|
WWW-/SSL-сервер |
  
|
|
WWW-/SSL-сервер |
|
WWW HTTP-сервер, если порт не занят, запустится автоматически и никаких особых настроек не потребует.
Для SSL необходимы сертификаты. Сертификат нужен серверу для организации шифрования данных в рамках SSL. Реализация SSL поддерживает работу только с серверным сертификатом; сертификаты со стороны пользователя игнорируются.
Серверные сертификаты должны находиться в системном хранилище Windows. При запуске SSL-сервер просматривает все имеющиеся подходящие сертификаты, а если их нет - запуск не произведется.
Статус SSL-сервера и общее количество подходящих сертификатов можно посмотреть на главной странице службы.
Traffic Inspector имеет свое издательство сертификатов, и проще всего использовать его. Дальнейшее в этом разделе можно не читать.
Для просмотра содержимого системного хранилища сертификатов имеется специальная оснастка MMC-консоли. Откройте пустую консоль (mmc.exe) и добавьте оснастку "Сертификаты". При добавлении будет запрос, какое хранилище открывать. Следует выбрать системное (Local System). Откроется дерево хранилища, сертификаты с приватными ключами находятся в персональном разделе (Personal/Certificates). Сохраните оснастку - в дальнейшем она понадобится.
Сертификат должен удовлетворять следующим требованиям:
| • | Иметь приватный ключ. |
| • | Атрибут Key Usage должен быть Digital Signature, Key Encipherment (0xa0). |
| • | Должен быть Enhanced Key Usage вроде Server Authentication (1.3.6.1.5.5.7.3.1). |
| • | Иметь валидные даты действия, т.е. не быть просроченным, и срок начала его действия должен уже наступить. Также необходим доверенный издатель. Если он самоподписан, то сертификат должен присутствовать и в списках доверенных издателей. |
| • | Удовлетворять другим требованиям, стандартным для сертификатов. |
В случае неудовлетворения сертификатом требований, SSL-сервер его не увидит. Статус (валидность) сертификата можно увидеть в консоли просмотра сертификатов.
Имя сертификата (Subject) должно соответствовать имени хоста в запросе. Если оно не соответствует, то, как минимум, пользователь получит предупреждение браузера. Но при некоторых настройках безопасности у пользователя работа с таким сертификатом будет невозможна.
Если предусматривается работа с SSL-сервером с внутренних и внешних сетей и имена хоста в запросе в этом случае будут разными, в программе предусмотрен выбор отдельных сертификатов для внутренних и внешних запросов.
Для того чтобы со стороны пользователя браузер не выдавал никаких вопросов, важно наличие сертификата издательства серверного сертификата у пользователя в списке доверенных. Об этом см. далее.
Есть несколько способов получить серверный сертификат:
| • | Создать сертификаты средствами программы. Самый быстрый и простой путь. |
| • | Развернуть Сервер Сертификатов от Windows. Предпочтительно, если в сети потребуется использование сертификатов для других целей. |
| • | Купить сертификат у известного издателя, например, Verysign. Этот вариант удобен тем, что у пользователей, как правило, сертификаты таких издательств уже предустановлены в доверенных и броузеры никаких вопросов по ним задавать не будут. |
| • | Создать самоподписанный сертификат утилитами Windows или библиотеки OpenSSL. Этот путь подробно описан в Интернете. |
Самоподписанный сертификат имеет недостаток: он должен быть добавлен у каждого пользователя сети в список доверенных издателей. При использовании своего сервера сертификатов также надо прописывать сертификат издательства у каждого пользователя. В будущем все сертификаты, выписанные этим сервером, будут валидны.
Внимание! Браузеры на движке Mozilla (Firefox и т.д.) текущей версии с самоподписанными сертификатами не работают.
Для облегчения задачи администратора по установке доверенных сертификатов у пользователей это реализовано в клиентском агенте. При необходимости агент загружает с WWW-сервера все необходимые сертификаты и сам их устанавливает. Браузеры тоже, в случае необходимости, предлагают пользователю установить сертификат, который не имеет доверенного издателя.
Чтобы агент установил сертификаты, необходимо:
| • | наличие сертификата: проверяется в WWW-сервер / Свойства / закладка "Cертификаты". |
| • | установить в Биллинг - Общие настройки на закладке "Настройки агентов" предпочитаемый протокол SSL ИЛИ (И) в настройках агента на закладке "Соединение" указать Протокол обмена - SSL. |
Использование Windows Certificate Server
Имеется в составе всех серверных версий Windows. Его установка вопросов обычно не вызывает. Не забудьте указать внятное имя издательства и достаточное время действия сертификата. Следует отметить, что он требует установки IIS, и в случае разворачивания на одном сервере может по TCP-портам конфликтовать со службами Traffic Inspector.
Учитывая, что использоваться он будет эпизодически, только при первой установке программы на чистую систему его предпочтительнее поставить на отдельной машине.
После его установки следует зайти на сервер с Traffic Inspector с правами администратора, открыть Internet Explorer (именно его!) и набрать http://name/certsrv. Здесь name - имя сервера, где установлен сервер сертификатов.
Если сервер сертификатов установлен отдельно, то на сервер с Traffic Inspector надо установить сертификат издательства. Для этого:
| • | на страничке сервера сертификатов выбираем Download a CA certificate, certificate chain, or CRL, выбираем сертификат издательства и сохраняем его на диске. |
| • | Далее открываем ранее созданную оснастку системного хранилища сертификатов. Выбираем в меню Import, запускаем мастер импорта и устанавливаем сертификат издательства. Он должен появиться в разделе Trusted Root Certificates Authorities. |
Далее генерируем сертификаты для сервера:
| • | Открываем страничку сервера сертификатов. |
| • | Выбираем Request a certificate. |
| • | Далее Submit an advanced certificate request. |
| • | Далее Create and submit a request to this CA. |
| • | Выбираем шаблон Web Server. |
| • | В поле Name вписываем имя хоста запроса. |
| • | Выбираем галку Store certificate in the local computer certificate store. |
| • | Нажимаем Submit, подтверждаем действие и ждем выполнения запроса. |
| • | Кликаем на иконку сертификата на странице и устанавливаем его. |
| • | Проверяем, появился ли сертификат в системном хранилище. |
После все это можно повторить для другого имени хоста.
Перегружаем службу Traffic Inspector, открываем консоль и смотрим, появились ли сертификаты. Открываем окно настроек SSL-сервера и выбираем сертификаты для внутренних и внешних сетей. Если 443-й порт на сервере свободен, желательно выбрать его.
При запуске SSL-сервера можно проверить его работу, набрав на броузере любой его ресурс с префиксом https-. Если порт 443-й, то в запросе его можно не указывать.
Чтобы у пользователя броузер не выдавал предупреждения о неизвестном издательстве, необходима установка сертификата вашего издательства всеми пользователями. Проще всего ссылку на файл сертификата издательства разместить на главной страничке кабинета пользователя с инструкцией его установки. Ставить его надо в личное хранилище пользователя. Поэтому достаточно скачать этот файл, кликнуть по нему, и мастер его автоматически поставит.
Если сеть - организация, и есть домен Windows, то сертификаты издательства проще всего раздать средствами коллективных политик.
Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?installssl.htm