Раздел: Документация

0 ... 77 78 79 80 81 82 83 ... 154

4. Вам будет предложено экспортировать файл сертификата вместе с соответствующим закрытым ключом или без него (рис. 6-26). Чтобы экспортировать закрытый ключ, щелкните Yes (Да); в противном случае — No (Нет). Щелкните Next.

Экспортирование закрытого ключа

jwrputte j ««чи мщи1№5ралэн. &япвы ипитч пронжеети экспорт эшдодо кггеча мйй) с сертификатом, ивсбдадикга указать парень а

g ОД экспортировать эагфьЯЪ* клеч . г Н£г, не успортйрсадть закрытый*п№

g Цаз*яI3 , jj

--НИ-- n- :, j.1.,, -j.--—-i—„-1

Рис. 6-26. Мастер Certificate Export Wizard (Мастер экспорта сертификатов)

5.В следующембудет предложено выбрать формат экспортируемого файла. Формат по умолчанию вполне подойдет; запомните его и щелкните Next.

6.При экспортировании закрытого ключа вам

задать пароль для файла сертификата. Введите в соответствующие поля пароль и его подтверждение, затем щелкните Next (Далее).

7.Укажите имя экспортируемого файла. Кроме того, можно щелкнуть Browse (Обзор) и задать путь и имя файла R диалоговом окне Save As (Сохранить как).

8.Щелкните Next и затем — Finish (Готово). Щелкните ОК. чтобы подтвердить успешное экспортирование сертификата. Дважды щелкните ОК, чтобы вернуться к оснастке Internet Information Services.

---

Игнорирование, принятие и требование клиентских сертификатов

Клиентские сертификаты позволяют пользователям подтверждать свою подям.....>ст1, с помощью Web-браузера. Такие

сертификаты можно применять при наличии внешнего защищенного Web-узла, например случае со кпешпел <л"и.ю. Если Web-узел принимает или требует клиентские сертификаты, можно сконфигурировать сопоставления, егбегнечшш-ющие управление доступом к ресурсам на основе клиентских сертификатов. Клиентский сертификат может сопоставляться конкретной учетной записи Windows методом «один к одному» или в соответствии с заданными адмииистрато-ром правилами.

По умолчанию IIS принимает и требует клиентских сертификатов, но это можно изменить. Помните: принятие

клиентских сертификатов не то же самое, что требование их

предоставления. Если узел требует предоставлять клиентские сертификаты, к нему можно обращаться только по защищенным SSL-подключениям, обычный HTTP-доступ невозможен. Если же узел лишь принимает, но не требует клиентские сертификаты, к нему можно обращаться как по протоколу HTTP, так и по

Политика узла в отношении клиентских сертификатов оп-так.

1.В оснастке Internet Information Services щелкните значок Web-узла правой кнопкой и выберите в контекстном меню команду Properties (Свойства).

2.Перейдите на вкладку Directory Security (Безопасность каталога) и в группе Secure Communications (Безопасные подключения) щелкните Edit (Изменить). Откроется диалоговое окно Secure Communications (Безопасные подключения) (рис. 6-27).

3.Чтобыприменение SSL (и исключить использованиеподключений), пометьте флажок Require Secure Channel (Требуется безопасный канал). Если на сервере установлена и включена поддержка 128-разрядного шифрования, можно также пометить флажок Require 128-bit Encryption (Требуется 128-и разрядное шифрование).

---

:L..„ . ...JL , . .

r принимать сертификаты •

сертй*Ш№к клиенте®

Г fasppuiitb сопоставление гаршФлатае илиекгое Сда«ча*.эты квдет»1«.-сопостввйяпля с

1

"3

к ЬУ ~1 Jfol. J ртавч

Рис. 6-27. Диалоговое окно Secure Communications (Безопасные подключения)

4.В группе Client Certificates (Сертификаты клиентов) поставьте переключатель в нужное положение — Ignore client certificates (игнорировать сертификаты клиентов), Accept client certificates (принимать сертификаты) или Require client certificates (требован, сертификаты клиентов).

Примечание Требовать клиентские сертификаты можно, только если сервер также требует использования безопасных SSL-подключений. В связи с этим следует пометить и флажок Require Secure Channel (Требуется безопасный канал).

5.Для сопоставления uvineincKiix сертификатов учетным записям пользователей Windows пометьте флажок Enable Client Certificate Mapping (Разрешить сопоставление сертификатов клиентов) и щелкните Edit (Изменить). В открывшемся диалоговом окне Account Mappings (Сопоставление с учетными записями) сконфигурируйте сопоставление сертификатов.

6.Чтобы принимать лишь клиентские сертификаты, выданные определенными СА, пометьте флажок Enable Certificate Trust List (Включить список домеренных сертификатов) и щелкните New (Создать). Запустится мастер

0 ... 77 78 79 80 81 82 83 ... 154