При постоянных угрозах нападения на ваш сервер критически важно, чтобы вы защищали все свои вебузлы — даже те, что находятся у вас в сети Интранет. К счастью, использование возможностей протокола защищенных сокетов (Secure Sockets Layer (SSL)) на веб-узлах относительно просто и, что еще более важно, обеспечивает связь по защищенным сетям между клиентами и серверами.
Чтобы продемонстрировать, как вы можете защитить свои веб-узлы с помощью SSL, мы проделаем следующее:
• Опишем преимущества использования SSL.
• Обсудим связь между SSL и сертификатами.
• Познакомим вас с процессом запроса сертификата и включения SSL на веб-узле.
Любое взаимодействие, которое осуществляется через сетевой кабель, является ли оно внутренним или внешним по отношению к вашей организации, уязвимо по отношению к перехвату и, в конечном счете, к утечке информации. Тогда как обеспечение безопасности связи через общедоступный Интернет является разумной практикой деловых отношений, те же меры защиты необходимы и внутри организации.
В связи с тем, что все больше и больше предприятий реализуют ценовые преимущества виртуализации аппаратного обеспечения, в этой статье мы сосредоточимся на демонстрации обеспечения защиты с помощью административного веб-узла виртуального сервера (Virtual Server Administration Website). Как вы знаете, административный узел виртуального сервера (Virtual Server Administration Website) позволяет устанавливать, настраивать, администрировать и удаленно управлять вашими виртуальными серверами. В ближайшее время вы узнаете, что SSL может без труда укрепить безопасность этого узла.
Вкратце об SSL
Разработанный в Netscape, Протокол защищенных сокетов (SSL) является протоколом, который шифрует сообщения между веб-сервером и веб-клиентом. Большинство интернет-магазинов, например, используют SSL для обеспечения шифрования персональных данных, а также информации кредитных карт клиентов прежде, чем они будут переданы по Интернету. Вы можете легко идентифицировать веб-узел, который использует SSL, по блокировке (замку), которая появляется в окне браузера и префиксу адреса https:// (в отличии от http://). Рисунок А иллюстрирует эти элементы в Internet Explorer 7, работающем под Windows Vista.
Главное преимущество SSL по сравнению с другими технологиями шифрования, например IPSec, заключается в том, что SSL требует аутентификации только сервера, но не его клиентов. То есть, как будет описано позже в этой статье, вы должны конфигурировать только свой информационный сервер Интернет (IIS) с сертификатом, а не своих клиентов. Используя IPSec, с другой стороны, вы должны конфигурировать аутентификацию для своих клиентов и своего сервера.
Совет. Если вы хотите гарантировать подлинность своих клиентов, то можете сконфигурировать веб-узел с включенным SSL, чтобы требовать сертификаты клиентов.
SSL и сертификаты
Для реализации SSL на веб-узле вы должны сконфигурировать свой веб-сервер с сертификатом. Если хотите использовать ssl сертификат для шифрования сообщений в Интранет, то можете использовать Службу сертификации Windows Server 2003 для предоставления такого сертификата. С другой стороны, если хотите задействовать SSL на общедоступном веб-узле, то должны использовать сторонний центр сертификатов, например VeriSign (http://www.verisign.com) или Thawte (http:// www.thawte.com).
Сконфигурируйте сертификат сервера IIS
Как уже говорилось ранее, ваш первый шаг в обеспечении безопасности веб-узлов с помощью SSL состоит в том, чтобы запросить и установить сертификат на своем сервере IIS. В нашем примере мы хотим сконфигурировать SSL так, что сможем обеспечить защиту административного узла виртуального сервера (Virtual Server Administration Website). Мы можем использовать свои собственные внутренние службы сертификации сервера для предоставления такого сертификата.
Чтобы запросить сертификат для IIS на своем виртуальном сервере:
1. На своем виртуальном сервере выберите «Администрирование» (Administrative Tools) I «Диспетчер служб IIS» (Internet Information Services (IIS) Manager).
2. На дереве консоли разверните узел своего сервера и затем папку «Веб-узлы» (Web Sites).
3. Щелкните правой кнопкой мыши на веб-узле «Виртуальный сервер» (Virtual Server) и выберите «Свойства» (Properties).
4. В диалоговом окне «Свойства» (Properties) щелкните на закладке «Безопасность каталога» (Directory Security).
5. Щелкните по кнопке «Сертификат сервера» (Server Certificate), чтобы запустить Мастер сертификатов IIS (IIS Certificate Wizard).
6. Выберите кнопку опции «Создание нового сертификата» (Create A New Certificate), как показано на Рисунке В.
7. Используя Таблицу А в качестве справки, ответьте на подсказки, которые представляет Мастер сертификатов IIS (IIS Certificate Wizard).
8. Закройте диалоговое окно «Свойства виртуального сервера» (Virtual Server Properties), но оставьте в работе «Диспетчер служб IIS» (Internet Information Services (IIS) Manager).
Для отправки запроса на получение сертификата серверу службы сертификатов:
1. Откройте Internet Explorer и подключитесь к вебузлу службы сертификации (http://certificate_server_ пате/сеrtsrv); щелкните по ссылке «Запрос сертификата» (Request A Certificate).
2. На странице «Запрос сертификата» (Request А Certificate) щелкните по ссылке «Расширенный запрос сертификата» (Advanced Certificate Request).
3. Нажмите на ссылку «Выдать запрос, используя base-64-шифрованный файл PKCS #10» (Submit А Certificate Request By Using A Base-64-Encoded CMC Or PKCS #10 File) или «Выдать запрос обновления, используя base-64-шифрованный файл PKCS #7» (Submit A Renewal Request By Using A Base-064-Encoded PKCS #7 File).
4. Используя Блокнот (Notepad), откройте файл запроса сертификата, который вы создали в предыдущей процедуре (X:\certreq.txt), а затем выберите и скопируйте его содержимое, как показано на Рисунке С.
5. Вставьте скопированный запрос на получение сертификата в текстовое окно «Base-64-шифрованный запрос сертификата (СМС или PKCS #10 или PKCS #7)» (Base-64-Encoded Certificate Request (CMC Or PKCS#10 Or PKCS #7)), как показано на Рисунке D.
6. Щелкните по кнопке «Отправить» (Submit), чтобы отправить запрос на получение сертификата для вашего сервера IIS на свой сервер сертификационной службы.
Для установки сертификата на вашем веб-сервере:
1. На web-странице «Сертификат выдан» (Certificate Issued) убедитесь, что выбран пункт «DER-кодировка» (DER Encoded), и затем щелкните по ссылке «Загрузить сертификат» (Download Certificate).
2. В диалоговом окне «Загрузка файла» (File Download) щелкните по кнопке «Сохранить» (Save). При получении подсказки сохраните сертификат как X:\Certnew.cer.
3. Щелкните по ссылке «Просмотреть состояние запроса на сертификат в ожидании» (View The Status Of A Pending Certificate Request).
4. Перейдите назад к Диспетчеру служб IIS (Internet Information Services (IIS) Manager) и откройте диалоговое окно свойств для вебузла виртуального сервера.
5. Выберите закладку «Безопасность каталога» (Directory Security) и затем щелкните по элементу «Сертификат сервера» (Server Certificate).
6. Используя Таблицу В в качестве руководства, завершите страницы в Мастере «Начало работы мастера сертификатов web-сервера» (Welcome То The Web Server Certificate Wizard). Оставьте диалоговое окно «Свойства виртуального сервера» (Virtual Server Properties) открытым.
Включите SSL на вебузле
Теперь, когда вы запросили и установили сертификат для IIS на своем виртуальном сервере, вы готовы к конфигурированию SSL на его администрируемом вебузле (administration website). Для этого просто измените свойства его веб-узла.
Для запроса SSL при доступе к виртуальному серверу:
1. В диалоговом окне «Свойства виртуального сервера» (Virtual Server Properties), внутри Диспетчера сервера IIS (Internet Information Services (IIS) Manager), убедитесь, что выбрана закладка «Безопасность каталога» (Directory Security).
2. В разделе «Безопасные подключения» (Secure Communications) щелкните по кнопке «Редактировать (Изменить)» (Edit).
3. Установите флажок «Требуется безопасный канал (SSL)» (Require Secure Channel (SSL)), как показано на Рисунке Е.
4. Если пожелаете, сделайте отметку во флаговой кнопке «Требуется 128-разрядное шифрование» (Require 128-bit Encryption); щелкните по кнопке ОК.
5. Закройте диалоговое окно «Свойства виртуального сервера» (Virtual Server Properties).
Для подключения к веб-узлу администрирования виртуального сервера с использованием SSL:
1. Используя Internet Explorer, соединитесь с https:/ IFQDN_of_virtual_server/VirtualServer/vsvrebapp.exe.
2. В ответ на запрос введите свое имя пользователя и пароль, а затем щелкните по кнопке ОК.
3. Теперь вы подключены к веб-узлу администрирования виртуального сервера (Virtual Server Administration Website), использующему SSL.
4. Вы больше не видите предупреждающее сообщение в нижней части каждой web-страницы, напоминающее вам о реализации SSL на веб-узле виртуального сервера.