Лабораторная работа 4.4 Применение сертификатов в IIS

Сертификаты и защита средствами SSL Web-сайта на сервере IIS (Internet Information Server), установка Certificate Services, создание сертификата, добавление центра сертификации (Certificate Authority) в список доверенных

Задание:

1) Создайте в каталоге C:\Inetpub\wwwroot подкаталог Lab4_4, затем создайте в нем любой текстовый файл, введите в нем какой-либо текст и переименуйте этот файл в default.htm.

2) Установите у себя на компьютере Certificate Services.

3) Получите при помощи Certificate Services цифровой сертификат.

4) При помощи этого цифрового сертификата защитите созданный вами виртуальный каталог таким образом, чтобы весь трафик при обращении к этому виртуальному каталогу шифровался при помощи SSL.

5) Обратитесь на свой виртуальный каталог с виртуального компьютера VMWare под управлением Windows 98 и при помощи Network Monitor убедитесь, что весь трафик действительно шифруется.

Примечание. Этот пункт рекомендуется делать по инструкции в ответах, поскольку необходимо внести изменения в настройки сети на виртуальном компьютере Windows 98.

6) При обращении с виртуального компьютера Windows 98 на ваш Web-сайт появляется предупреждающее сообщение о невозможности проверки сертификата. Сделайте так, чтобы это сообщение больше не появлялось.

Решение:

К пункту 2 - установка Certificate Services:

1) После создания виртуального каталога (см. лаб 4.2) откройте в панели управления консоль Add/Remove Programs и нажмите на кнопку Add/Remove Windows Components.

2) В списке компонентов установите флажок напротив Certificate Services, нажмите Yes в окне предупреждающего сообщения, а затем нажмите на Next.

3) На экране CA Type выберите Stand-alone root CA.

4) На экране CA Identifying Information в поле Common name for this CA введите имя вашего компьютера, остальные значения оставьте без изменений. На остальных экранах оставьте значения по умолчанию. В ответ на предупреждения о необходимости рестарта IIS и включения ASP нажимайте Yes.

К пункту 3 - получение сертификата:

1) После окончания установки Certificate Services откройте Internet Explorer и в адресной строке введите http://localhost/certsrv, а затем нажмите на Enter. Откроется страница Microsoft Certificate Services. Нажмите на ссылку Request a certificate.

2) На странице Request a certificate выберите ссылку Advanced Certificate Request.

3) На странице Advanced Certificate Request выберите ссылку Create and Submit a request to this CA.

4) На следующем экране заполните все поля в группе Identifying Information (значения можно придумать). В поле Name обязательно введите имя вашего компьютера.  В поле Type of Certificate Needed выберите Server Authentification Certificate, в разделе Key Options установите флажок Store Certificate in the local computer certificate store. Оставьте в остальных полях значения по умолчанию и нажмите на кнопку Submit, затем нажмите на Yes в окне подтверждения.

5) Откройте консоль Certification Authority в Administrative Tools. Раскройте в этой консоли узел вашего компьютера, затем узел Pending Requests, выберите ваш запрос (он должен быть единственным), щелкните по строке запроса правой кнопкой мыши и в контекстном меню выберите All Tasks -> Issue.

6) Раскройте узел Issued Certificates, дважды щелкните по нему правой кнопкой мыши и просмотрите информацию по выпущенному вами сертификату.

7) Вернитесь в Internet Explorer на адрес http://localhost/certsrv и нажмите на ссылку View a status of a pending certificate request. На следующей странице щелкните по строке вашего запроса, и на странице Certificate Issued щелкните по ссылке Install this Certificate, а затем нажмите на Yes в окне подтверждения. После появления сообщения о том, что сертификат успешно установлен, закройте окна Internet Explorer и Certification Authority.

К пункту 4 - использование цифрового сертификата для защиты виртуального каталога:

1) Откройте IIS Manager и раскройте в нем узел вашего компьютера -> Web Sites. Щелкните правой кнопкой мыши по объекту Default Web Site (не виртуального каталога!) и в контекстном меню выберите Properties. Перейдите на вкладку Directory Security и нажмите на кнопку Server Certificate. Откроется Web Server Certificate Wizard. На первом его экране нажмите Next.

2) На экране Server Certificate установите переключатель в положение Assign an existing certificate.

3) На экране Available Certificates выберите полученный вами сертификат.

4) На экране SSL Port оставьте порт по умолчанию (443). Далее нажмите Next, а затем - Finish. Затем на вкладке Directory Security нажмите на кнопку OK.

5) Откройте свойства виртуального каталога Lab4_4 и перейдите на вкладку Directory Security. В группе Secure Communications нажмите на кнопку Edit и в окне Secure Communications установите флажок Require secure channel (SSL) (не устанавливайте флажок Require 128-bit encryption). Нажмите два раза кнопку OK.

6) В окне Internet Explorer обратитесь по адресу http://имя_вашего_компьютера/lab4_4. Должно появиться сообщение об ошибке 403.4 Forbidden - SSL is required.

7) В окне Internet Explorer обратитесь по адресу https://имя_вашего_компьютера/lab4_4, а затем нажмите на OK в окне подтверждения. Откроется созданный вами текстовый файл. Щелкните два раза мышью по иконке с замком в правой нижней части экрана и просмотрите информацию об используемом сертификате.

К пункту 5 - проверка применения цифрового сертификата при помощи виртуального компьютера:

1) В окне Network Connections (меню Start -> Settings -> Network Connections) включите сетевые адаптеры VMWare (они были отключены на предыдущих лабораторных).

2) Запустите виртуальный компьютер VMWare под управлением Windows 98 и произведите Ping на IP-адрес сетевого интерфейса VMWare вашего компьютера, чтобы убедиться, что между реальным и виртуальным компьютером есть сетевое соединение.

3) В виртуальном компьютере Windows 98 щелкните правой кнопкой мыши по иконке Internet Explorer на рабочем столе и в контекстном меню выберите Свойства. Перейдите на вкладку Подключение и нажмите на кнопку Настройка сети. Снимите флажок "Использовать прокси-сервер" (этот флажок остался с предыдущих лабораторных).

4) В виртуальном компьютере Windows 98 щелкните правой кнопкой мыши по иконке "Сетевое окружение", в контекстном меню выберите Свойства, на вкладке Сеть выберите TCP/IP и нажмите на кнопку Свойства. Перейдите на вкладку Конфигурация DNS и переставьте переключатель в положение "Отключить DNS". Перезагрузите виртуальный компьютер Windows 98 и ping на имя вашего компьютера Windows 2003, чтобы убедиться, что разрешение имени проходит успешно.

5) На компьютере Windows 2003 запустите Network Monitor, в меню Capture выберите Network, разверните узел Local Computer и выберите сетевой адаптер VMNet1. Нажмите OK, а затем в меню Capture выберите Start, чтобы начать захват пакетов.

6) В виртуальном компьютере Windows 98 откройте Internet Explorer и обратитесь по адресу

https://имя_вашего_компьютера_Windows_2003/lab4_4

Откроется окно подтверждения, в котором будет сообщено, что выдавшее сертификат CA не находится в списке доверенных. Нажмите на Yes, чтобы получить доступ к вашей странице.

7) В Network Monitor в меню Capture выберите Stop and View и просмотрите захваченные пакеты.

К пункту 6 - добавление сертификата CA на клиентский компьютер:

1) На компьютере Windows 2003 запустите консоль Certification Authority, щелкните правой кнопкой мыши по иконке вашего компьютера и в контекстном меню выберите Properties.

2) На вкладке General выберите единственный сертификат самого CA и нажмите на кнопку View Certificate.

3) Перейдите на вкладку Details свойств сертификата и нажмите на кнопку Copy to file. Откроется окно мастера экспорта сертификатов. На его первом экране нажмите на кнопку Next.

4) На экране Export File Format оставьте значение по умолчанию (DER encoded binary X.509) и нажмите Next.

5) На экране File to Export введите полный путь к создаваемому файлу, например,

C:\MyRootCert.cer. На следующем экране нажмите на кнопку Finish, а затем OK - в окне результатов экспорта.

6) Скопируйте файл сертификата на виртуальный компьютер Windows 98 (по сети или просто путем перетаскивания).

7) На виртуальном компьютере Windows 98 откройте Internet Explorer, в меню "Сервис" выберите "Свойства обозревателя" и перейдите на вкладку "Содержание". Нажмите на кнопку "Сертификатов..." и перейдите на вкладку "Доверенные корневые центры сертификации". Нажмите на кнопку "Импорт". Откроется мастер импорта сертификатов. На его первом экране нажмите на кнопку Далее.

8) На экране "Выберите импортируемый файл" нажмите на кнопку "Обзор", в списке "Тип файлов" выберите "Сертификат X.509" и найдите скопированный вами файл сертификата. Нажмите на кнопку "Открыть", а затем - "Далее".

9) На экране "Выберите хранилище сертификатов" оставьте переключатель в положении "Автоматически выбрать хранилище на основе типа сертификата" и нажмите "Далее", а затем - "Готово". Закройте Internet Explorer.

10) На виртуальном компьютере Windows 98 завершите сеанс текущего пользователя (чтобы избавиться от всех кэшированых данных), войдите заново и еще раз обратитесь в Internet Explorer по адресу

https://имя_вашего_компьютера_Windows_2003/lab4_4

Никаких предупреждений о недоверии CA теперь выдаваться не будет.

По окончании лабораторной работы выключите виртуальный компьютер Windows 98.

Получить учебные материалы по этому курсу