Применение шифрования
Обеспечение безопасности сайта или каталога
После установки сертификата завершите процесс настройки SSL/TLS для сайта. Чтобы сделать это корректным образом, обдумайте структуру сайта.
На большей части сайтов, даже если на них используется шифрование, имеется нешифруемый раздел. С точки зрения производительности крайне неразумно шифровать все страницы. Каждый раз на это тратится процессорное время. При шифровании всех данных на сайте вероятно возникновение перегрузки и затруднений в работе сервера. Этого можно избежать, используя вспомогательную карту шифрования (см. "Сторонние средства обеспечения безопасности" ). Однако, не стоит забывать, что загрузку сервера можно разумно планировать.
Ваша домашняя страница не требует шифрования. Большинство компаний оставляют раздел сайта с рекламным материалом, контактной информацией и другими открытыми данными в отдельных нешифруемых каталогах. Веб-дизайнер создаст отдельный раздел (или другой сайт) с содержимым, предназначенным для конфиденциального доступа клиентов, и обеспечит шифрование только этой информации. Если сайт организован аналогичным образом, имеет смысл структурировать его так, как показано на рис. 8.8.
После упорядочивания информации можно начинать установку. Теперь, когда сайт является совместимым с SSL/TLS, укажите, будут ли зашифрованные страницы располагаться по всему сайту или только в определенных каталогах. Процедура настройки шифрования SSL/TLS состоит из следующих шагов.
- Откройте консоль MMC Internet Services Manager (Диспетчер служб интернета) и в дереве ресурсов найдите сервер. Щелкните правой кнопкой мыши на сервере либо откройте сервер, чтобы перейти в каталог, содержащий подлежащие защите страницы, после чего выберите во всплывающем меню команду Properties (Свойства).
- Укажите порт, который будет использоваться IIS для функционирования SSL/TLS. Это можно сделать на вкладке Web Site (Веб-узел) (см. рис. 8.9). Стандартным портом для безопасных соединений в интернете является порт 443.
- Для сохранения конфигурации нажмите на кнопку Apply (Применить).
Совет. Шифрование каталога IIS работает иначе, чем в Windows 2000. При установке каталога с зашифрованными свойствами в Windows Explorer или с рабочего стола Windows информация будет шифроваться на диске. В IIS SSL/TLS шифруют информацию при непосредственной передаче по сети браузеру клиента.
- Откройте вкладку Directory Security (Безопасность каталога). В области Secure Communications (Безопасные соединения) станут доступными кнопки View Certificate (Просмотр) и Edit (Изменить) (см. рис. 8.10). Для каталога кнопка изменения сертификата будет недоступна, так как эта операция осуществляется на уровне веб-узла, а не на уровне каталога. Нажмите на кнопку Edit (Изменить) для настройки параметров SSL/TLS.
- В окне Secure Communications (Безопасные соединения) (см. рис. 8.11) отметьте опцию Require Secure Channel (SSL) (Требовать безопасное соединение [SSL]). Станет доступной опция Require 128-Bit Encryption (Требовать 128-битное шифрование); ее также следует отметить.
Важно. Для обеспечения безопасности сайта не используйте шифрование на ключе длиной меньше, чем 128 бит. 56-битный алгоритм DES довольно легко взломать, но стоит сменить длину ключа на 128 бит – и шифрование станет на несколько порядков мощнее.
- На данном этапе выполнены все требования, необходимые для включения SSL/TLS. Нажмите на OK, чтобы применить настройки и выйти из окна Web Site Properties.
Обратите внимание на рисунок 8.11: окно Secure Communications (Безопасные соединения) позволяет указать способ поддержки сертификатов на клиентах, посещающих веб-сервер. Можно выбрать следующие опции.
- Игнорировать сертификаты клиентов. Отключает использование на сервере клиентских сертификатов для аутентификации независимо от того, установил ли клиент сертификат.
- Принимать сертификаты клиентов. Позволяет серверу принимать сертификаты клиентов в качестве одного из методов аутентификации.
- Требовать сертификаты клиентов. Предотвращает доступ клиентов, не имеющих сертификаты на своих системах, к защищенному содержимому сайта.
Можно связать сертификаты клиентов с учетными записями пользователей на веб-сервере. После установки этой связи каждый раз при входе пользователя с использованием сертификата клиента сервер автоматически свяжет этого пользователя с соответствующей учетной записью Windows. Так осуществляется автоматическая аутентификация пользователей, входящих в систему с помощью клиентских сертификатов, без применения аутентификации Basic (Базовая), Messaging Digest (Обработка сообщений) или встроенной аутентификации Windows.