получателем сертификата и, вероятно, резервный вариант связи, а также номер кредитной карты или счета на услуги. После того, как будет представлена вся необходимая информация, если не возникнет никаких проблем с выполнением и оплатой заказа, сертификат пересылается заказчику по электронной почте в течение одного-семи дней.

КАК УСТАНОВИТЬ СЕРТИФИКАТ
Полученный сертификат безопасности необходимо сохранить на локальном диске или защищенном сетевом узле, где к нему можно обратиться с Web-сервера. Запустите, как прежде, мастер Web Server Certificate Wizard. На этот раз сервер IIS 5.0 <помнит>, что CSR был создан, и спрашивает, следует ли обработать или удалить предстоящий запрос, как показано на Рисунке 3. Выберите пункт Process the pending request and install the certificate ("Обработать предстоящий запрос и установить сертификат"). После этого необходимо ввести информацию о местонахождении сертификата. По умолчанию "мастер" ищет файл с расширением .cer, но вполне подойдет и файл .txt. На рисунке 4 показана следующая страница мастера. Более подробное объяснение процесса установки приводится в статье "Installing a New Certificate with Certificate Wizard for Use in SSL/TLS" (http://support.microsoft.com/support/kb/articles/q228/8/36.asp).

Рисунок 3.

9 приемов создания эффективных интернет-приложений

Билла Скотта. Основными составляющими для приличного Ajax-приложения Билл считает следующие: Делайте приложение интерактивным в себе. Обрабатывайте данные прямо на странице вместо того, чтобы передавать их с одной страницы на другую. Помещайте инструменты так близко к объектам редактирования, как только возможно. Делайте их завлекающими. Используйте всплывающие подсказки чтобы пригласить пользователя на следующий уровень взаимодействия с приложением

(Рас)плата за клик

Нам, живущим в мелкой и теплой водичке российского интернета, пишущим письма, ищущим информацию и изредка создающим свои контент-проекты, зачастую невидимы и неведомы глубинные тренды, на самом деле формирующие лицо современного Интернета. И замечаем мы их, когда они уже выходят на поверхность например, когда в результате противостояния спаммеров и антиспаммеров процент писем, которые доходят до адресатов, начинает катастрофически падать, и люди снова начинают использовать факсы (!)

Аккуратный HTML

Любая работа должна быть выполнена аккуратно и красиво. Особенно если ее могут увидеть много людей. А это напрямую касается разработки сайтов, и в частности некоторых технологий, используемых при этом HTML и CSS. Просматривая страницы в Интернете мы, как правило, не смотрим в код HTML. Да и зачем это нужно обычному пользователю? Но часто бывает важно взглянуть на код, чтобы составить некоторое впечатление о создателях этого веб-сайта

Рисунок 4.

Пришло время провести решающую проверку: введите https://common_name в браузере и убедитесь, что Web-узел откликается на запрос SSL. Если испытание прошло без накладок, то принимайте поздравления с успешной установкой сертификата SSL на сервере IIS 5.0.

Если сайт не отвечает, то проверьте, открыт ли порт 443 Web-сервера для обмена данными SSL. Проверить и изменить этот параметр можно, воспользовавшись закладкой Web Site диалогового окна Properties Web-узла. Кроме того, щелкните в разделе View Certificate диалогового окна Properties на закладке Directory Security, дабы убедиться, что установлен действительный сертификат SSL. Если получены сообщения об ошибках, в которых указывается, что сертификат недействителен или имя сайта не соответствует сертификату, необходимо проверить системные время и дату (браузеры сравнивают время годности сертификата с показателями системных часов), и убедиться, что стандартное имя, использованное для создания CSR, совпадает с именем доступа к сайту.

ОТВЕТЫ НА ВОЗМОЖНЫЕ ВОПРОСЫ ЧИТАТЕЛЕЙ
Предлагаю вашему вниманию ответы на пару вопросов о сертификатах, которые мне часто задавали в прошлом. Если доступ к сайту возможен по нескольким различным именам в DNS с использованием записей CNAME, то нет необходимости покупать и устанавливать несколько сертификатов; для каждого Web-узла достаточно одного. В действительности, IIS 5.0 допускает использование лишь одного сертификата для каждого сайта. Однако если на сервере размещено несколько защищенных Web-узлов, то для каждого из них потребуется свой сертификат SSL. HTTP-трафик, посланный по нескольким записям CNAME, указывающим на один IP-адрес, будет доставлен без проблем, но SSL-трафик безошибочно дойдет до адресата только в том случае, если он отправлен по стандартному имени (CN), указанному в сертификате. Например, директиву POST, указывающую на /scripts/purchase.asp, следует заменить на https://common_name/scripts/purchase.asp.

Если в представленном запросе CSR допущена ошибка, или необходимо заменить IIS 4.0 с SSL на IIS 5.0 с SSL, то, вероятно, потребуется новый сертификат, но возможно, платить за него не придется. Позвоните в CA и попросите о помощи. По-видимому, CA аннулирует старый или неверный сертификат и предложит оформить новый, скорее всего на Web-узле CA, с использованием специального кода, позволяющего обойти операцию оплаты.

Secure Sockets Layer (SSL) - сложный предмет. Перечисленные ниже материалы помогут лучше понять протокол:

• Allen Jones, "SSL DEmystified", December 2000, InstantDoc ID 16047, http://www.win2000mag.com.
• SSL.com (http://www.ssl.com/developers/fag).
• Статья Microsoft "Description of the Secure Sockets Layer (SSL) Handshake" (http://support.microsoft.com/support/kb/articles/q257/5/91.asp?ln=en-us&sd-so&fr=0).

Автор: Крис Лер
Источник: http://www.brainbuzz.com/