Раздел: Документация

0 ... 64 65 66 67 68 69 70 ... 154

Кроме того, можно обратиться к сторонним СА. Они подтвердят вашу подлинность, и в браузерах уже предустановлены сертификаты множества доверенных СА. Просмотреть список доверенных центров к Microsoft Internet Explorer 5.0 можно так,

1.В меню Tools (Сервис) выберите команду Internet Options (Свойства обозревателя). Откроется одноименное

окно.

2.Перейдите на вкладку Content (Содержание) и щелкните Certificates (Сертификатов). Откроется диалоговое окно Certificates (Сертификаты).

3.Перейдите на вкладку Trusted Root Certification Authorities (Доверенные корневые центры сертификации), где

список доверенных корневых СА.

Поддержка SSL на Web-узле при работе со сторонним СА включается так.

1.Сгенерируйте файлы запроса сертификата для всех размещенных на ваших серверах Web-узлов с уникальным именем.

2.Передайте эти файлы в доверенный сторонний СА, например Entrust, Equifax, Valicert или Verisign. СА обработает запросы и вернет вам сертификаты.

3.Установите сертификаты и включите SSL на всех требующих этого Web-узлах.

4.Теперь для установки SSL-coe ишочпп клиенты смогут задействовать URL, начинающиеся с https://

от типа используемого СА серверными сертификатами управляют вручную с помощью Certificate Services. Срок действия серверного сертификата может закончиться, кроме того, сертификат могут отозвать. Например,, орпппкчшня — поставщик услуг i Мггернетв. выдающая собственные сертификаты, вправе выдавать клиентам сертификаты, действительные в течение года. Это заставит клиентов хотя бы раз в год обновлять сведения сертификата. Кроме того, когда клиент отказывается от услуг, его сертификат отзывается.

---

Стойкость шифра в протоколе SSL

Стойкость шифра SSL-сеанса прямо пропорциональна чис-разрядов в ключе сеанса. Иначе говоря, считается, что ключи с большим числом разрядов безопаснее — их труднее взломать.

Для SSL-сеансов обычно применяются 40- и 128-разрядный уровни шифрования. Первый вариант подходит для большинства ситуаций, включая электронную коммерцию, а к горой — <"к-снс.....tan дополнительную защиту нажных личных

и финансовых сведений клиента. В версиях Microsoft Windows для США реализовано 128-, а в экспортных версиях — 40-разрядное шифрование. Чтобы обновить сервер для 128-разрядного шифрования, установите специальный пакет обновления, распространяемый Microsoft.

Не путайте уровень шифрования SSL-сеансов (стойкость ключа сеанса, выраженная в разрядах) и уровень шифрования SSL-сертификатов (стойкость открытого и закрытого ключей сертификата, выраженная в разрядах). Обычно длина ключа шифрования, открытого или закрытого, составляет 512 или 1 024 разряда. Внутренние американские и экспортные версии большинства приложений и ОС поддерживают ключи шифрования длиной 512 разрядов. Ключи длиной 1 024 и более разрядов во многих случаях не поддерживаются.

Когда пользователь пытается установить SSL-соединение с Web-сервером, клиентский браузер и сервер на основе своихшифрования определяютвозможный уровень шифрования. Если длина ключей шифрования 512 разрядов, используется 40-разрядное, если 1 024 -разрядное шифрование. Также доступны другие длины ключей и уровни шифрования.

Служба Microsoft Certificate Services

Служба Microsoft Certificate Services позволяет предоставлять и отзывать цифровые сертификаты, с помощью которых можно создавать SSL-сеансы и подтверждать подлинность узла интрасети, внешней сети, а также Интернета.

---

Общий обзор

Certificate Services — это служба Windows, выполняющаяся на выделенном сервере сертификатов. Вот список возможных серверов:

•корневой СА предприятия находится в корне иерархии домена Windows, этот наиболее доверенный СА в пределах предприятия должен обладать доступом к службе Active Directory;

•дочерний СА предприятия состоит в иерархии имеющегося СА, может выдавать сертификаты, но должен получить собственный сертификат СА у корневого СА предприятия;

•автономный корневой СА находится в корне иерархии, не связанной с предприятием; он наиболее доверенный в иерархии и не требует доступа к Active Directory;

•автономный дочерний СА состоит:; не связанной с иред-приятием иерархии, может выдавать сертификаты, но должен получить собственный сертификат СЛ у автономного корневого СА своей иерархии.

На сервере. не зе>язет::лы должна выполнять-

ся только Certificate Services, на нем вполне можно публиковатьОднако в домене рекомендуется выделить специальные серверы сертификатов, не используемые для иных целей. Переименовать компьютер, на котором уетанов-

лена служба Certificate Services, нельзя. Нельзя изменить и

его членство в домене.

Для управленияSert ice:- служат ot паез кя Certifi-

cation Authority (Центр сертификации) и Web-приложение на основе ASP-страниц, которое можно открыть в обычном браузере. Оснастка позволяет полностью управлять службой Certificate Services, а Web-приложение - получать списки отозванных сертификатов (certificate revocation lists, CRL), отправлятьиналичие поступивших зап-

росов иа сертификаты.

Рассмотрим главное окно оснастки Certification Authority (Центр сертификации) (рис. 6-1). Узел корневого СА содержит 4 вложенных узла, в которых хранятся:

0 ... 64 65 66 67 68 69 70 ... 154