Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Сертификаты IIS6  (Прочитано 17992 раз)
0 Пользователей и 4 Гостей смотрят эту тему.
yudjin
Помогающий

ua
Offline Offline
Пол: Мужской

« : 01-12-2010 08:41 » 

День добрый. Развернул сайт на сервере IIS6, в сетке гуляет хорошо. Наружу смотрит через 443 порт. Должен смотреть, но увы.
По имени снаружи пингуется нормально, но доступа по https нет. В IIS не силен, все что делал - для сайта указал SSL-порт 443, в Directory Security создал сертификат, как указано тут http://www.youtube.com/watch?v=7QPjXzVcvfI.
Подключиться по https не выходит...
Цитата
Internet Explorer не может отобразить эту веб-страницу

Когда хожу напрямую http://cdr.citynet.kharkov.ua:443/
Возникает ошибка 504
Цитата
ReadResponse() failed: The server did not return a response for this request. 

Что делать?

« Последнее редактирование: 01-12-2010 08:44 от yudjin » Записан
baldr
Команда клуба

cy
Offline Offline
Пол: Мужской
Дорогие россияне


WWW
« Ответ #1 : 01-12-2010 09:07 » 

yudjin, логи смотреть? Логи есть как у самого IIS, так и системные..
Записан

Приличный компьютер всегда будет стоить дороже 1000 долларов, потому что 500 долларов - это не вполне прилично
yudjin
Помогающий

ua
Offline Offline
Пол: Мужской

« Ответ #2 : 01-12-2010 09:25 » 

 В системных тишина, а в журнале IIS запросы только по 80 приходят.
Походу сертификат не сгенерился - кнопка "просмотр сертификата" не доступна
« Последнее редактирование: 01-12-2010 09:36 от yudjin » Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #3 : 01-12-2010 09:37 » 

на сервере

netstat -an
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
yudjin
Помогающий

ua
Offline Offline
Пол: Мужской

« Ответ #4 : 01-12-2010 09:39 » 

Делал:
Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:443            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:1433           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:6161           0.0.0.0:0              LISTENING
  TCP    0.0.0.0:47001          0.0.0.0:0              LISTENING
  TCP    10.0.0.58:139          0.0.0.0:0              LISTENING
  TCP    10.0.0.58:2327         64.214.231.160:80      CLOSE_WAIT
  TCP    10.0.0.58:2439         10.0.3.155:445         ESTABLISHED
  TCP    10.0.0.58:3389         10.0.3.132:1143        ESTABLISHED
  TCP    127.0.0.1:1434         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:5152         0.0.0.0:0              LISTENING
  TCP    127.0.0.1:5152         127.0.0.1:1523         CLOSE_WAIT
  TCP    127.0.0.1:30523        0.0.0.0:0              LISTENING
  UDP    0.0.0.0:445            *:*
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:4500           *:*
  UDP    0.0.0.0:15000          *:*
  UDP    10.0.0.58:123          *:*
  UDP    10.0.0.58:137          *:*
  UDP    10.0.0.58:138          *:*
  UDP    127.0.0.1:123          *:*
  UDP    127.0.0.1:2449         *:*

TCP    0.0.0.0:443            0.0.0.0:0              LISTENING
Это же оно?

IIS'ом я сгенерил ключ, а как теперь получить сертификат .cer?
Пробовал утилитой selfssl генерить, но выдает ошибку "Error opening site metabase key: 0x80070003"
« Последнее редактирование: 01-12-2010 09:54 от yudjin » Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #5 : 01-12-2010 10:00 » 

Класс!!!
у тебя MSSQL смотрит наружу...
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
yudjin
Помогающий

ua
Offline Offline
Пол: Мужской

« Ответ #6 : 01-12-2010 10:03 » 

 TCP    0.0.0.0:1433           0.0.0.0:0              LISTENING
Это? Да я ваще-то не часто администрирую сервера... Но в базу MS SQL еще ж попасть надо? Все таки авторизация

PS:
Класс!!!
у тебя MSSQL смотрит наружу...
Как сказали админы, наружу на эту машину проброска на единственный порт 443, так что все нормально Улыбаюсь
« Последнее редактирование: 01-12-2010 10:48 от yudjin » Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #7 : 01-12-2010 10:07 » 

telnet server 443
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
yudjin
Помогающий

ua
Offline Offline
Пол: Мужской

« Ответ #8 : 01-12-2010 10:12 » 

Прослушивать telnet-ом тоже пробовал... Я не могу сертификат создать - может в этом проблема?
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #9 : 01-12-2010 10:14 » new

увы, никогда не пользовал, не помогу.
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
yudjin
Помогающий

ua
Offline Offline
Пол: Мужской

« Ответ #10 : 01-12-2010 10:57 » 

Формирование сертификата сервера
Требования
Для выполнения задачи по установке и настройке SSL необходимо чтобы:
• выполняющий настройку пользователь входил в группу Администраторов на Web-сервере;
• были установлены IIS Manager (IIS.MSC) и Мастер сертификатов Web-сервера.
Чтобы создать запрос на сертификат сервера:
1. В стартовом меню Windows (пункт Start/Пуск) либо на Рабочем столе выберите пункт My computer/Мой компьютер и щелкните правой кнопкой мыши для вызова контекстного меню. Выберите опцию Manage/Управление.
2. В открывшемся окне дважды щелкните на пункте Services and Applications/Службы и приложения, а затем — дважды щелкните на пункте Internet Information Services (IIS) Manager/Службы IIS.
3. Правой кнопкой мыши щелкните на Web-сайте, на котором будет установлен сертификат сервера, и в контекстном меню выберите пункт Properties/Свойства.
4. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке Server Certificate…/Сертификат сервера… для запуска мастера сертификатов.
5. В мастере сертификатов Web-сервера щелкните на кнопке Next>/Далее>. Выберите опцию переключателя Create a new certificate/Создать новый сертификат и еще раз щелкните на кнопке Next>/Далее>.
6. Выберите опцию переключателя Prepare the request now, but send it later/Подготовить запрос сейчас, но отправить позже и щелкните на кнопке Next>/Далее>.
7. Укажите параметры сертификата:
• В поле Name/Имя введите имя, удобное для запоминания. По умолчанию здесь прописывается имя Web-сайта, для которого вы создаете запрос.
• Укажите длину сертификата в битах. Длина ключа шифрования в битах определяет уровень шифрования. Большинство ЦС требуют, чтобы минимальная длина ключа была 1 024 бита.
8. Щелкните на кнопке Next>/Далее>. В секции Organization/Организация введите сведения об организации и организационной единице. Убедитесь, что данные об организации верны, а в полях отсутствуют запятые и еще раз щелкните на кнопке Next>/Далее>.
9. В секции Your Site's Common Name/Общее имя узла введите имя компьютера (хоста) с доменным именем и щелкните на кнопке Next>/Далее>.
10. Введите географические данные и щелкните на кнопке Next>/Далее>.
11. Сохраните файл в текстовом формате (*.TXT). По умолчанию файл сохраняется со следующим местоположением и именем: C:\CERTREQ.TXT.
12. Подтвердите содержание запроса, щелкнув на кнопке Next>/Далее>, а затем — Finish/Готово.

Развертывание центра сертификации
Используя службы сертификации (Certificate Services) ОС Windows можно локально создать центр сертификации, который будет осуществлять прием запросов на сертификат, верификацию информации, указанной в запросе и идентификацию инициатора запроса, выдачу сертификатов и пр.
Чтобы установить центр сертификации на сервере, где уже установлен Windows 2003 Server Standard Edition:
1. В стартовом меню Windows выберите опцию Control Panel > Add or Remove Programs / Панель управления > Установка и удаление программ. В открывшемся окне щелкните на кнопке Add/Remove Windows Components/Добавление и удаление компонентов Windows для инициализации мастера установки Windows-компонентов:
2. Выберите компонент Certificate Services/Службы сертификации. Выдается предупреждение о невозможности после установки сервиса переименования сервера и изменения его домена.
3. Щелкните на кнопке Yes/Да чтобы продолжить установку, а затем на кнопке Next>/Далее>.
4. Выберите опцию Stand-alone root CA/Изолированный корневой ЦС.
5. Если вы желаете изменить параметры шифрования, заданные по умолчанию, отметьте флажок Use custom settings to generate the key pair and CA certificate/Использовать специальные параметры для генерации пары ключей и сертификата ЦС.
6. Щелкните на кнопке Next>/Далее>.
7. Если вы выбрали изменение заданных по умолчанию параметров шифрования, вы можете задать следующие параметры: провайдер криптографических услуг (CSP), алгоритм хеширования, использование существующего ключа, длина ключа и пр. По окончании изменения настроек по умолчанию щелкните на кнопке Next>/Далее>.
8. Введите имя центра сертификации и укажите его срок действия. Щелкните на кнопке Next>/Далее>.
9. Укажите папку для хранения сертификатов и щелкните на кнопке Next>/Далее>. Если сервис IIS запущен, появится уведомление о необходимости остановки сервиса. В этом случае щелкните на кнопке OK.
10. При необходимости, укажите путь к инсталляционным файлам служб сертификации.
11. По окончании установки щелкните на кнопке Finish/Закрыть.

Отправка запроса на сертификат сервера
После создания сертификата, его необходимо отправить в центр сертификации.
1. Скопируйте содержимое TXT-файла запроса, созданного на предыдущем этапе в буфер обмена.
2. В Web-браузере (Internet Explorer) введите адрес http://hostname/CertSrv, где hostname — имя компьютера, на котором установлены Службы сертификации (см. раздел «Развертывание центра сертификации» ниже для получения информации).
3. Выберите опцию Request a certificate/Запросить сертификат и щелкните на кнопке Next>/Далее>.
4. В окне Choose Request Type/Выбор типа запроса выберите опцию Advance request/Дополнительные параметры запроса и щелкните на кнопке Next>/Далее>
5. Установите курсор в поле Base64 Encoded Certificate Request (PKCS #10 or #7) и вставьте (<Ctrl+V>) в него скопированное содержимое запроса на сертификат из буфера обмена.
6. В списке Certificate Template/Шаблон сертификата выберите опцию Web Server.
7. Щелкните на кнопке Submit/Послать.
8. После получения сертификата из центра сертификации перейдите к процедуре установки сертификата на Web-сервере.
Выдача сертификата
После установки центра сертификации можно производить выдачу сертификатов по запросам на сертификаты. Для этого:
1. В стартовом меню Windows (Start/Пуск) выберите Administrative Tools/Администрирование и запустите оснастку Центр сертификации (Certification Authority Tool).
2. Раскройте свой центр сертификации и выберите папку Pending Requests/Запросы в ожидании.
3. Выберите запрос на сертификат, посланный вами (как описано в разделе «Отправка запроса на сертификат сервера»).
4. В меню Actions/Действие выберите All Tasks>Issue /Все задачи/Выдать.
5. Убедитесь, что сертификат появился в папке Issued Certificates/Выданные сертификаты и щелкните на нем дважды для просмотра.
6. На закладке Details/Подробно выберите опцию Copy to File/Копировать в файл и сохраните сертификат как Base-64 encoded X.509 сертификат.
7. Закройте окно со свойствами сертификата и выйдите из оснастки Центр сертификации.
Установка и проверка сертификата на Web-сервере
Чтобы установить сертификат на Web-сервере:
1. Скопируйте файл сертификата (.CER) в папку C:\WINDOWS\SYSTEM32\CERTLOG.
2. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.
3. Дважды щелкните на Web-сайте, на который необходимо установить сертификат сервера, и выберите опцию Properties/Свойства.
4. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке Server Certificate…/Сертификат сервера… для запуска мастера сертификатов.
5. В мастере сертификатов Web-сервера щелкните на кнопке Next>/Далее>. Выберите опцию переключателя Process the pending request and install the certificate/Выполнить ожидающий запрос и установить сертификат и еще раз щелкните на кнопке Next>/Далее>.
6. Перейдите к сертификату, полученному из ЦС, два раза щелкните на кнопке Next>/Далее>, а затем на кнопке Finish/Готово.

Проверка новых настроек
Выполните следующую процедуру для проверки правильности настроек безопасности, установленных на компьютере:
1. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.
2. Дважды щелкните на Web-сайте, к которому приписан сертификат сервера, и выберите опцию Properties/Свойства.
3. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке View Certificate…/Просмотреть сертификат… для просмотра сертификата, а затем щелкните два раза на кнопке OK для выхода из окна.
Введение требования подключений SSL на Web-сервере и их включение
После установки сертификата сервера необходимо ввести требование SSL-подключений, а затем включить подключения SSL на Web-сервере.

Примечание
После включения требования SSL-соединения с вашим Web-сервером, все ссылки на этот сервер необходимо обновить, используя в них https вместо http.

Для выполнения задачи по введению требования и включению SSL подключений необходимо чтобы:
• выполняющий настройку пользователь входил в группу Администраторов на Web-сервере;
• был установлен IIS Manager (IIS.MSC).
Чтобы ввести требование SSL-подключений:
1. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.
2. Дважды щелкните на Web-сайте, на котором необходимо ввести подключения SSL, и выберите опцию Properties/Свойства.
3. Перейдите на закладку Directory Security/Безопасность каталогов и в секции Secure Communications/Защита обмена данными щелкните на кнопке Edit…/Изменить….
4. Отметьте опцию Require secure channel (SSL)/Необходим безопасный канал (SSL), выберите степень шифрования и щелкните на кнопке OK.

Примечание
Если указывается 128-битное шифрование, то компьютеры клиентов, в которых используется 40-битное или 56-битное шифрование, не смогут подключиться к данному узлу, пока не будет произведена модернизация Web-браузеров до версий, поддерживающих 128-битное шифрование.

Чтобы включить подключения SSL на Web-сервере:
1. В стартовом меню Windows (пункт Start/Пуск) выберите опцию Control Panel > Administrative Tools / Панель управления > Администрирование и дважды щелкните на пункте Internet Information Services (IIS) Manager/Диспетчер служб IIS.
2. Дважды щелкните на Web-сайте, на котором будут включены подключения SSL, и выберите опцию Properties/Свойства.
3. Перейдите на закладку Web Site/Веб-узел и в секции Web site identification/Идентификация веб-узла убедитесь, чтоб в поле SSL Port/Порт SSL введено значение 443.
4. Щелкните на кнопке Advanced…/Дополнительно…. Обычно появляются два окна, причем IP-адрес и порт Web-сайта приведены в окне Multiple SSL identities for this Web site/SSL-удостоверения данного веб-узла.
5. Если порта 443 еще нет в списке, щелкните на кнопке Add…/Добавить… под этим окном. Выберите IP-адрес сервера, введите численное значение 443 в поле SSL Port/Порт SSL и щелкните на кнопке OK.
Проверка новых настроек
Выполните следующую процедуру для проверки правильности настроек безопасности, установленных на компьютере:
1. Откройте Web-браузер и попытайтесь подключиться в Web-серверу при помощи стандартного префикса протокола http://. Например, в адресную строку введите http://localhost и нажмите на <Enter>.
Если введено требование подключения по протоколу SSL, возникает следующее сообщение об ошибке:
(в английской версии браузера) The page must be viewed over a secure channel. The page you are trying to access is secured with Secure Sockets Layer (SSL).
(в русской версии браузера) Страница должна просматриваться по безопасному каналу. Страница, к которой производится попытка подключения, защищена протоколом SSL.
2. Попробуйте подключиться к странице еще раз, используя префикс безопасного протокола https://. Например, в адресную строку введите https://localhost и нажмите на <Enter>.
Обычно при этом появляется установленная по умолчанию страница указанного Web-сервера.

Взято с http://www.gotdotnet.ru/forums/4/92102/437546/#post437546
Записан
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines