Шифрование

Настройка параметров SSL

После установки сертификата пользователи могут работать через безопасное соединение. По умолчанию веб-сайт не требует безопасных соединений. Примите решение о применении такого соединения ко всему сайту или только к конкретному каталогу. Шифрование снижает производительность сайта, поэтому безопасное соединение требуется для работы с теми каталогами, которым это необходимо.

Выберите любую из следующих опций.

• Enable encryption on the entire site or individual directories (Включить шифрование для всего сайта или для отдельных каталогов).
• Require 128-bit encryption (Требовать 128-битное шифрование) (если оставить эту опцию отключенной, то будет разрешено 40-битное шифрование).
• Ignore, accept if offered, or require client certificates (Игнорировать, принимать, если предлагаются, или требовать сертификаты клиентов).
• Enact certificate mapping (Требовать связывание сертификатов).
• Use client trust lists (Использовать перечни доверия клиентов).

Сертификат для веб-сайта настраивается в окне Secure Communications (Безопасные соединения).

1. Откройте оснастку IIS MMC.
2. Щелкните на виртуальном сайте, где установлен сертификат.
3. Щелкните правой кнопкой мыши на виртуальном узле при настройке сертификатов для всего сайта целиком либо щелкните правой кнопкой мыши на папке при настройке сертификатов только для определенного каталога. Выберите Properties (Свойства).
4. В окне свойств откройте вкладку Directory Security (Безопасность каталога).
5. В окне Secure Communications (Безопасные соединения) (см. рис. 10.7) отметьте опцию Enable Client Certification (Включить сертификаты клиентов) и нажмите на кнопку Edit (Изменить). В появившемся окне настраиваются параметры сертификатов.

Рис. 10.7. Окно Secure Communications (Безопасные соединения)

В окне Secure Communications включите опцию Require Secure Channel (SSL) (Требовать безопасный канал (SSL)) для выполнения обязательного шифрования. Можно затребовать 128-битное шифрование, отметив соответствующую опцию. В этом случае веб-сервер будет устанавливать соединение только с теми браузерами, которые поддерживают 128-битное шифрование. Если выбрать опцию Require Client Certificates (Требовать сертификаты клиентов) в области Client Certificates (Сертификаты клиентов), то всем посетителям, не имеющим сертификата клиента, будет отказано в доступе. С помощью сертификатов клиентов нельзя будет осуществлять какой-либо контроль доступа до тех пор, пока вы не настроите связывание сертификатов или перечни доверия сертификатов.

Связывание сертификатов клиентов с учетными записями пользователей

Настроив в IIS связывание сертификатов, можно связать сертификат клиента с определенной учетной записью пользователя, либо связать с одной учетной записью пользователя группу сертификатов, соответствующую определенному критерию.

Связь "один ко многим"

Связь "один ко многим" сравнивает сертификат, передаваемый пользователем, с сертификатом, сохраненным на сервере. В случае их совпадения аутентификация завершается успешно. С помощью сертификатов клиентов сервер осуществляет аутентификацию клиентов, поэтому данный вариант целесообразен при отсутствии анонимного доступа к сайту. При создании клиентом нового сертификата с такой же информацией он не сможет пройти аутентификацию через ту же самую связь "один к одному" поскольку новый сертификат не будет соответствовать сертификату на сервере. Связь "один к одному" следует создать заново из нового сертификата.

Для применения связи "один к одному" нужно экспортировать сертификаты клиентов из бюро сертификатов. Это делается в консоли Certification Authority (Бюро сертификатов).

1. Выберите команду Start\Administrative Tools\Certification Authority (Пуск\Администрирование\Бюро сертификатов).
2. В оснастке Certification Authority (Бюро сертификатов) выберите Issued Certificates (Выпущенные сертификаты).
3. Щелкните правой кнопкой мыши на сертификате, который требуется экспортировать, и выберите All Tasks\Export Binary Data (Все задачи\Экспорт двоичных данных).
4. В диалоговом окне Export Binary Data (Экспорт двоичных данных) выберите в ниспадающем списке пункт Binary Certificate (Двоичный сертификат) (он включен по умолчанию).
5. Выберите переключатель Save Binary Data To A File (Сохранить двоичные данные в файл).
6. Присвойте файлу информативное имя, например, имя пользователя.
7. Сохраните файл в доступном для веб-сервера месте либо на гибком диске.
8. Нажмите на кнопку Save (Сохранить).

После экспортирования сертификата настройте в IIS связь "один к одному".

1. Откройте консоль IIS MMC с помощью выбрав Start\Administrative Tools\Internet Information Services (IIS) Manager (Пуск\Администрирование\Диспетчер IIS).
2. Откройте окно свойств веб-сайта, для которого настраивается связь сертификата клиента, щелкнув правой кнопкой мыши на сайте и выбрав Properties (Свойства).
3. В окне свойств откройте вкладку Directory Security (Безопасность каталога).
4. В области Secure Communications (Безопасные соединения) нажмите на кнопку Edit (Изменить).
5. В окне Secure Communications (Безопасные соединения) отметьте опцию Enable Client Certificate Mapping (Включить связи сертификатов клиентов), после чего нажмите на кнопку Edit (Изменить).
6. В окне Account Mappings (Связи учетной записи) откройте вкладку "1-to-1" (Один к одному) (она открывается по умолчанию).
7. Нажмите на кнопку Add (Добавить).
8. В окне Open (Открыть) перейдите к каталогу с сохраненным экспортированным сертификатом и выделите его.
9. Нажмите на кнопку Open (Открыть).
10. В окне Map To Account (Связать с учетной записью) присвойте связи информативное имя.
11. Нажмите на кнопку Browse (Обзор) для выбора учетной записи, с которой нужно установить связь.
12. Выберите учетную запись, нажмите на кнопку OK, и эта запись появится в окне Map To Account (Связать с учетной записью).
13. Введите пароль учетной записи.
14. Нажмите на кнопку OK.
15. Подтвердите пароль.
16. Нажмите на кнопку OK.