Формирование сертификата сервераТребования
Для выполнения задачи по установке и настройке SSL необходимо чтобы:
• выполняющий настройку пользователь входил в группу Администраторов на Web-сервере;
• были установлены IIS Manager (IIS.MSC) и Мастер сертификатов Web-сервера.
Чтобы создать запрос на сертификат сервера:
1. В стартовом меню Windows (пункт Start/Пуск) либо на Рабочем столе выберите пункт My computer/Мой компьютер и щелкните правой кнопкой мыши для вызова контекстного меню. Выберите опцию Manage/Управление.
2. В открывшемся окне дважды щелкните на пункте Services and Applications/Службы и приложения, а затем — дважды щелкните на пункте Internet Information Services (IIS) Manager/Службы IIS.
3. Правой кнопкой мыши щелкните на Web-сайте, на котором будет установлен сертификат сервера, и в контекстном меню выберите пункт Properties/Свойства.
4. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке Server Certificate…/Сертификат сервера… для запуска мастера сертификатов.
5. В мастере сертификатов Web-сервера щелкните на кнопке Next>/Далее>. Выберите опцию переключателя Create a new certificate/Создать новый сертификат и еще раз щелкните на кнопке Next>/Далее>.
6. Выберите опцию переключателя Prepare the request now, but send it later/Подготовить запрос сейчас, но отправить позже и щелкните на кнопке Next>/Далее>.
7. Укажите параметры сертификата:
• В поле Name/Имя введите имя, удобное для запоминания. По умолчанию здесь прописывается имя Web-сайта, для которого вы создаете запрос.
• Укажите длину сертификата в битах. Длина ключа шифрования в битах определяет уровень шифрования. Большинство ЦС требуют, чтобы минимальная длина ключа была 1 024 бита.
8. Щелкните на кнопке Next>/Далее>. В секции Organization/Организация введите сведения об организации и организационной единице. Убедитесь, что данные об организации верны, а в полях отсутствуют запятые и еще раз щелкните на кнопке Next>/Далее>.
9. В секции Your Site's Common Name/Общее имя узла введите имя компьютера (хоста) с доменным именем и щелкните на кнопке Next>/Далее>.
10. Введите географические данные и щелкните на кнопке Next>/Далее>.
11. Сохраните файл в текстовом формате (*.TXT). По умолчанию файл сохраняется со следующим местоположением и именем: C:\CERTREQ.TXT.
12. Подтвердите содержание запроса, щелкнув на кнопке Next>/Далее>, а затем — Finish/Готово.
Развертывание центра сертификации
Используя службы сертификации (Certificate Services) ОС Windows можно локально создать центр сертификации, который будет осуществлять прием запросов на сертификат, верификацию информации, указанной в запросе и идентификацию инициатора запроса, выдачу сертификатов и пр.
Чтобы установить центр сертификации на сервере, где уже установлен Windows 2003 Server Standard Edition:
1. В стартовом меню Windows выберите опцию Control Panel > Add or Remove Programs / Панель управления > Установка и удаление программ. В открывшемся окне щелкните на кнопке Add/Remove Windows Components/Добавление и удаление компонентов Windows для инициализации мастера установки Windows-компонентов:
2. Выберите компонент Certificate Services/Службы сертификации. Выдается предупреждение о невозможности после установки сервиса переименования сервера и изменения его домена.
3. Щелкните на кнопке Yes/Да чтобы продолжить установку, а затем на кнопке Next>/Далее>.
4. Выберите опцию Stand-alone root CA/Изолированный корневой ЦС.
5. Если вы желаете изменить параметры шифрования, заданные по умолчанию, отметьте флажок Use custom settings to generate the key pair and CA certificate/Использовать специальные параметры для генерации пары ключей и сертификата ЦС.
6. Щелкните на кнопке Next>/Далее>.
7. Если вы выбрали изменение заданных по умолчанию параметров шифрования, вы можете задать следующие параметры: провайдер криптографических услуг (CSP), алгоритм хеширования, использование существующего ключа, длина ключа и пр. По окончании изменения настроек по умолчанию щелкните на кнопке Next>/Далее>.
8. Введите имя центра сертификации и укажите его срок действия. Щелкните на кнопке Next>/Далее>.
9. Укажите папку для хранения сертификатов и щелкните на кнопке Next>/Далее>. Если сервис IIS запущен, появится уведомление о необходимости остановки сервиса. В этом случае щелкните на кнопке OK.
10. При необходимости, укажите путь к инсталляционным файлам служб сертификации.
11. По окончании установки щелкните на кнопке Finish/Закрыть.
Отправка запроса на сертификат сервера
После создания сертификата, его необходимо отправить в центр сертификации.
1. Скопируйте содержимое TXT-файла запроса, созданного на предыдущем этапе в буфер обмена.
2. В Web-браузере (Internet Explorer) введите адрес
http://hostname/CertSrv, где hostname — имя компьютера, на котором установлены Службы сертификации (см. раздел «Развертывание центра сертификации» ниже для получения информации).
3. Выберите опцию Request a certificate/Запросить сертификат и щелкните на кнопке Next>/Далее>.
4. В окне Choose Request Type/Выбор типа запроса выберите опцию Advance request/Дополнительные параметры запроса и щелкните на кнопке Next>/Далее>
5. Установите курсор в поле Base64 Encoded Certificate Request (PKCS #10 or #7) и вставьте (<Ctrl+V>) в него скопированное содержимое запроса на сертификат из буфера обмена.
6. В списке Certificate Template/Шаблон сертификата выберите опцию Web Server.
7. Щелкните на кнопке Submit/Послать.
8. После получения сертификата из центра сертификации перейдите к процедуре установки сертификата на Web-сервере.
Выдача сертификата
После установки центра сертификации можно производить выдачу сертификатов по запросам на сертификаты. Для этого:
1. В стартовом меню Windows (Start/Пуск) выберите Administrative Tools/Администрирование и запустите оснастку Центр сертификации (Certification Authority Tool).
2. Раскройте свой центр сертификации и выберите папку Pending Requests/Запросы в ожидании.
3. Выберите запрос на сертификат, посланный вами (как описано в разделе «Отправка запроса на сертификат сервера»).
4. В меню Actions/Действие выберите All Tasks>Issue /Все задачи/Выдать.
5. Убедитесь, что сертификат появился в папке Issued Certificates/Выданные сертификаты и щелкните на нем дважды для просмотра.
6. На закладке Details/Подробно выберите опцию Copy to File/Копировать в файл и сохраните сертификат как Base-64 encoded X.509 сертификат.
7. Закройте окно со свойствами сертификата и выйдите из оснастки Центр сертификации.
Установка и проверка сертификата на Web-сервере
Чтобы установить сертификат на Web-сервере:
1. Скопируйте файл сертификата (.CER) в папку C:\WINDOWS\SYSTEM32\CERTLOG.
2. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.
3. Дважды щелкните на Web-сайте, на который необходимо установить сертификат сервера, и выберите опцию Properties/Свойства.
4. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке Server Certificate…/Сертификат сервера… для запуска мастера сертификатов.
5. В мастере сертификатов Web-сервера щелкните на кнопке Next>/Далее>. Выберите опцию переключателя Process the pending request and install the certificate/Выполнить ожидающий запрос и установить сертификат и еще раз щелкните на кнопке Next>/Далее>.
6. Перейдите к сертификату, полученному из ЦС, два раза щелкните на кнопке Next>/Далее>, а затем на кнопке Finish/Готово.
Проверка новых настроек
Выполните следующую процедуру для проверки правильности настроек безопасности, установленных на компьютере:
1. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.
2. Дважды щелкните на Web-сайте, к которому приписан сертификат сервера, и выберите опцию Properties/Свойства.
3. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке View Certificate…/Просмотреть сертификат… для просмотра сертификата, а затем щелкните два раза на кнопке OK для выхода из окна.
Введение требования подключений SSL на Web-сервере и их включение
После установки сертификата сервера необходимо ввести требование SSL-подключений, а затем включить подключения SSL на Web-сервере.
Примечание
После включения требования SSL-соединения с вашим Web-сервером, все ссылки на этот сервер необходимо обновить, используя в них https вместо http.
Для выполнения задачи по введению требования и включению SSL подключений необходимо чтобы:
• выполняющий настройку пользователь входил в группу Администраторов на Web-сервере;
• был установлен IIS Manager (IIS.MSC).
Чтобы ввести требование SSL-подключений:
1. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.
2. Дважды щелкните на Web-сайте, на котором необходимо ввести подключения SSL, и выберите опцию Properties/Свойства.
3. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке Edit…/Изменить….
4. Отметьте опцию Require secure channel (SSL)/Необходим безопасный канал (SSL), выберите степень шифрования и щелкните на кнопке OK.
Примечание
Если указывается 128-битное шифрование, то компьютеры клиентов, в которых используется 40-битное или 56-битное шифрование, не смогут подключиться к данному узлу, пока не будет произведена модернизация Web-браузеров до версий, поддерживающих 128-битное шифрование.
Чтобы включить подключения SSL на Web-сервере:
1. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.
2. Дважды щелкните на Web-сайте, на котором будут включены подключения SSL, и выберите опцию Properties/Свойства.
3. Перейдите на закладку Web Site/Веб-узел и в секции Web site identification/Идентификация веб-узла убедитесь, чтоб в поле SSL Port/Порт SSL введено значение 443.
4. Щелкните на кнопке Advanced…/Дополнительно…. Обычно появляются два окна, причем IP-адрес и порт Web-сайта приведены в окне Multiple SSL identities for this Web site/SSL-удостоверения данного веб-узла.
5. Если порта 443 еще нет в списке, щелкните на кнопке Add…/Добавить… под этим окном. Выберите IP-адрес сервера, введите численное значение 443 в поле SSL Port/Порт SSL и щелкните на кнопке OK.
Проверка новых настроек
Выполните следующую процедуру для проверки правильности настроек безопасности, установленных на компьютере:
1. Откройте Web-браузер и попытайтесь подключиться в Web-серверу при помощи стандартного префикса протокола http://. Например, в адресную строку введите
http://localhost и нажмите на <Enter>.
Если введено требование подключения по протоколу SSL, возникает следующее сообщение об ошибке:
(в английской версии браузера) The page must be viewed over a secure channel. The page you are trying to access is secured with Secure Sockets Layer (SSL).
(в русской версии браузера) Страница должна просматриваться по безопасному каналу. Страница, к которой производится попытка подключения, защищена протоколом SSL.
2. Попробуйте подключиться к странице еще раз, используя префикс безопасного протокола https://. Например, в адресную строку введите
https://localhost и нажмите на <Enter>.
Обычно при этом появляется установленная по умолчанию страница указанного Web-сервера.
Взято с
http://www.gotdotnet.ru/forums/4/92102/437546/#post437546