IIS - Задание стойкости шифрования
Можно настроить веб-сервер так, чтобы для всех сеансов защищенной связи SSL он требовал 128-битный ключ, а не 40-битный, как по умолчанию. Однако если задать минимальную длину ключа равной 128 битам, то пользователи, пытающиеся установить защищенный канал связи с вашим сервером, должны будут иметь обозреватель, поддерживающий шифрование с 128-битным ключом.
Важно!
- Из-за экспортных ограничений США или ограничений законодательства вашей страны, 128-битное шифрование может быть для вас недоступным. См. дополнительную информацию на веб-узле Майкрософт http://www.microsoft.com/exporting/ или http://www.microsoft.com/rus. Сведения об обновлении средства шифрования для поддержки 128-битных ключей находятся на веб-узле поддержки Windows 2000 Server по адресу http://support.microsoft.com/support/.
- При задании свойств безопасности для конкретного веб-узла эти же свойства автоматически устанавливаются для каталогов и файлов, принадлежащих этому узлу, если ранее для этих файлов и каталогов не были определены свойства безопасности .
- При попытке задать свойства безопасности для веб-узла веб-сервер выводит запрос на подтверждение отмены свойств отдельных каталогов и файлов. Если такое подтверждение получено, предыдущие значения свойств безопасности будут заменены новыми. То же самое происходит при задании свойств безопасности для каталога, содержащего подкаталоги и файлы, для которых ранее были заданы свойства безопасности. Дополнительные сведения о настройке свойств см. в разделе «Свойства и наследование свойств на узлах» раздела О веб- и FTP-узлах.
Чтобы задать стойкость шифрования
Примечание. Если на сервере не установлен действительный сертификат сервера, то безопасный шифрованный канал связи создать нельзя. Дополнительные сведения см. в разделах Использование новых мастеров безопасности и Получение сертификата сервера.
- В оснастке Internet Information Services выберите веб-узел, каталог или файл и откройте окно его свойств.
- Если серверная пара ключей и запрос на сертификат еще не были созданы, откройте вкладку Безопасность каталога или Безопасность файла. В области Безопасные подключения нажмите кнопку Сертификат. Новый мастер сертификатов веб-сервера проведет вас через все необходимые этапы процедуры их создания. Дополнительные сведения о новом мастере см. в разделе Использование новых мастеров безопасности.
- Если серверная пара ключей и запрос на сертификат уже имеются, откройте вкладку Безопасность каталога или Безопасность файла. В области Безопасные подключения нажмите кнопку Изменить.
- В диалоговом окне Безопасные подключения установите флажок Требуется безопасный канал (SSL).
- Если это нужно, установите флажок Требуется 128-и разрядное шифрование.
- Нажмите кнопку OK.
Примечание. Ключ сеанса — это не то же самое, что пара ключей SSL, которая используется для установления защищенного соединения.
Шифрование SGC (Server-Gated Cryptography)
Средства шифрования SGC предоставляют финансовым организациям возможность защиты финансовых транзакций во всем мире с помощью 128-битного шифрования. SGC является расширением протокола Secure Sockets Layer (SSL), позволяющим финансовым организациям, имеющим экспортные версии IIS, использовать шифрование с повышенной стойкостью.
Шифрование SGC не требует, чтобы в обозревателе клиента работало специальное приложение, и может использоваться стандартными экспортными версиями IIS, начиная с версии 4.0. Сервер с включенными средствами SGC может устанавливать сеансы шифрования как со 128-битным, так и с 40-битным ключом, что позволяет обойтись только лишь одной версией IIS. Хотя возможности шифрования SGC встроены в IIS начиная с версии 4.0, для их использования требуется специальный сертификат SGC. Сведения о доступности таких сертификатов можно получить у службы сертификации. Дополнительные сведения о SGC см. на странице Server-Gated Cryptography (SGC) по адресу http://www.microsoft.com/security/tech/sgc.
Примечание. При открытии сертификата SGC, на вкладке Общие может возникнуть сообщение "Этот сертификат не удалось проверить для всех указанных для него целей применения.". Это сообщение обусловлено способом, которым сертификаты SGC взаимодействуют с Windows 2000, и не обязательно свидетельствует о том, что сертификат работает неправильно.