Применение шифрования
Выполнение запроса на подпись сертификата
При первой установке безопасного протокола на компьютер, скорее всего, у вас еще нет открытого ключа, поэтому нужно предварительно создать пару ключей и подготовить сайт к запросу сертификата в бюро сертификатов. Создание ключей для сервера IIS осуществляется с помощью запроса на подпись сертификата (CSR). Для обеспечения правильного соответствия открытого и секретного ключей следует выполнить CSR с компьютера, для которого будет запрашиваться сертификат.
- Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета) и в дереве ресурсов перейдите к веб-сайту, на котором требуется SSL/TLS для обеспечения безопасности веб-страниц. Щелкните правой кнопкой мыши на сайте и во всплывающем меню выберите Properties (Свойства).
- В окне Web Site Properties (Свойства веб-узла) откройте вкладку Directory Security (Безопасность каталога). В области Secure Communications (Безопасные соединения) нажмите на кнопку Server Certificate (Сертификат) (см. рис. 8.2). Откроется мастер, который сгенерирует пару открытых ключей и создаст CSR. Обратите внимание, что кнопки View Certificate (Просмотр сертификата) и Edit (Изменить) еще недоступны, так как сертификат до этого не устанавливался.
- Следуйте инструкциям мастера и отвечайте на вопросы по мере выполнения шагов. При создании запроса необходимо выполнить следующие действия.
- Выберите метод присвоения Assign A New Certificate (Присвоить новый сертификат).
- Выберите опцию Prepare The Request Now, But Send It Later (Подготовить запрос сейчас, но отправить его позже).
- В параметрах Name (Имя) и Security Settings (Параметры безопасности) введите предпочитаемое имя, после чего выберите длину, по крайней мере, в 1024 бита в области выбора Bit Length (Длина бита) (подразумевается, что эта опция доступна). Если вы работаете с сайтом в США, не следует выбирать опцию Server Gated Cryptography (Шифрование с использованием серверного шлюза).
Совет. При длине ключа большей, чем 1024 бита, затрачивается много времени на вычисление. Для большинства приложений длина ключа в 1024 бита обеспечивает надежную защиту.
- Укажите название организации и предоставьте информацию о подразделении в окне Organization Information (Информация об организации). Подразделение организации не имеет принципиального значения, если компания невелика, тем не менее, укажите имя.
- В окне Geographic Information (Данные о расположении) выберите страну в списке, введите штат (область), после чего укажите город. Не сокращайте вводимые данные, так как это может стать причиной отклонения запроса на сертификат.
- В окне Certificate Request File Name (Имя файла сертификата) выберите удобное имя и место, которое вы откроете из браузера при итоговом заполнении веб-формы для запроса на сертификат.
- По окончании работы мастера появится окно с отчетом (см. рис. 8.3). Если вся информация правильна, нажмите на Next (Далее), чтобы выйти из браузера.
Мастер создаст файл CSR, сохраненный в месте расположения с указанным именем. Этот файл содержит открытый ключ для сайта.