IIS - О сертификатах
Сертификаты содержат сведения, используемые при установлении подлинности по сети. Этот процесс называется проверкой подлинности. Как и обычные формы установления подлинности, сертификаты позволяют веб-серверам и пользователям проверить подлинность друг друга перед установлением соединения. Сертификаты содержат также значения для шифрования, или ключи, которые используются для установления защищенного соединения по протоколу SSL между клиентом и сервером. Сведения, например номер кредитной карты, посылаются при таком соединении зашифрованными, поэтому они не могут быть перехвачены и использованы другими лицами.
Существует два типа сертификатов, используемых в SSL. Каждый имеет свой формат и назначение. Сертификаты клиента содержат персональную информацию о клиентах, запрашивающих доступ к узлу, что позволяет однозначно их распознать до предоставления доступа к узлу. Сертификаты сервера содержат сведения о сервере, что позволяет клиенту однозначно идентифицировать сервер до передачи важной информации.
- Сертификаты сервера
- Клиентские сертификаты
- Службы сертификации
- Список доверенных сертификатов
- Обнаружение отозванных клиентских сертификатов
Сертификаты сервера
Чтобы активизировать на веб-сервере средства безопасности SSL (Secure Sockets Layer), необходимо получить и установить действительный сертификат сервера. Сертификаты сервера являются цифровыми идентификаторами, содержащими сведения о веб-сервере и организации, поддерживающей содержимое веб-узлов на сервере. Сертификат позволяет пользователям проверять подлинность сервера и подлинность содержимого веб-узлов, а также устанавливать защищенные подключения. Сертификат сервера также содержит открытый ключ, который используется для установления безопасного соединения между клиентом и сервером.
Успешное применение сертификата сервера для идентификации зависит от того, доверяет ли пользователь сведениям, содержащимся в сертификате. Например, пользователь, входящий на веб-узел вашей компании, может отказаться от приглашения предоставить сведения о кредитной карте даже после просмотра сведений из сертификата сервера вашей компании. Это особенно часто происходит с новыми или не слишком хорошо известными организациями.
По этой причине сертификаты иногда выпускаются и поддерживаются независимыми организациями, которым доверяют обе стороны. Эти организации называют службами сертификации. Основная ответственность службы сертификации заключается в подтверждении подлинности получателя сертификата, т.е. в подтверждении правильности данных, содержащихся в сертификате.
Другим способом, применение которого зависит от взаимоотношений вашей организации с пользователями веб-узлов, является выпуск собственных сертификатов сервера. Например, в интрасети большой корпорации, в которой обрабатываются данные о заработной плате и премиях сотрудников, руководство может принять решение о поддержании собственного сертификата сервера и принять на себя ответственность за проверку контрольной информации. Дополнительные сведения см. в разделе Получение сертификата сервера.
Шифрование SGC (Server-Gated Cryptography)
Средства шифрования SGC предоставляют финансовым организациям возможность защиты финансовых транзакций во всем мире с помощью 128-битного шифрования. SGC является расширением протокола Secure Sockets Layer (SSL), позволяющим финансовым организациям, имеющим экспортные версии IIS, использовать шифрование с повышенной стойкостью.
Шифрование SGC не требует, чтобы в обозревателе клиента работало специальное приложение, и может использоваться стандартными экспортными версиями IIS, начиная с версии 4.0. Сервер с включенными средствами SGC может устанавливать сеансы шифрования как со 128-битным, так и с 40-битным ключом, что позволяет обойтись только лишь одной версией IIS. Хотя возможности шифрования SGC встроены в IIS начиная с версии 4.0, для их использования требуется специальный сертификат SGC. Сведения о доступности таких сертификатов можно получить у службы сертификации. Дополнительные сведения о SGC см. на странице Server-Gated Cryptography (SGC) по адресу http://www.microsoft.com/security/tech/sgc.
Клиентские сертификаты
Сертификаты клиента представляют собой электронные документы, содержащие сведения о клиентах. Эти сертификаты, как и сертификаты сервера, содержат только эти сведения, но не содержат ключи шифрования, которые формируют часть средств безопасности SSL 3.0 в IIS. Эти ключи, или шифровальные коды, из сертификатов клиента и сервера образуют пару ключей, которая и обеспечивает шифрование и дешифрование данных, передаваемых через открытую сеть, например Интернет. Дополнительные сведения о шифровании см. в разделе О шифровании.
Типичный сертификат клиента содержит следующие данные: идентификатор пользователя, идентификатор службы сертификации, открытый ключ, используемый для установления защищенных подключений, а также проверочные данные, такие как срок действия и порядковый номер. Службы сертификации предлагают и другие типы клиентских сертификатов, содержащих другие данные, объем которых определяется требуемым уровнем надежности проверки подлинности. Дополнительные сведения см. в разделе Получение клиентского сертификата.
Службы сертификации
Клиентский сертификат можно получить у доверенной для обеих сторон коммерческой организации, которую называют службой сертификации. Перед выдачей сертификата необходимо представить в службу сертификации личные данные, такие как имя, адрес и название организации. Общий объем таких данных может изменяться соответственно требованиям надежности сертификата. Если к сертификату предъявляется требование абсолютной гарантии идентификации, служба сертификации может потребовать предоставления дополнительной информации. При этом иногда требуется собеседование с представителем службы и нотариальное заверение представляемых данных.
Список служб сертификации см. в разделе Получение сертификата сервера.
Примечание. В конечном счете успешность проверки подлинности с помощью сертификатов определяется тем, доверяет ли сторона, получающая сертификат, службе, его выдавшей, а также правильностью проверки этой службой подлинности владельца сертификата. Однако вне этих рамок сертификаты не гарантируют подлинность, надежность и намерения пользователя или сервера.
Список доверенных сертификатов
Поддерживая список доверенных сертификатов, администратор веб-узла может сравнивать сертификаты клиентов с готовым списком доверенных служб сертификации.
Например, администратор интрасети может создать различные списки доверенных служб сертификации для каждого подразделения в сети. IIS будет принимать сертификаты клиентов, выданные службами сертификации только из списка доверенных сертификатов для данного подразделения. Дополнительные сведения см. в разделе Использование списка доверенных сертификатов.
Обнаружение отозванных клиентских сертификатов
Многие надежные службы сертификации ведут список отозванных сертификатов (CRL), представляющий перечень клиентских сертификатов, отозванных до планового окончания срока действия.
Например, если обнаруживается, что пользователь, получивший в службе сертификации клиентский сертификат, представил ложные данные, то служба сертификации имеет право отозвать клиентский сертификат этого пользователя. Однако служба сертификации не может физически отозвать клиентский сертификат, поэтому для предупреждения администраторов веб-узлов сведения об отозванном клиентском сертификате добавляются в список отозванных сертификатов. За дополнительными сведениями о поставщиках услуг служб отзыва обращайтесь в вашу службу сертификации.