Защитите свои веб-серверы с помощью SSL

Опубликовано: 12 Апреля, 2023

Как работает SSL


SSL использует цифровые сертификаты, выданные действующим центром сертификации (ЦС), для аутентификации обеих сторон транзакции (клиента и сервера). Если веб-сервер настроен на использование безопасных соединений, он будет отклонять незащищенные запросы. Чтобы подключиться к защищенной странице, клиент использует https:// в начале URL-адреса вместо http://.



Примечание:
Если некоторые компоненты на странице используют http:// в своих ссылках, посетители получат сообщение о том, что некоторые элементы на странице не защищены. Этого можно избежать, используя https:// для всех ссылок или используя относительный путь, который не содержит «http» или «https».


Когда браузер клиента инициирует безопасное соединение, происходит «рукопожатие» SSL. Браузер проверяет сертификат, чтобы подтвердить подлинность сервера, действительность центра сертификации и подтвердить, что срок действия сертификата не истек. Затем клиент и сервер согласовывают используемые методы шифрования и ключи.


Когда рукопожатие завершено, создается новый ключ, и этот ключ используется для создания сеансовых ключей, которые сами используются для шифрования остальных сообщений с использованием метода шифрования, согласованного между клиентом и сервером. Сервер аутентифицирует клиента, если сервер настроен на требование аутентификации клиента.


Теперь при отправке HTTP-запроса GET ответы полей формы и программные переменные, помеченные в конце URL-адреса, удаляются из URL-адреса и вставляются в зашифрованный блок данных, который также будет содержать данные, введенные в форму на клиенте. браузер. Ответ от сервера также шифруется, когда он возвращается клиенту.


Как внедрить SSL


Первым шагом в реализации SSL для вашего веб-сайта является получение сертификата SSL от центра сертификации, который выдает сертификаты SSL. SSL-сертификат веб-сервера привязан к его полному доменному имени и IP-адресу. Вы можете приобрести SSL-сертификаты у Verisign, Thawte, Entrust и других общедоступных поставщиков сертификатов. Сертификаты этих компаний распознаются всеми основными браузерами. Вы также можете получить сертификат в локальном (внутреннем) ЦС.


Чтобы настроить веб-сайт IIS 6.0 (работающий на Windows Server 2003) для использования SSL-шифрования, выполните следующие действия.



  1. Откройте Диспетчер IIS из Программы | Меню инструментов администрирования.
  2. В левой панели консоли разверните узел с именем вашего веб-сервера (в нашем примере CA1), а затем разверните папку «Веб-сайты», как показано на рисунке A.


Изображение 25809
Рисунок A. Разверните папку «Веб-сайты» в диспетчере IIS.



  1. Щелкните правой кнопкой мыши веб-сайт, для которого вы хотите использовать SSL, а затем выберите «Свойства» в контекстном меню. Откроется лист свойств для сайта.
  2. Перейдите на вкладку Безопасность каталога, как показано на рисунке B.


Изображение 25810
Рисунок B: Вкладка «Безопасность каталога»



  1. В разделе «Безопасная связь» нажмите кнопку «Сертификат сервера». Это вызывает мастер сертификатов веб-сервера.
  2. Нажмите кнопку «Далее» на первой странице мастера.
  3. На странице Сертификат сервера вы увидите следующие варианты: Создать новый сертификат, Назначить существующий сертификат, Импортировать сертификат из файла резервной копии Диспетчера ключей, Импортировать сертификат из файла.pfx или Скопировать или переместить сертификат из удаленный сервер к этому сайту. Сделайте соответствующий выбор и следуйте инструкциям.

Чтобы импортировать сертификат, вам необходимо знать:



  • Путь, где хранится сертификат
  • Пароль в файле.pfx.

Чтобы создать новый сертификат, вам необходимо отправить запрос в центр сертификации в вашей сети или подготовить запрос и отправить его вручную в центр сертификации, который не находится в вашей сети. Необходимо ввести URL-адрес веб-сайта, и, если вы собираетесь сделать сайт доступным через Интернет, имя должно совпадать с внешним полным доменным именем сайта. Если сайт будет доступен только пользователям интрасети, вы можете использовать имя NetBIOS.



  1. Если вы создаете новый сертификат, вам необходимо указать свое географическое местоположение (страна, штат/область и город/населенный пункт) на странице «Географическая информация».
  2. Запрос сертификата будет сохранен в виде текстового файла, если вы решили создать запрос вручную и отправить его позже. Введите имя для текстового файла.
  3. Просмотрите информацию о запросе на странице «Сводка файла запроса» и нажмите «Далее», чтобы сгенерировать файл. Вы можете отправить файл по электронной почте в центр сертификации.

Если вы отправляете запрос в локальный ЦС:



  1. Убедитесь, что на странице Порт SSL выбран порт 443.
  2. Выберите CA на странице Choose a Certification Authority.
  3. Просмотрите информацию о запросе и нажмите «Далее», чтобы отправить запрос на странице отправки запроса на сертификат.


Примечание:
Вы можете удалить запрос, повторно запустив Мастер. Просто вернитесь на вкладку «Безопасность каталога» на странице «Свойства» сайта и снова нажмите «Сертификат сервера». Мастер уведомит вас о том, что запрос сертификата находится на рассмотрении, и спросит, хотите ли вы обработать ожидающий запрос и установить сертификат или удалить ожидающий запрос.


Получив сертификат, вы можете защитить с его помощью веб-сайт, выполнив следующие действия:



  1. На вкладке «Безопасность каталога» страницы «Свойства» сайта в разделе «Безопасная связь» нажмите кнопку «Изменить» (обратите внимание, что на этой странице есть три кнопки «Изменить»; обязательно нажмите кнопку в разделе «Безопасная связь»).
  2. Установите флажок «Требовать безопасный канал (SSL)» в верхней части диалогового окна «Безопасная связь». Если вы хотите использовать 128-битное шифрование, установите соответствующий флажок, как показано на рисунке C. Некоторые старые браузеры могут не поддерживать 128-битное шифрование.


Изображение 25811
Рисунок C. Настройте сайт так, чтобы он требовал защищенный канал (SSL)



  1. В разделе «Сертификаты клиентов» выберите, хотите ли вы игнорировать сертификаты клиентов, принимать сертификаты клиентов или требовать сертификаты клиентов (последний вариант наиболее безопасен). Вы также можете сопоставить клиентские сертификаты с учетными записями пользователей Windows здесь и включить список доверия сертификатов. Нажмите OK, когда закончите настройку этих параметров.
  2. Вернитесь на вкладку «Безопасность каталога» в разделе «Аутентификация и контроль доступа» в верхней части страницы и нажмите кнопку «Изменить».
  3. В разделе «Доступ с проверкой подлинности» вы можете указать, требуются ли имена пользователей и пароли для любого или всех следующих методов проверки подлинности: встроенная проверка подлинности Windows, краткая проверка подлинности для серверов домена Windows, обычная проверка подлинности, проверка подлинности.NET Passport. Настроив здесь свои предпочтения, нажмите OK.
  4. Нажмите OK еще раз, чтобы закрыть диалоговые окна и закрыть IIS MMC.

Проверьте соединение


Чтобы убедиться, что ваше SSL-соединение работает, в браузере введите имя сервера (полное доменное имя для веб-сервера в Интернете или имя NetBIOS для сервера в интрасети), поместив https:// в начале URL-адреса. Вы должны получить уведомление о том, что собираетесь просматривать страницы через защищенное соединение. Нажмите «ОК». Должен отображаться защищенный веб-сайт.