Применение шифрования
Запрос на сертификат сервера
Первым шагом в получении сертификата является запрос в бюро сертификатов, которое выпустит его. При выполнении запроса необходимо подтвердить информацию, описывающую ваш бизнес, а также созданный открытый ключ.
При запросе сертификата у коммерческого бюро сертификатов его нужно отправлять с сайта этой организации (например, www.verisign.com). При запросе сертификата в бюро сертификатов внутри организации администратор бюро создаст веб-страницу и предоставит соответствующий URL.
Скорее всего, вы получите сертификат не сразу. Исключением является ситуация, когда сертификаты используются внутри сети. В этом случае в организации предусматривается политика, которая не требует просмотра запросов на сертификаты при условии доверия запрашивающему пользователю (т.е. если ваше имя из списка пользователей Windows Domain распознано), и если управляемый внутри сети сервер сертификатов настроен на автоматизированное подтверждение. Однако, большая часть времени после передачи запроса в бюро сертификатов уйдет на ожидание решения (Pending), пока администратор бюро сертификатов не подтвердит или не отклонит ваш запрос.
Когда откроется страница запроса на сертификат в бюро сертификатов, нужно заполнить ряд форм. Набор вводимых данных зависит от конкретного бюро сертификатов, хотя все эти данные представляют минимально необходимую информацию, требуемую стандартом x509 v3, если используется сертификат именно этого типа. Будет предложено выбрать пароль и указать открытый ключ. На рисунке 8.4 показана форма, предназначенная для указания открытого ключа при запросе сертификата у Verisign.
Открытый ключ представляет собой большое двоичное число, сохраненное в файле, созданном в процессе CSR. Можно просмотреть содержимое открытого ключа в программе Notepad (Блокнот) Windows 2000 (см. рис. 8.5). В нужный момент процедуры регистрации сертификата укажите этот ключ в бюро сертификатов. Если вы обратились в Verisign, то для предоставления ключа откройте файл, вырежете и вставьте его содержимое из Notepad в поле формы. Все зависит от конкретного бюро сертификатов; просто следуйте инструкциям используемого бюро.
После заполнения форм CA и подтверждения введенной информации запрос будет помещен в очередь ожидания решения CA Pending. В случае одобрения бюро сертификатов подготовит сертификат и заверит его подписью. СА обычно проверяет введенную информацию и отсылает по электронной почте уведомления об отрицательном или положительном результате рассмотрения запроса.
увеличить изображение
Рис. 8.4. Процедура регистрации сертификата Verisign заключается в заполнении определенного набора форм
Если запрос одобрен, то, в зависимости от политики бюро сертификатов, сообщение электронной почты может содержать сам сертификат или ссылку (URL) на страницу сайта, защищаемую SSL; эта страница гарантирует безопасную доставку сертификата. На этой странице введите пароль, указанный вами при регистрации приложения, после чего загрузите сертификат на локальный диск вашего сервера.
Рис. 8.5. Обычно бюро сертификатов предлагает вырезать и вставить открытый ключ в форму запроса сертификата
Совет. В данном примере используется демонстрационный сертификат Verisign. При отправке компанией Verisign сообщения электронной почты для подтверждения запроса сертификат прикрепляется к нижней части сообщения. Он очень похож на открытый ключ, вырезанный и вставленный в форму запроса на сертификат. Нужно вырезать и вставить сертификат в новый документ Notepad (Блокнот) и сохранить его под именем, оканчивающимся расширением .cer; данное расширение сообщает мастеру о том, что файл является сертификатом.
Установка цифрового сертификата
После получения уведомления об одобрении запроса на сертификат и загрузки самого сертификата установите его на веб-сервер. Для установки вернитесь в консоль MMC Internet Services Manager (Диспетчер служб интернета) и выполните следующие шаги.
- Откройте консоль Internet Services Manager и в дереве ресурсов перейдите к веб-сайту, на который нужно установить сертификат. Щелкните правой кнопкой мыши на сайте, после чего в появившемся меню выберите Properties (Свойства), чтобы отобразить окно Web Site Properties (Свойства веб-узла).
- Откройте вкладку Directory Security (Безопасность каталога) и нажмите на кнопку Server Certificate, как и при создании запроса на подпись сертификата (см. рис. 8.2). Откроется Web Server Certificate Wizard (Мастер сертификатов веб-сервера). Мастер распознает, что у вас имеется нерассмотренный запрос (см. рис. 8.6). Убедитесь, что выбрана опция обработки запроса в очереди, после чего нажмите на Next (Далее) для продолжения установки.
Совет. Если на любом этапе процедуры регистрации сертификата возникнут трудности, нажмите на кнопку Back (Назад), чтобы вернуться в предыдущий шаг, либо нажмите на Cancel (Отмена), чтобы просто закрыть окно и начать выполнение процедуры сначала.
- Укажите расположение и имя файла сертификата, полученного от бюро сертификатов. Нажмите на кнопку Browse (Обзор), чтобы перейти к этому файлу, либо укажите его имя, после чего нажмите на Next (Далее) для продолжения работы. Последнее окно мастера представляет собой отчет (см. рис. 8.7) о деталях вашего сертификата.
- Просмотрите все детали сертификата и убедитесь в их корректности. Если сертификат корректен, нажмите на Next.
- В появившемся окне нажмите на кнопку Finish (Готово), чтобы завершить установку.