Раздел: Документация

0 ... 63 64 65 66 67 68 69 ... 154

SSL-шифрование

В алгоритме для шифровании применится математическое значение, называемое ключом, бел которого прочесть исходные данные

Существует множество методов шифрования для обмена

применяют открытый вания) и закрытый (секретный) ключи, другие - секретные ключи общего пользования, распространяемые между шедшими проверку подлинности системами. В протоколе SSL реализовано шифрование открытого ключа, мб-м-лиия-ющее ключи:

• открытый, доступный любому запросившему его лицу;

•закрытый, известный лишь владельцу;

•секретный общего пользования (ключ сеанса), создаваемый на основе данных открытого и закрытого ключей.

Для Yd.....лоюлпл соединения между клиентом и сервером

IIS применяют компонент шифрования открытого ключа, имеющийся в протоколе SSL. Используйте этот протокол всегда, когда хотите обеспечить дополнительную защиту клиент-серверного обмена информацией. Службу Certificate Services и протокол SSL рекомендуется использовать:

•для удаленного администрирования Web-сервера с помощью Web-узла Administration (Администрирование Web-узла) или страниц администратора;

•при наличии на VVcb-у.чле защищенных областей сважными документами;

•при наличии на Web-узле страниц, собирающих важные

илио посетителях;

•если наЧУоЬ-узле пр......маются заказы натонары и услуги и собираются сведения окартах клиентов.

протоколу SSL клиент подключается к используя URI., начинающийся с Лг//м.//.Обозиаченис https указывает, что браузер пытается установить защищенное соединение с IIS. По умолчанию для SSL-подклточсний предназначен порт 443, но это можно изменить. Настроившись на работу с SSL, помните, что невозможно использовать заголовки узлов. SSL шифрует HTTP-запросы и поэтому не

---

позвпляе! определить нужный клиенту узел на основе имени заголовка узла из зашифрованного запроса.

После того как клиентский браузер подключится к серверу с помощью безопасного URL. сервер переласт ему свой открытый ключ и сертификат. Затем клиент и сервер согласуют уровень шифрования для безопасной связи. Сервер всегда пытается задействовать наивысший поддерживаемый им уровень шифрования. После согласования уровня шифрования клиентский браузер создаст ключ сеанса и с помощью открытого ключа шифрует ею для передачи. Прочитать перехваченное в этот момент сообщение нельзя — извлечь исходные данные позволяет лишь закрытый ключ сервера.

IlS-сервср расшифровывает клиентское сообщение своим закрытым ключом, и в результате создается SSL-сосдинсние между клиентом и сервером.для шифрования пере-

сылаемых между клиентом и сервером данных будет исполь-ключ сеанса.

Итак, SSL-подключение устанавливается в такой последовательности.

1.Клиентский браузер обращается к серверу с помощью безопасного URL.

2.US-сервер передает браузеру свой открытый ключ и сертификат.

3.Клиент и сервер согласуют уровень шифрования для обмена информацией.

4.Клиентский браузер шифрует ключ сеанса открытым ключом сервера и передает зашифрованные данные серверу.

5.US-сервер расшифровывает клиентское сообщение своим закрытым ключом. В итоге создастся SSL-coe.aHiinme между клиентом и сервером.

6.Для шифрования пересылаемых между клиентом и сервером данных применяется ключ сеанса.

SSL-сертификаты

Сертификат можно рассматривать как удостоверение с информацией для идентификации приложения в сети. Сертификаты позволяют пользователям и Web-серверам подтверждать свою подлинность перед установлением соединения.

---

Кроме того, сертификатыключи, необходлмые для

установки SSL-сеансов между сервером и клиентом.

Сертификаты, используемые IIS, Web-браузерами и службами Component Services, обычно соответствуют стандарту Х.509, и потому называются сертификатами Х.509. Существует несколько версий стандарта Х.509, время от времени лополкмсмьх и совершенствуемых. При усчллинкт- соединения используется два типа сертификатов Х.509: клиентские (с идентификационной информацией клиента) и серверные (с идентификационной информацией сервера).

Центр сертификации (Certificate Authority, CA) уполномочен выдавать сертификаты обоих типов и представляет собой доверенный орган, проверяющий личности пользователей, организаций и их серверов, и выдающий сертификаты, которые удостоверяют их личность. Перед выдачей клиентского сертификата СА требует предоставить сведения, иден-

организацию и приложение. Для выдачи серверного сертификата СА требует предоставить сведения, идентифицирующие организацию и сервер.

В этом разделе основное внимание уделено серверным сертификатам. Их можно получить у одного нескольких СА. Если вы используете Certificate Services, организация вправе сама выступать в качестве СА. Поддержка SSL на Web-сервере в этом случае включается так.

L Установите службу Certificate Services на одном из серверов домена и сгенерируйте сертификат корневого СА.

2.Сгенерируйте файлы запроса сертификата для всех размещенных на ваших серверах Web-узлов с уникальными именами. Затем с помощью этих файлов создайте для Web-узлов серверные сертификаты.

3.Установите сертификаты и включите SSL на всех требующих этого Web-узлах.

4.Чтобы клиентские браузеры опознавали сертификат корневого СА и доверяли ему,должны установить этот сертификат в хранилище сертификатов браузера.,

5.Для установки SSL-с о единения используйте URL, начинающиеся с hitps://.

0 ... 63 64 65 66 67 68 69 ... 154