4.5.2 Реализация PKI в Internet Information Server

Certificate Services и создание сертификата для защиты трафика IIS (Internet Information Server), утилита SSL Diagnostics

Как уже говорилось, сертификаты в IIS обычно используются для двух целей - шифрования передаваемых данных (протокол SSL) и аутентификации клиентов. Вначале мы рассмотрим реализацию шифрования данных по протоколу SSL в Internet Information Server.

Для того, чтобы можно цифровать данные, передаваемые между клиентом и сервером, необходимо привязать к Web-серверу (или его части, например, виртуальному каталогу) цифровой сертификат. Сам IIS генерировать сертификаты не умеет. Сертификат можно заказать либо у внешнего органа сертификации - одного из тех, кто перечислен в Internet Explorer, например, для работы в Интернет, либо сгенерировать самостоятельно. Для генерации сертификатов и пар общий/личный ключ используется специальный продукт, который можно установить как дополнительный компонент Windows 2000/2003 (или NT 4.0 Option Pack) - Certificate Services. После его установки вся работа с Certificate Authority по заказу и установки сертификатов выполняется через Web-интерфейс (со страницы http://имя_компьютера/certsrv на вашем Web-сайте. Управление установленными на компьютере сертификатами выполняется через Internet Explorer (та же самая кнопка Certificates на вкладке Content). Управление самим Certificate Authority (например, утверждение выдачи сертификатов) - при помощи специальной консоли MMC Certification Authority. Настройка использования сертификатов в IIS - через консоль IIS Manager, свойства Web-сайта (виртуального каталога) -> вкладка Directory Security, раздел Secure communications. При этом для того, чтобы задействовать сертификат на уровне виртуального каталога, необходимо вначале установить его на уровне Web-сайта.

Конечно же, если вы самостоятельно сгенерировали сертификат в своем собственном CA, то это CA не появится автоматически в списке доверенных органов сертификации на клиентах. При обращении к защищенному таким образом Web-сайту клиентам будут выдаваться предупреждающие сообщения. Чтобы они перестали появляться, необходимо добавить сертификат самого CA с список доверенных органов сертификации на всех клиентах. Это можно сделать вручную (при помощи Internet Explorer), при помощи групповых политик или при помощи утилиты командной строки из Resource Kit, которая называется winhttpcertcfg.exe (на компакт-диске в каталоге IIS Protection\Administration.

При обращении клиентов к защищенному Web-сайту адрес в адресной строке броузера должен начинаться с https://. Если щелкнуть на изображение замка в нижней правой части экрана, можно получить информацию об используемом в процессе шифрования цифровом сертификате.

Если по каким-то причинам у клиентов возникают проблемы с обращением на Web-сайт по SSL, то для целей диагностики можно использовать утилиту от Microsoft, которая называется SSL Diagnostics (она есть на компакт-диске). Эта утилита показывает протокол взаимодействия по SSL и те проблемы, которые при этом возникают.

Получить учебные материалы по этому курсу